문제해결

이 문제해결 가이드는 Cloud VPN와 관련된 일반적인 문제를 모니터링하고 해결하는 데 도움이 됩니다.

상태 메시지 및 IKE 암호화 참조를 해석하려면 참조 섹션을 참조하세요.

로그 및 측정항목 보기

로그 및 측정항목 보기를 참조하세요.

오류 메시지 확인

  1. Google Cloud Console에서 VPN 페이지로 이동합니다.
    VPN 페이지로 이동
  2. 아이콘이 표시되면, 그 위로 마우스를 가져가서 오류 메시지를 확인합니다.

많은 경우에 오류 메시지를 통해 해당 문제를 정확하게 파악할 수 있습니다. 그렇지 않으면, 로그에서 자세한 정보를 확인합니다. Google Cloud Console의 터널 세부정보 페이지에도 자세한 상태 정보가 있습니다.

VPN 로그 확인

Cloud VPN 로그는 Cloud Logging에 저장됩니다. 로깅은 자동으로 수행되므로 사용하도록 설정할 필요가 없습니다.

피어 게이트웨이의 제품 문서에서 연결 측면의 로그 확인 정보를 검토합니다.

많은 경우에 게이트웨이가 올바르게 구성되지만, 호스트와 게이트웨이 사이의 피어 네트워크 또는 피어 게이트웨이와 Cloud VPN 게이트웨이 사이의 네트워크에 문제가 있습니다.

Logging 페이지로 이동

로그에서 다음 정보를 확인합니다.

  1. Cloud VPN 게이트웨이에 구성된 원격 피어 IP 주소가 올바른지 확인합니다.
  2. 온프레미스 호스트의 트래픽이 피어 게이트웨이에 도달하는지 확인합니다.
  3. 트래픽이 2개의 VPN 게이트웨이 간에 양방향으로 연결되는지 확인합니다. VPN 로그에서 다른 VPN 게이트웨이에서 들어오는 것으로 보고된 메시지가 있는지 확인합니다.
  4. 구성된 IKE 버전이 터널 양측에서 동일한지 확인합니다.
  5. 공유 보안 비밀이 터널 양측에서 동일한지 확인합니다.
  6. 피어 VPN 게이트웨이가 일대일 NAT 뒤에 있는 경우, UDP 트래픽을 포트 500 및 4500에서 피어 VPN 게이트웨이로 전달하도록 NAT 기기가 올바르게 구성되었는지 확인합니다. NAT 기기의 공개 IP 주소를 사용하여 자신을 식별하도록 피어 게이트웨이를 구성해야 합니다. 자세한 내용은 NAT 뒤의 온프레미스 게이트웨이를 참조하세요.
  7. VPN 로그에 no-proposal-chosen 오류가 표시된 경우 Cloud VPN 및 피어 VPN 게이트웨이가 암호 집합에 동의할 수 없음을 나타냅니다. IKEv1의 경우 암호 집합이 정확하게 일치해야 합니다. IKEv2의 경우에는 각 게이트웨이에서 제안된 하나 이상의 공통 암호가 있어야 합니다. 지원되는 암호를 사용하여 피어 VPN 게이트웨이가 구성되어 있는지 확인합니다.
  8. 트래픽이 터널을 통과할 수 있도록 피어 및 Google Cloud 경로와 방화벽 규칙이 구성되어 있는지 확인합니다. 네트워크 관리자에게 도움을 요청해야 할 수 있습니다.

또한 특정 문제를 찾기 위해 로그에서 다음 문자열을 검색할 수 있습니다.

