피어 VPN 게이트웨이 구성

VPN 구성을 완료하려면 피어 VPN 게이트웨이에서 다음 리소스를 구성해야 합니다.

  • Cloud VPN에 해당하는 VPN 터널.
  • Cloud Router에 동적 라우팅을 사용하는 경우 BGP 세션.
    동적 라우팅을 사용하는 터널이 있는 기본 VPN 게이트웨이 및 HA VPN 게이트웨이에 대해 항상 BGP 세션을 구성해야 합니다.
  • 방화벽 규칙
  • IKE 설정

이러한 리소스는 모두 이 문서에 설명되어 있습니다.

피어 게이트웨이 설정 시 권장사항은 피어 게이트웨이 문서 또는 제조업체를 참조하세요. 지원되는 타사 VPN 기기 및 서비스를 설명하는 가이드는 VPN Interop 가이드 페이지를 참조하세요.

HA VPN용 외부 피어 VPN 게이트웨이 리소스

HA VPN 게이트웨이의 경우 Google Cloud에서 물리적 피어 게이트웨이를 나타내는 외부 피어 VPN 게이트웨이 리소스를 구성하세요. 이 리소스를 독립형 리소스로 만들어 나중에 사용할 수도 있습니다.

외부 피어 VPN 게이트웨이를 만들려면 타사 소프트웨어 기반 게이트웨이일 수도 있는 물리적 피어 게이트웨이의 다음 값이 필요합니다. VPN을 설정하려면 외부 피어 VPN 게이트웨이 리소스의 값이 물리적 피어 게이트웨이의 구성과 일치해야 합니다.

  • 물리적 VPN 게이트웨이의 인터페이스 수
  • 피어 게이트웨이 또는 인터페이스의 외부 IP 주소
  • BGP 엔드포인트 IP 주소
  • IKE 사전 공유 키
  • ASN 번호

독립형 외부 피어 VPN 게이트웨이 리소스를 만들려면 다음을 수행합니다.

Console

  1. Google Cloud Console에서 VPN 페이지로 이동합니다.
    VPN 페이지로 이동
  2. 피어 VPN 게이트웨이 만들기 버튼을 클릭합니다.
  3. 피어 게이트웨이에 이름을 지정합니다.
  4. 물리적 피어 게이트웨이에 있는 인터페이스 수(one, two 또는 four)를 선택합니다.
  5. 물리적 VPN 게이트웨이의 인터페이스마다 인터페이스 IP 주소를 추가합니다.
  6. 만들기를 클릭합니다.

gcloud

다음 명령어를 실행할 때 물리적 VPN의 인터페이스 ID와 IP 주소를 입력합니다. 인터페이스 수를 1, 2, 4로 입력할 수 있습니다.

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

명령어 결과는 다음 예시와 같이 표시되어야 합니다.

Creating external VPN Gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

api

이 명령어에 게이트웨이 중복 유형 목록을 사용할 수 있습니다.

externalVpnGateways.insert 메서드를 사용하여 POST 요청을 실행합니다.

  POST https://www.googleapis.com/compute/v1/projects/project-id/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

VPN 터널 구성

피어 VPN 게이트웨이에 대한 문서를 참조하여 생성한 각 Cloud VPN 터널에 해당하는 터널을 만듭니다.

HA VPN의 경우 피어 게이트웨이에 2개의 터널을 구성합니다. 피어 게이트웨이의 한 터널은 인터페이스 0의 Cloud VPN 터널에 해당하고 피어 게이트웨이의 다른 터널은 인터페이스 1의 Cloud VPN 터널에 해당합니다.

또한 피어 게이트웨이의 각 터널은 HA VPN 게이트웨이가 사용할 고유한 외부 IP 주소를 사용해야 합니다.

동적 라우팅을 위한 BGP 세션 구성

동적 라우팅의 경우에만 Cloud Router에 공지할 피어 서브넷의 BGP 세션을 지원하도록 피어 VPN 게이트웨이를 구성합니다.

Cloud Router의 ASN 및 IP 주소와 Cloud VPN 게이트웨이의 정보를 사용하여 피어 게이트웨이를 구성합니다.

Cloud Router 요약 정보를 사용하여 Google ASN, 구성된 피어 네트워크 ASN, BGP IP 주소를 가져올 수 있습니다. 라우터 구성 보기에서 Cloud Router에 대한 위의 정보를 확인하세요.

