지원되는 IKE 암호화

Google Distributed Cloud (GDC) 오프라인 VPN은 피어 VPN 게이트웨이에 대해 다음과 같은 암호화 및 구성 매개변수를 지원합니다.

제안 순서

GDC VPN은 새 보안 연결 (SA)이 필요할 때 트래픽의 출처에 따라 IKE 요청의 개시자 또는 응답자 역할을 수행할 수 있습니다.

GDC VPN이 VPN 연결을 시작하면 GDC VPN에서 각 암호화 역할의 지원되는 암호화 테이블에 표시된 순서대로 알고리즘을 제안합니다. 제안을 수신하는 피어 VPN 게이트웨이가 알고리즘을 선택합니다.

피어 VPN 게이트웨이가 연결을 시작하면 GDC VPN에서 각 암호화 역할의 테이블에 표시된 순서를 사용하여 제안에서 암호화를 선택합니다.

개시자 또는 응답자 측에 따라 선택된 암호화가 다를 수 있습니다. 예를 들어 시간이 지나 키 순환 중에 새 보안 연결 (SA)이 생성되면 선택된 암호화가 변경될 수도 있습니다.

암호화 선택이 자주 변경되지 않도록 암호화 역할당 하나의 암호화만 제안하고 수락하도록 피어 VPN 게이트웨이를 구성합니다. 이 암호화는 GDC 오프라인 VPN과 피어 VPN 게이트웨이에서 모두 지원되어야 합니다. 각 암호화 역할의 암호화 목록을 제공하지 마세요. 이 권장사항을 따르면 IKE 협상 중에 GDC 에어 갭 VPN 터널 양측에서 항상 동일한 IKE 암호화를 선택합니다.

IKE 단편화

GDC VPN은 IKEv2 단편화 프로토콜(https://www.rfc-editor.org/rfc/rfc7383)의 설명대로 IKE 단편화를 지원합니다.

최상의 결과를 얻으려면 피어 VPN 게이트웨이에서 IKE 단편화를 아직 사용 설정하지 않은 경우 사용 설정하는 것이 좋습니다.

IKE 단편화를 사용 설정하지 않은 경우 GDC에서 피어 VPN 게이트웨이로 전송되는 IKE 패킷이 게이트웨이 MTU보다 크면 삭제됩니다.

다음 메시지를 포함한 일부 IKE 메시지는 단편화할 수 없습니다.

  • IKE_SA_INIT
  • IKE_SESSION_RESUME

자세한 내용은 https://www.rfc-editor.org/rfc/rfc7383의 제한사항 섹션을 참고하세요.

지원되는 암호화 테이블

지원되는 암호화 테이블은 암호화 및 복호화 프로세스 중에 문자 또는 문자 그룹을 대체하는 규칙을 제공합니다.

1단계

암호화 역할 암호화 참고
암호화 및 무결성
  • AES-GCM-16-256

이 목록에서 첫 번째 번호는 ICV 매개변수 크기(바이트(옥텟) 단위) 두 번째 번호는 키 길이(비트 단위)입니다.

일부 문서에서는 ICV 매개변수(첫 번째 번호)를 비트 단위(8은 64, 12는 96, 16은 128)로 표현할 수도 있습니다.

PRF(의사 난수 함수)
  • PRF-HMAC-SHA2-512
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-256
대다수의 기기에는 명시적인 PRF 설정이 필요하지 않습니다.
DH(Diffie-Hellman)
  • MODP-4096
  • MODP-3072
  • MODP-2048
  • MODP-1536
1단계 수명 36,000초(10시간)

2단계

암호화 역할 암호화 참고
암호화 및 무결성
  • AES-GCM-16-256

이 목록에서 첫 번째 번호는 ICV 매개변수 크기(바이트(옥텟) 단위) 두 번째 번호는 키 길이(비트 단위)입니다.

일부 문서에서는 ICV 매개변수(첫 번째 번호)를 비트 단위(8은 64, 12는 96, 16은 128)로 표현할 수도 있습니다.

PRF(의사 난수 함수)
  • PRF-HMAC-SHA2-512
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-256
대다수의 기기에는 명시적인 PRF 설정이 필요하지 않습니다.
DH(Diffie-Hellman)
  • MODP-4096
  • MODP-3072
  • MODP-2048
  • MODP-1536
2단계 수명 10,800초(3시간)

IKE 구성

동적, 경로 기반, 정책 기반 라우팅을 위해 피어 VPN 게이트웨이에 IKE를 구성할 수 있습니다.

GDC VPN 터널은 IPv6 트래픽 지원을 위해 IKE v2를 사용해야 합니다.

IKE를 위한 피어 VPN 게이트웨이 및 터널을 구성하려면 다음 표의 매개변수를 사용합니다.

IKEv1 및 IKEv2

설정
IPsec 모드 ESP+인증 터널 모드(사이트 간)
인증 프로토콜 psk
공유 보안 비밀 IKE 사전 공유 키라고도 부릅니다. 이 가이드라인에 따라 강력한 비밀번호를 선택하세요. 사전 공유 키는 네트워크에 대한 액세스를 허용하므로 민감합니다.
시작 auto(연결이 끊어질 경우 피어 기기가 자동으로 연결을 다시 시작함)
PFS(완전 순방향 비밀성) on
DPD(죽은 피어 감지) 권장: Aggressive DPD는 VPN이 다시 시작될 때 이를 감지하고 대체 터널을 사용하여 트래픽을 라우팅합니다.
INITIAL_CONTACT
(uniqueids이라고도 함)
권장: on(restart라고도 함). 용도: 인지된 다운타임을 줄이기 위해 재시작을 더 빠르게 감지합니다.
TSi(트래픽 선택기 - 개시자)

서브넷 네트워크: --local-traffic-selector 플래그로 지정된 범위. VPN이 자동 모드 VPC 네트워크에 있고, 게이트웨이 서브넷만 발표하기 때문에 --local-traffic-selector가 지정되지 않은 경우, 해당 서브넷 범위가 사용됩니다.

이전 네트워크: 네트워크의 범위.

TSr(트래픽 선택기 - 반응자)

IKEv2: --next-hop-vpn-tunnel이 이 터널로 설정된 모든 경로의 대상 범위.

IKEv1: 임의적으로 --next-hop-vpn-tunnel이 이 터널로 설정된 경로 중 하나의 대상 범위.

MTU 피어 VPN 기기의 최대 전송 단위(MTU)는 1,460바이트를 초과할 수 없습니다. 패킷이 먼저 조각화된 다음 캡슐화되도록 기기에 사전 조각화를 사용 설정합니다.

IKEv1 전용의 추가 매개변수

설정
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS 알고리즘 그룹 2(MODP_1024)