  1. Google Cloud Console의 로그 뷰어로 이동합니다.
    로그 뷰어로 이동
  2. 라벨 또는 텍스트로 필터링 검색창에서 맨 오른쪽에 있는 펼침 삼각형을 클릭하고 고급 필터로 전환을 선택합니다.
  3. 아래 나열된 고급 필터 중 하나를 사용하여 특정 이벤트를 검색하고 기간을 필요에 따라 조정합니다.
검색할 이벤트 사용해야 하는 Logging Search
Cloud VPN이 1단계(IKE SA)를 시작함

resource.type="vpn_gateway"
    ("initiating IKE_SA" OR "generating IKE_SA_INIT request")
Cloud VPN이 원격 피어에 연결할 수 없음

resource.type="vpn_gateway"
    "establishing IKE_SA failed, peer not responding"
IKE(1단계) 인증 이벤트

resource.type="vpn_gateway"
    ("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
IKE 인증 성공

resource.type="vpn_gateway"
    ("authentication of" AND "with pre-shared key successful")
1단계(IKE SA) 설정됨

resource.type="vpn_gateway"
    ("IKE_SA" AND "established between")
모든 2단계(하위 SA) 이벤트(키 갱신 이벤트 포함)

resource.type="vpn_gateway"
    "CHILD_SA"
피어가 2단계 키 갱신을 요청함

resource.type="vpn_gateway"
    detected rekeying of CHILD_SA
피어가 2단계(하위 SA) 종료를 요청함

resource.type="vpn_gateway"
    received DELETE for ESP CHILD_SA
Cloud VPN이 2단계(하위 SA) 종료를 요청함

resource.type="vpn_gateway"
    sending DELETE for ESP CHILD_SA
Cloud VPN이 피어에 대한 응답으로 2단계(하위 SA)를 종료함

resource.type="vpn_gateway" closing CHILD_SA
Cloud VPN이 2단계 자체를 종료함

resource.type="vpn_gateway" CHILD_SA closed
원격 트래픽 선택기가 일치하지 않는 경우

resource.type="vpn_gateway"
    Remote traffic selectors narrowed
로컬 트래픽 선택기가 일치하지 않는 경우

resource.type="vpn_gateway"
    Local traffic selectors narrowed

연결 확인

핑을 사용하여 온프레미스 시스템과 Google Cloud VM 사이의 연결을 확인할 때는 다음 제안 사항을 고려하세요.

  • Google Cloud 네트워크의 방화벽 규칙이 들어오는 ICMP 트래픽을 허용하는지 확인합니다. 묵시적 이그레스 허용 규칙은 개발자가 트래픽을 재정의하지 않는 한 네트워크에서 나가는 ICMP 트래픽을 허용합니다. 이와 비슷하게, 온프레미스 방화벽이 들어오고 나가는 ICMP 트래픽을 허용하도록 구성되어 있는지 확인합니다.

  • 내부 IP 주소를 사용하여 Google Cloud VM 및 온프레미스 시스템에 핑을 수행합니다. VPN 게이트웨이의 외부 IP 주소에 핑을 수행하면 터널을 통한 연결을 테스트할 수 없습니다.

  • 온프레미스에서 Google Cloud로의 연결을 테스트할 때는 VPN 게이트웨이가 아니라 개발자 네트워크에 있는 시스템에서 핑을 시작하는 것이 가장 좋습니다. 적합한 소스 인터페이스를 설정한 경우에는 게이트웨이에서 핑을 수행할 수 있지만 네트워크의 인스턴스에서 핑을 수행하면 방화벽 구성을 테스트하는 추가 이점이 있습니다.

  • 핑 테스트는 실제 열려 있는 TCP 또는 UDP 포트를 확인하지 않습니다. 핑을 사용하여 시스템의 기본 연결을 확인한 후 추가 테스트를 수행해야 합니다.

네트워크 처리량 계산

Google Cloud 내에서 온프레미스 또는 타사 클라우드 위치에 대한 네트워크 처리량을 계산할 수 있습니다. 위의 문서에는 결과를 분석하는 방법, 네트워크 성능에 영향을 줄 수 있는 변수에 대한 설명, 문제해결 팁이 포함되어 있습니다.