HA VPN의 경우 피어 VPN 게이트웨이의 관점에서 피어 ASN인 Google ASN은 두 터널 모두에서 동일합니다.

방화벽 규칙 구성

피어 네트워크의 방화벽 규칙 구성에 대한 안내는 방화벽 규칙 구성을 참조하세요.

IKE 구성

동적 라우팅, 경로 기반 라우팅, 정책 기반 라우팅의 경우 다음 안내에 따라 피어 VPN 게이트웨이에 IKE를 구성합니다.

다음 매개변수를 사용하여 IKE를 위한 피어 VPN 게이트웨이 및 터널을 구성합니다.

IKEv1 및 IKEv2:

설정
IPsec 모드 ESP+인증 터널 모드(사이트 간)
인증 프로토콜 psk
공유 보안 비밀 IKE 사전 공유 키라고도 합니다. 이 가이드라인에 따라 강력한 비밀번호를 선택하세요. 공유 보안 비밀은 네트워크에 액세스를 허용하기 때문에 매우 민감합니다.
시작 auto(연결이 끊어질 경우 피어링된 기기가 연결을 자동으로 다시 시작함)
PFS(Perfect Forward Secrecy) 켜짐
DPD(죽은 피어 감지) 권장: Aggressive DPD는 가 다시 시작되고 대체 터널을 사용하여 트래픽을 라우팅할 때 이를 감지합니다.
INITIAL_CONTACT(경우에 따라 고유 ID라고도 부름) 권장: on(restart라고도 함). 목적은 재시작을 더 빠르게 감지하여 인지된 작동 중지 시간을 줄이는 것입니다.
TSi(트래픽 선택기 - 개시자) 서브넷 네트워크: --local-traffic-selector 플래그로 지정된 범위. VPN이 자동 모드 VPC 네트워크에 있고, 게이트웨이 서브넷만 발표하기 때문에 --local-traffic-selector가 지정되지 않은 경우, 해당 서브넷 범위가 사용됩니다.
이전 네트워크: 네트워크의 범위.
TSr(트래픽 선택기 - 반응자) IKEv2: --next-hop-vpn-tunnel이 이 터널로 설정된 모든 경로의 대상 범위.
IKEv1: 임의적으로 --next-hop-vpn-tunnel이 이 터널로 설정된 경로 중 하나의 대상 범위.
MTU 피어 VPN 기기의 MTU는 1,460바이트를 초과하면 안 됩니다. 기기에서 사전 조각화를 사용 설정해야 합니다. 즉, 패킷을 먼저 조각화한 후 캡슐화해야 합니다. 자세한 내용은 최대 전송 단위(MTU) 고려 사항을 참조하세요.

IKEv1 전용의 추가 매개변수:

설정
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS 알고리즘 그룹 2(MODP_1024)

IKE 암호화 개요

기본 VPN 및 HA VPN에서 지원되는 IKE 암호화는 다음과 같습니다.

IKEv2에는 두 개의 섹션이 있습니다. 하나는 연관 데이터로 암호화 인증(AEAD)을 사용하는 암호화용이고 다른 하나는 AEAD를 사용하지 않는 암호화용입니다.

AEAD를 사용하는 IKEv2 암호화

1단계

암호화 역할 암호화 참고
암호화 및 무결성
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
이 목록에서 첫 번째 번호는 바이트(옥텟)로 표시한 ICV 매개변수 크기이고 두 번째 번호는 비트로 표시한 키 길이입니다.

일부 문서에서는 ICV 매개변수(첫 번째 번호)를 비트 단위(8은 64, 12는 96, 16은 128)로 표현할 수도 있습니다.
PRF(의사 난수 함수)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
많은 장치에서 명시적인 PRF 설정이 필요하지 않습니다.
DH(Diffie-Hellman)
  • modp_2048(그룹 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(그룹 5)
  • modp_3072(그룹 15)
  • modp_4096(그룹 16)
  • modp_8192(그룹 18)
  • modp_1024(그룹 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN의 제안은 이러한 주요 교환 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 포함하는 모든 제안을 임의의 순서로 허용합니다.
1단계 수명 36,000초(10시간)

2단계

암호화 역할 암호화 참고
암호화 및 무결성
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
Cloud VPN의 제안은 이러한 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 포함하는 모든 제안을 임의의 순서로 허용합니다.

