ZTNA-IPsec
ZTNA-IPsec은 다른 네트워크 지점(On-prem,Cloud)에서 ZTNA-Gateway를 통해 인터넷에 접근할 수 있도록, ZTNA-Gateway와 다른 네트워크 지점을 터널링 해주는 옵션입니다.
ZTNA-IPsec 설정 방법
ZTNA-IPsec을 사용하기 위해서는 사전에 Cloud Provider 설정과 Hub 타입의 사이트 설정 이 필요합니다.
1. 시스템 -> 사이트 -> 생성한 Hub타입 사이트 클릭 후, ZTNA-IPsec 적용모드를 사용함 으로 변경합니다.
2. Pre-Shared Key 값과 Advance 설정을 진행합니다.
Warning
타 사의 VPN 전용장비와 IPsec 터널링을 구성하기 위해서는, Pre-Shared Key 값과 Advance 옵션이 동일해야 합니다.
항목
항목 설명
비고
Pre-Shared Key
Hub와 Branch간 연결을 위해 사전에 공유 하는 비밀키
IKE Version
IPsec 연결시 사용할 IKE 버전
IkEv1 , IKEv2 지원
IKE encryption
인증 정보를 암호화할 알고리즘
AES-128, AES-256, blowfish-128, blowfish-192, blowfish-256, Twofish-128, Twofish-192, Twofish-256 지원
IKE integrity
무결성 보장을 위한 암호화 알고리즘
SHA1, SHA2-256, SHA2-384, SHA2-512 지원
Pseudo random function
임의성 제공을 위한 암호화 알고리즘
None, SHA1, SHA2-256, SHA2-384, SHA2-512 지원
IKE DH group
인증 정보를 암호화할 키를 생성하는 대칭키 교환 알고리즘
Off, DH group(5,14,15,16,17,18) 지원
IKE Lifetime
새로운 키를 생성하는 주기
ESP encryption
데이터 패킷을 암호화하는 알고리즘
AES-128, AES-256, blowfish-128, blowfish-192, blowfish-256, Twofish-128, Twofish-192, Twofish-256 지원
ESP intergrity
무결성 보장을 위한 암호화 알고리즘
SHA1, SHA2-256, SHA2-384, SHA2-512 지원
ESP DH group
데이터 패킷을 암호화할 키를 생성하는 암호화 알고리즘
Off, DH group(5,14,15,16,17,18) 지원
Lifetime
터널 유지 시간
3. 시스템 -> 사이트 -> 작업선택 -> 생성 클릭 후, Branch 타입의 사이트 를 생성 합니다.
사이트명 : 사이트 명으로 사용할 이름을 입력합니다.
타입 : IPsec 연결을 진행할 Hub사이트를 선택합니다.
인프라 : 연결할 장비의 구성 환경을 선택합니다.(Cloud, On-prem).Cloud 선택 시, Cloud Provider, Region, VPC ID를 같이 설정합니다.
Network Address : 사용하는 네트워크 대역을 입력합니다. Cloud일 경우 설정한 VPC 대역을 입력합니다.
4. ZTNA-IPsec 적용모드를 사용함 으로 변경 후 , 세부 설정을 진행 합니다.
Public IP : VPN 장비의 공인 IP를 입력합니다.
Pre-Shared Key : Hub사이트에 설정한 Pre-Shared Key를 입력합니다.
Networks : VPN 장비의 subnet을 입력합니다.
할당센서 : Brnach사이트의 VPN을 구동할 센서를 선택합니다. VPN 장비를 사용할 경우 선택하지 않습니다.
5. 설정 완료 후 , 시스템 -> 사이트 -> 생성한 Hub 또는 Brach 사이트 -> 상단 탭 ZTNA IPsec Status 클릭 -> IPsec 터널이 정상적으로 연결되었는지 확인 합니다.