일반적인 문제 및 해결책

정기적으로 몇 초 동안 작동 중지되는 터널

기본적으로 Cloud VPN은 기존 SA가 종료되기 전 대체 SA를 협상합니다(키 갱신이라고도 부름). 피어 VPN 게이트웨이는 키 갱신을 수행하지 않을 수 있습니다. 대신 기존 SA를 삭제한 후에만 새 SA를 협상하여, 중단이 발생할 수 있습니다.

피어 게이트웨이가 키 갱신을 수행하는지 여부는 Cloud VPN 로그를 확인하세요. Received SA_DELETE 로그 메시지 바로 다음에 연결이 삭제되었다가 다시 설정되면 온프레미스 게이트웨이가 키 갱신을 수행하지 않은 것입니다.

지원되는 IKE 암호화 문서를 사용하여 터널 설정을 확인하세요. 특히 2단계 수명 시간이 올바르고, DH(Diffie-Hellman) 그룹이 권장 값 중 하나로 설정되었는지 확인해야 합니다.

Logging 고급 로그 필터를 사용하면 Cloud VPN 터널의 이벤트를 검색할 수 있습니다. 예를 들어 다음 고급 필터는 DH 그룹 불일치를 검색합니다.

    resource.type="vpn_gateway"
    "Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"
    

NAT 뒤의 온프레미스 게이트웨이

Cloud VPN은 NAT 뒤의 온프레미스 또는 피어 VPN 게이트웨이로 작동할 수 있습니다. 이를 위해서는 UDP 캡슐화 및 NAT-T가 필요하며, 일대일 NAT만 지원됩니다.

인증 과정 중에 Cloud VPN은 피어 게이트웨이의 ID를 확인합니다. Cloud VPN에서 모든 피어 게이트웨이는 Cloud VPN 터널에 대해 구성된 공개 IP(피어 게이트웨이) 주소로 RFC 7815에 지정된 대로 ID_IPV4_ADDR ID 유형을 사용하여 자신을 식별해야 합니다.

다음 로그 메시지는 피어 VPN 게이트웨이가 비공개 IP 주소로 자신을 올바르지 않게 식별하고 있음을 나타냅니다. 다음 예시에서 [PEER GATEWAY PRIVATE IP]는 비공개 IP 주소이고, [PEER GATEWAY PUBLIC IP]는 피어 VPN 게이트웨이와 인터넷 사이의 NAT 기기의 공개 IP 주소입니다.

    authentication of '[PEER GATEWAY PRIVATE IP]' with pre-shared key successful
    constraint check failed: identity '[PEER GATEWAY PUBLIC IP]' required
    selected peer config 'vpn_[PEER GATEWAY PUBLIC IP]' inacceptable: constraint checking failed
    

일대일 NAT를 사용할 때, 온프레미스 VPN 게이트웨이는 NAT 기기의 동일한 공개 IP 주소를 사용하여 자신을 식별해야 합니다.

  • ID 유형은 ID_IPV4_ADDR(RFC 7815)여야 합니다.

  • 모든 Cisco 기기에서 기기가 사용 중인 항목(내부 주소)과 다른 IP 주소로 기기 ID를 설정하도록 지원되지는 않습니다. 예를 들어 Cisco ASA 기기는 해당 ID로 다른(외부) IP 주소 할당을 지원하지 않습니다. 따라서 Cisco ASA 기기는 Cloud VPN에 일대일 NAT를 사용하도록 구성할 수 없습니다.

  • Juniper 기기의 경우에는 set security ike gateway [NAME] local-identity inet [PUBLIC_IP]를 사용하여 기기의 ID를 설정할 수 있습니다. 여기서 [NAME]은 VPN 게이트웨이 이름이고 [PUBLIC_IP]는 공개 IP 주소입니다. 자세한 내용은 이 Juniper TechLibrary 문서를 참조하세요.

