지원되는 IKE 암호화

Cloud VPN은 피어 VPN 기기 또는 VPN 서비스에서 다음과 같은 암호화 및 구성 매개변수를 지원합니다. 피어 측에서 지원되는 IKE 암호화 설정이 사용되면 Cloud VPN은 연결을 자동 협상합니다.

구성 안내는 피어 VPN 게이트웨이 구성을 참조하세요.

IKE 암호화 개요

기본 VPN과 HA VPN에서 지원되는 IKE 암호화는 다음과 같습니다.

IKEv2에는 섹션 두 개가 있습니다. 하나는 연관 데이터로 암호화 인증(AEAD)을 사용하는 암호화의 섹션이고 다른 하나는 AEAD를 사용하지 않는 암호화의 섹션입니다.

AEAD를 사용하는 IKEv2 암호화

1단계

암호화 역할 암호화 참고
암호화 및 무결성
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
이 목록에서 첫 번째 번호는 ICV 매개변수 크기(바이트(옥텟) 단위) 두 번째 번호는 키 길이(비트 단위)입니다.

일부 문서에서는 ICV 매개변수(첫 번째 번호)를 비트 단위(8은 64, 12는 96, 16은 128)로 표현할 수도 있습니다.
PRF(의사 난수 함수)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
많은 장치에서 명시적인 PRF 설정이 필요하지 않습니다.
DH(Diffie-Hellman)
  • modp_2048(그룹 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(그룹 5)
  • modp_3072(그룹 15)
  • modp_4096(그룹 16)
  • modp_8192(그룹 18)
  • modp_1024(그룹 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN의 제안은 이러한 주요 교환 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘을 한 개 이상 포함하는 모든 제안을 임의의 순서로 허용합니다.
1단계 수명 36,000초(10시간)

2단계

암호화 역할 암호화 참고
암호화 및 무결성
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
Cloud VPN의 제안은 이러한 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘을 한 개 이상 포함하는 모든 제안을 임의의 순서로 허용합니다.

각 알고리즘의 첫 번째 번호는 ICV 매개변수 크기(바이트(옥텟) 단위)이고 두 번째 번호는 키 길이(비트 단위)입니다. 일부 문서에서는 ICV 매개변수(첫 번째 번호)를 비트 단위(8은 64, 12는 96, 16은 128)로 표현할 수도 있습니다.
PFS 알고리즘(필수)
  • modp_2048(그룹 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(그룹 5)
  • modp_3072(그룹 15)
  • modp_4096(그룹 16)
  • modp_8192(그룹 18)
  • modp_1024(그룹 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN의 제안은 이러한 주요 교환 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘을 한 개 이상 포함하는 모든 제안을 임의의 순서로 허용합니다.
DH(Diffie-Hellman) 1단계 참조 VPN 게이트웨이에 2단계의 DH 설정이 필요하면 1단계에서 사용한 설정과 동일한 설정을 사용합니다.
2단계 수명 10,800초(3시간)

AEAD를 사용하지 않는 IKEv2 암호화

1단계

암호화 역할 암호화 참고
암호화
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
Cloud VPN의 제안은 이러한 대칭 암호화 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘을 한 개 이상 사용하는 모든 제안을 임의의 순서로 허용합니다.
무결성
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
Cloud VPN의 제안은 이러한 HMAC 알고리즘을 표시된 순서대로 표시합니다. Cloud VPN은 이러한 알고리즘이 순서대로 한 개 이상 포함된 모든 제안을 허용합니다.

온프레미스 VPN 게이트웨이 문서는 알고리즘에 약간 다른 이름을 사용할 수 있습니다. 예를 들어 HMAC-SHA2-512-256은 자르기 길이 번호 및 기타 여분의 정보를 모두 삭제하고 단순히 SHA2-512 또는 SHA-512로 참조될 수 있습니다.
PRF(의사 난수 함수)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
많은 장치에서 명시적인 PRF 설정이 필요하지 않습니다.
DH(Diffie-Hellman)
  • modp_2048(그룹 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(그룹 5)
  • modp_3072(그룹 15)
  • modp_4096(그룹 16)
  • modp_8192(그룹 18)
  • modp_1024(그룹 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN의 제안은 이러한 주요 교환 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘이 한 개 이상 포함된 모든 제안을 임의의 순서로 허용합니다.
1단계 수명 36,000초(10시간)

2단계

암호화 역할 암호화 참고
암호화
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
Cloud VPN의 제안은 이러한 대칭 암호화 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘이 한 개 이상 포함된 모든 제안을 임의의 순서로 허용합니다.
무결성
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
Cloud VPN의 제안은 이러한 HMAC 알고리즘을 표시된 순서대로 표시합니다. Cloud VPN은 이러한 알고리즘이 한 개 이상 포함된 모든 제안을 임의의 순서로 허용합니다.

온프레미스 VPN 게이트웨이 문서는 알고리즘에 약간 다른 이름을 사용할 수 있습니다. 예를 들어 HMAC-SHA2-512-256은 자르기 길이 번호 및 기타 여분의 정보를 모두 삭제하고 단순히 SHA2-512 또는 SHA-512로 참조될 수 있습니다.
PFS 알고리즘(필수)
  • modp_2048(그룹 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(그룹 5)
  • modp_3072(그룹 15)
  • modp_4096(그룹 16)
  • modp_8192(그룹 18)
  • modp_1024(그룹 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN의 제안은 이러한 주요 교환 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘이 한 개 이상 포함된 모든 제안을 임의의 순서로 허용합니다.
DH(Diffie-Hellman) 1단계를 참조하세요. VPN 게이트웨이에 2단계의 DH 설정이 필요하면 1단계에서 사용한 설정과 동일한 설정을 사용합니다.
2단계 수명 10,800초(3시간)

IKEv1 암호화

1단계

암호화 역할 암호화
암호화 AES-CBC-128
무결성 HMAC-SHA1-96
PRF(의사 난수 함수)* PRF-SHA1-96
DH(Diffie-Hellman) modp_1024(그룹 2)
1단계 수명 36,600초(10시간, 10분)

* IKEv1의 PRF에 대한 자세한 내용은 RFC 2409를 참조하세요.

2단계

암호화 역할 암호화
암호화 AES-CBC-128
무결성 HMAC-SHA1-96
PFS 알고리즘(필수) modp_1024(그룹 2)
DH(Diffie-Hellman) VPN 게이트웨이에 DH를 지정해야 하는 경우 1단계에서 사용한 설정과 동일한 설정을 사용합니다.
2단계 수명 10,800초(3시간)

다음 단계