모바일 시스템에 대한 IKEv1 구성
IPsec 및 IKE에는 소스 및 대상을 식별할 고유한 ID가 필요합니다. 고유한 IP 주소가 없는 오프사이트 또는 모바일 시스템의 경우 다른 ID 유형을 사용해야 합니다. DNS, DN, email 등의 ID 유형을 사용하여 시스템을 고유하게 식별할 수 있습니다.
고유한 IP 주소가 있는 오프사이트 또는 모바일 시스템은 다른 ID 유형으로 구성하는 것이 좋습니다. 예를 들어, 시스템이 NAT 박스 뒤에 있는 중앙 사이트에 연결하려고 시도할 경우 고유한 주소가 사용되지 않습니다. NAT 박스는 중앙 시스템에서 인식할 수 없는 임의적인 IP 주소를 지정합니다.
미리 공유한 키도 모바일 시스템에 대한 인증 방식으로 작동하지 않습니다. 미리 공유한 키에는 고정 IP 주소가 필요하기 때문입니다. 모바일 시스템은 자체 서명된 인증서 또는 CA의 인증서를 통해 중앙 사이트와 통신할 수 있습니다.
다음 작업 맵에서는 원격으로 중앙 사이트에 로그인하는 시스템을 처리하도록 IKEv1을 구성하는 절차에 대해 설명합니다.
표 10-2 모바일 시스템에 대한 IKEv1 구성 작업 맵
|
|
|
|
오프사이트의 중앙 사이트와 통신합니다.
|
오프사이트 시스템이 중앙 사이트와 통신할 수 있도록 합니다. 오프사이트 시스템은 모바일일 수 있습니다.
|
|
|
모바일 시스템의 트래픽을 허용하는 중앙 시스템에서 CA의 공개 인증서 및 IKEv1을 사용합니다.
|
고정 IP 주소가 없는 시스템의 IPsec 트래픽을 승인하도록 게이트웨이 시스템을 구성합니다.
|
|
|
고정 IP 주소가 없는 시스템에서 CA의 공개 인증서 및 IKEv1을 사용합니다.
|
회사 본사 등의 중앙 사이트에 대한 트래픽을 보호하도록 모바일 시스템을 구성합니다.
|
|
|
모바일 시스템의 트래픽을 허용하는 중앙 시스템에서 자체 서명된 인증서 및 IKEv1을 사용합니다.
|
모바일 시스템의 IPsec 트래픽을 승인하도록 자체 서명된 인증서로 게이트웨이 시스템을 구성합니다.
|
|
|
고정 IP 주소가 없는 시스템에서 자체 서명된 인증서 및 IKEv1을 사용합니다.
|
중앙 사이트에 대한 트래픽을 보호하도록 자체 서명된 인증서로 모바일 시스템을 구성합니다.
|
|
|