일부 VM에서만 작동하고 다른 VM에서는 작동하지 않는 연결

ping, traceroute 또는 다른 트래픽 전송 방법이 일부 VM에서 온프레미스 시스템으로만 작동하거나, 일부 온프레미스 시스템에서 일부 Google Cloud VM으로만 작동하는 경우, 그리고 Google Cloud와 온프레미스 방화벽 규칙이 개발자가 전송 중인 트래픽을 차단하지 않는 것으로 확인된 경우 특정 소스 또는 대상을 제외하는 트래픽 선택기가 있을 수 있습니다.

트래픽 선택기는 VPN 터널을 위한 IP 주소 범위를 정의합니다. 경로 외에도 대부분의 VPN 구현은 해당 소스가 로컬 트래픽 선택기에 지정된 IP 범위 내에 있는 경우 그리고 대상이 원격 트래픽 선택기에 지정된 IP 범위 내에 있는 경우에만 터널을 통해 패킷을 전달합니다. 정책 기반 라우팅 또는 경로 기반 VPN을 사용하여 기본 VPN 터널을 만들 때 트래픽 선택기를 지정합니다. 또한 해당하는 피어 터널을 만들 때 트래픽 선택기를 지정합니다.

일부 공급업체는 로컬 프록시, 로컬 암호화 도메인 또는 좌측 네트워크라는 용어를 로컬 트래픽 선택기의 동의어로 사용합니다. 이와 비슷하게, 원격 프록시, 원격 암호화 도메인 또는 우측 네트워크원격 트래픽 선택기의 동의어입니다.

기본 VPN 터널의 트래픽 선택기를 변경하려면 터널을 삭제하고 다시 만들어야 합니다. 그 이유는 트래픽 선택기가 터널 만들기의 핵심 부분이고, 터널을 나중에 수정할 수 없기 때문입니다.

트래픽 선택기를 정의할 때는 다음 안내를 따르세요.

  • Cloud VPN 터널의 로컬 트래픽 선택기는 피어 네트워크와 공유해야 하는 VPC 네트워크에 있는 모든 서브넷을 포함합니다.
  • 피어 네트워크의 로컬 트래픽 선택기는 VPC 네트워크와 공유해야 하는 모든 온프레미스 서브넷을 포함합니다.
  • 특정 VPN 터널에 대해 트래픽 선택기는 다음 관계를 갖습니다.
    • Cloud VPN 로컬 트래픽 선택기가 피어 VPN 게이트웨이에 있는 터널의 원격 트래픽 선택기와 일치해야 합니다.
    • Cloud VPN 원격 트래픽 선택기가 피어 VPN 게이트웨이에 있는 터널의 로컬 트래픽 선택기와 일치해야 합니다.

기본 VPN 및 HA VPN 게이트웨이 연결

Google Cloud는 기본 VPN 게이트웨이에 연결하는 HA VPN 게이트웨이에서 터널을 만드는 것을 지원하지 않습니다. 기본 VPN 게이트웨이의 공개 IP 주소가 있는 externalVpnGateway 리소스를 만들려고 하면 Google Cloud에서 다음과 같은 오류 메시지를 반환합니다.

      You cannot provide an interface with an IP address owned by Google Cloud.
      You can only create tunnels from an HA gateway to an HA gateway
      or create tunnels from an HA gateway to an ExternalVpnGateway.
    

이는 정상적인 동작입니다. 대신 HA VPN 게이트웨이를 다른 HA VPN 게이트웨이에 연결하는 VPN 터널을 만듭니다.

문제해결 참조

이 섹션에는 상태 아이콘 목록, 상태 메시지, 지원되는 IKE 암호화 목록이 포함되어 있습니다.

상태 아이콘

Cloud VPN은 Google Cloud Console에서 다음 상태 아이콘을 사용합니다.

아이콘 그래픽 색상 설명 적용 메시지
녹색 성공 아이콘
녹색 성공 ESTABLISHED
노란색 경고 아이콘
노란색 경고 ALLOCATING RESOURCES, FIRST HANDSHAKE, WAITING FOR FULL CONFIG, PROVISIONING
빨간색 오류 아이콘
빨간색 오류 남은 모든 메시지

상태 메시지

Cloud VPN은 다음 상태 메시지를 사용하여 VPN 게이트웨이 및 터널 상태를 나타냅니다. VPN 터널은 표시된 상태에 따라 청구됩니다.