각 알고리즘의 첫 번째 번호는 바이트(옥텟)로 표시한 ICV 매개변수 크기이고 두 번째 번호는 비트로 표시한 키 길이입니다. 일부 문서에서는 ICV 매개변수(첫 번째 번호)를 비트 단위(8은 64, 12는 96, 16은 128)로 표현할 수도 있습니다.
PFS 알고리즘(필수)
  • modp_2048(그룹 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(그룹 5)
  • modp_3072(그룹 15)
  • modp_4096(그룹 16)
  • modp_8192(그룹 18)
  • modp_1024(그룹 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN의 제안은 이러한 주요 교환 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 순서대로 포함하는 모든 제안을 허용합니다.
DH(Diffie-Hellman) 1단계 참조 VPN 게이트웨이에 2단계의 DH 설정이 필요한 경우 1단계에서 사용한 것과 동일한 설정을 사용합니다.
2단계 수명 10,800초(3시간)

AEAD를 사용하지 않는 IKEv2 암호화

1단계

암호화 역할 암호화 참고
암호화
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
Cloud VPN의 제안은 이러한 대칭 암호화 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 사용하는 모든 제안을 임의의 순서로 허용합니다.
무결성
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
Cloud VPN의 제안은 이러한 HMAC 알고리즘을 표시된 순서대로 표시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 순서대로 포함하는 모든 제안을 허용합니다.

온프레미스 VPN 게이트웨이 문서는 알고리즘에 약간 다른 이름을 사용할 수 있습니다. 예를 들어 HMAC-SHA2-512-256은 자르기 길이 번호 및 기타 여분의 정보를 모두 삭제하고 단순히 SHA2-512 또는 SHA-512로 표시할 수 있습니다.
PRF(의사 난수 함수)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
많은 장치에서 명시적인 PRF 설정이 필요하지 않습니다.
DH(Diffie-Hellman)
  • modp_2048(그룹 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(그룹 5)
  • modp_3072(그룹 15)
  • modp_4096(그룹 16)
  • modp_8192(그룹 18)
  • modp_1024(그룹 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN의 제안은 이러한 주요 교환 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 포함하는 모든 제안을 임의의 순서로 허용합니다.
1단계 수명 36,000초(10시간)

2단계

암호화 역할 암호화 참고
암호화
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
Cloud VPN의 제안은 이러한 대칭 암호화 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 포함하는 모든 제안을 임의의 순서로 허용합니다.
무결성
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
Cloud VPN의 제안은 이러한 HMAC 알고리즘을 표시된 순서대로 표시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 포함하는 모든 제안을 임의의 순서로 허용합니다.

온프레미스 VPN 게이트웨이 문서는 알고리즘에 약간 다른 이름을 사용할 수 있습니다. 예를 들어 HMAC-SHA2-512-256은 자르기 길이 번호 및 기타 여분의 정보를 모두 삭제하고 단순히 SHA2-512 또는 SHA-512로 표시할 수 있습니다.
PFS 알고리즘(필수)
  • modp_2048(그룹 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(그룹 5)
  • modp_3072(그룹 15)
  • modp_4096(그룹 16)
  • modp_8192(그룹 18)
  • modp_1024(그룹 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN의 제안은 이러한 주요 교환 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 포함하는 모든 제안을 임의의 순서로 허용합니다.
DH(Diffie-Hellman) 1단계를 참조하세요. VPN 게이트웨이에 2단계의 DH 설정이 필요한 경우 1단계에서 사용한 것과 동일한 설정을 사용합니다.
2단계 수명 10,800초(3시간)

IKEv1 암호화

1단계

암호화 역할 암호화
암호화 AES-CBC-128
무결성 HMAC-SHA1-96
PRF(의사 난수 함수)* PRF-SHA1-96
DH(Diffie-Hellman) modp_1024(그룹 2)
1단계 수명 36,600초(10시간, 10분)

*IKEv1의 PRF에 대한 자세한 내용은 RFC 2409를 참조하세요.

2단계

암호화 역할 암호화
암호화 AES-CBC-128
무결성 HMAC-SHA1-96
PFS 알고리즘(필수) modp_1024(그룹 2)
DH(Diffie-Hellman) VPN 게이트웨이에 DH를 지정해야 하는 경우 1단계에서 사용한 것과 동일한 설정을 사용합니다.
2단계 수명 10,800초(3시간)

다음 단계