메시지 설명 이 상태에서의 터널 청구 여부
ALLOCATING RESOURCES 터널 설정을 위해 리소스 할당 중
PROVISIONING 터널 설정을 위해 모든 구성의 수신 대기 중 아니요
WAITING FOR FULL CONFIG 전체 구성이 수신되었지만, 터널이 아직 설정되지 않음
FIRST HANDSHAKE 터널 설정 중
ESTABLISHED 보안 통신 세션이 성공적으로 설정됨
NETWORK ERROR
(NO INCOMING PACKETS으로 대체)
잘못된 IPsec 승인
AUTHORIZATION ERROR 핸드셰이크 실패
NEGOTIATION FAILURE 터널 구성이 거부됨, 차단 목록 때문일 수 있음
DEPROVISIONING 터널을 종료 중임 아니요
NO INCOMING PACKETS 게이트웨이가 온프레미스 VPN에서 패킷을 수신 중이 아님
REJECTED 터널 구성이 거부되었습니다. 지원 센터에 연락하세요.
STOPPED 터널이 중지되었고 활성 상태가 아닙니다. VPN 터널에 필요한 하나 이상의 전달 규칙이 삭제되었기 때문일 수 있습니다.

IKE 암호화 개요

다음 IKE 암호는 기본 VPN 및 HA VPN에 지원됩니다. IKEv2에는 두 개의 섹션이 있으며, 하나는 연관 데이터로 암호화 인증(AEAD)을 사용하는 암호화용이며 다른 하나는 AEAD를 사용하지 않는 암호화용입니다.

AEAD를 사용하는 IKEv2 암호화

1단계

암호화 역할 암호화 참고
암호화 및 무결성
  • AES-GCM-8-128
  • AES-GCM-8-192
  • AES-GCM-8-256
  • AES-GCM-12-128
  • AES-GCM-12-192
  • AES-GCM-12-256
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
이 목록에서 첫 번째 번호는 바이트(옥텟)의 ICV 매개변수 크기이고 두 번째 번호는 비트의 키 길이입니다.

일부 문서는 ICV 매개변수(첫 번째 번호)를 비트 단위(8은 64, 12는 96, 16은 128)로 표현할 수도 있습니다.
PRF(의사 난수 함수)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
많은 장치에서 명시적인 PRF 설정이 필요하지 않습니다.
DH(Diffie-Hellman)
  • modp_2048(그룹 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(그룹 5)
  • modp_3072(그룹 15)
  • modp_4096(그룹 16)
  • modp_8192(그룹 18)
  • modp_1024(그룹 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN의 제안은 이러한 주요 교환 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 포함하는 모든 제안을 임의의 순서로 허용합니다.
1단계 수명 36,000초(10시간)

2단계

암호화 역할 암호화 참고
암호화 및 무결성
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
  • AES-GCM-12-128
  • AES-GCM-8-128
Cloud VPN의 제안은 이러한 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 포함하는 모든 제안을 임의의 순서로 허용합니다.

각 알고리즘의 첫 번째 번호는 바이트(옥텟)의 ICV 매개변수 크기이고 두 번째 번호는 비트의 키 길이입니다. 일부 문서는 ICV 매개변수(첫 번째 번호)를 비트 단위(8은 64, 12는 96, 16은 128)로 표현할 수도 있습니다.
PFS 알고리즘(필수)
  • modp_2048(그룹 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(그룹 5)
  • modp_3072(그룹 15)
  • modp_4096(그룹 16)
  • modp_8192(그룹 18)
  • modp_1024(그룹 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN의 제안은 이러한 주요 교환 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 포함하는 모든 제안을 임의의 순서로 허용합니다.
DH(Diffie-Hellman) 1단계 참조 VPN 게이트웨이에 2단계의 DH 설정이 필요한 경우 1단계에서 사용한 것과 동일한 설정을 사용합니다.
2단계 수명 10,800초(3시간)

AEAD를 사용하지 않는 IKEv2 암호화

1단계

암호화 역할 암호화 참고
암호화
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
Cloud VPN의 제안은 이러한 대칭 암호화 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 사용하는 모든 제안을 임의의 순서로 허용합니다.
무결성
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
Cloud VPN의 제안은 이러한 HMAC 알고리즘을 표시된 순서대로 표시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 순서대로 포함하는 모든 제안을 허용합니다.

온프레미스 VPN 게이트웨이 문서는 알고리즘에 약간 다른 이름을 사용할 수 있습니다. 예를 들어 HMAC-SHA2-512-256은 자르기 길이 번호 및 기타 여분의 정보를 모두 삭제하고 단순히 SHA2-512 또는 SHA-512로 표시할 수 있습니다.
PRF(의사 난수 함수)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
많은 장치에서 명시적인 PRF 설정이 필요하지 않습니다.
DH(Diffie-Hellman)
  • modp_2048(그룹 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(그룹 5)
  • modp_3072(그룹 15)
  • modp_4096(그룹 16)
  • modp_8192(그룹 18)
  • modp_1024(그룹 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN의 제안은 이러한 주요 교환 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 포함하는 모든 제안을 임의의 순서로 허용합니다.
1단계 수명 36,000초(10시간)

2단계

암호화 역할 암호화 참고
암호화
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
Cloud VPN의 제안은 이러한 대칭 암호화 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 포함하는 모든 제안을 임의의 순서로 허용합니다.
무결성
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
Cloud VPN의 제안은 이러한 HMAC 알고리즘을 표시된 순서대로 표시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 포함하는 모든 제안을 임의의 순서로 허용합니다.

온프레미스 VPN 게이트웨이 문서는 알고리즘에 약간 다른 이름을 사용할 수 있습니다. 예를 들어 HMAC-SHA2-512-256은 자르기 길이 번호 및 기타 여분의 정보를 모두 삭제하고 단순히 SHA2-512 또는 SHA-512로 표시할 수 있습니다.
PFS 알고리즘(필수)
  • modp_2048(그룹 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(그룹 5)
  • modp_3072(그룹 15)
  • modp_4096(그룹 16)
  • modp_8192(그룹 18)
  • modp_1024(그룹 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN의 제안은 이러한 주요 교환 알고리즘을 표시된 순서대로 제시합니다. Cloud VPN은 이러한 알고리즘 중 하나 이상을 포함하는 모든 제안을 임의의 순서로 허용합니다.
DH(Diffie-Hellman) 1단계를 참조하세요. VPN 게이트웨이에 2단계의 DH 설정이 필요한 경우 1단계에서 사용한 것과 동일한 설정을 사용합니다.
2단계 수명 10,800초(3시간)

IKEv1 암호화

1단계

암호화 역할 암호화
암호화 AES-CBC-128
무결성 HMAC-SHA1-96
PRF(의사 난수 함수) PRF-SHA1-96
DH(Diffie-Hellman) modp_1024(그룹 2)
1단계 수명 36,600초(10시간, 10분)

2단계

암호화 역할 암호화
암호화 AES-CBC-128
무결성 HMAC-SHA1-96
PFS 알고리즘(필수) modp_1024(그룹 2)
DH(Diffie-Hellman) VPN 게이트웨이에 DH를 지정해야 하는 경우 1단계에서 사용한 것과 동일한 설정을 사용합니다.
2단계 수명 10,800초(3시간)

다음 단계

문제해결 관련

  • 로그 내보내기 방법과 모니터링 및 알림을 위한 로그 기반 측정항목 사용 방법을 포함한 자세한 내용은 Logging 문서를 참조하세요.

VPN 관련