목표
이 문서의 목적은 RV34x 시리즈 라우터에서 IKEv2로 IPsec 프로파일을 구성하는 방법을 보여 주는 것입니다.
소개
RV34x Series 라우터용 펌웨어 버전 1.0.02.16은 이제 Site-to-Site VPN 및 Client-to-Site VPN용 IKEv2(Internet Key Exchange Version 2)를 지원합니다.IKE는 ISAKMP(Internet Security Association and Key Management Protocol) 프레임워크 내에서 Oakley 키 교환 및 SKEME 키 교환을 구현하는 하이브리드 프로토콜입니다.IKE는 IPsec 피어에 대한 인증을 제공하고 IPsec 키를 협상하며 IPsec 보안 연결을 협상합니다.
IKEv2는 여전히 UDP 포트 500을 사용하지만 몇 가지 변경 사항이 있습니다.DPD(Dead Peer Detection)는 다르게 관리되며 현재 기본 제공됩니다.SA(Security Association) 협상은 메시지 4개로 최소화됩니다.이 새로운 업데이트는 AAA 서버 및 서비스 거부 보호를 활용할 수 있는 EAP(Extensible Authentication Protocol) 인증도 지원합니다.
아래 표에는 IKEv1과 IKEv2의 차이점이 나와 있습니다
IKEv1 |
IKEv2 |
SA 2단계 협상 (주 모드와 적극적인 모드 비교) |
SA 단일 단계 협상(간소화) |
|
로컬/원격 인증서 지원 |
|
충돌 처리 향상 |
|
리키잉 역학 향상 |
|
NAT 접근 기본 제공 |
|
AAA 서버에 대한 EAP 지원 |
IPsec은 인터넷을 통해 안전한 개인 통신을 보장합니다.인터넷을 통해 중요한 정보를 전송하는 데 필요한 2개 이상의 호스트의 프라이버시, 무결성 및 신뢰성을 제공합니다.IPsec은 일반적으로 VPN(Virtual Private Network)에서 사용되며 IP 레이어에서 구현되어 보안되지 않은 여러 애플리케이션에 보안을 추가합니다.VPN은 인터넷과 같은 보안되지 않은 네트워크를 통해 전송되는 민감한 데이터 및 IP 정보에 대한 보안 통신 메커니즘을 제공하는 데 사용됩니다.또한 원격 사용자와 조직을 위한 유연한 솔루션을 제공하여 동일한 네트워크의 다른 사용자로부터 중요한 정보를 보호합니다.
VPN 터널의 두 끝이 성공적으로 암호화되어 설정되려면 암호화, 암호 해독 및 인증 방법에 모두 동의해야 합니다.IPsec 프로파일은 IPsec의 중앙 컨피그레이션으로, 자동 모드 및 수동 키 지정 모드에서의 Phase I 및 II 협상에 대한 암호화, 인증 및 DH(Diffie-Hellman) 그룹과 같은 알고리즘을 정의합니다.1단계에서는 보안 인증 통신을 만들기 위해 사전 공유 키를 설정합니다.2단계에서는 트래픽이 암호화됩니다.프로토콜(ESP(Encapsulation Security Payload), AH(Authentication Header), 모드(터널, 전송), 알고리즘(암호화, 무결성, Diffie-Hellman), PFS(Perfect Forward Secrecy), SA 수명, 키 관리 프로토콜(IKE(Internet Key Exchange) - IKEv1 및 IKEv2)과 같은 대부분의 IPsec 매개변수를 구성할 수 있습니다.
Cisco IPsec 기술에 대한 추가 정보는 다음 링크에서 확인할 수 있습니다.Cisco IPSec 기술 소개.
Site-to-Site VPN을 구성할 때 원격 라우터에는 로컬 라우터와 동일한 IPsec 프로필 컨피그레이션이 필요합니다.
다음은 로컬 라우터와 원격 라우터의 구성 테이블입니다.이 문서에서는 라우터 A를 사용하여 로컬 라우터를 구성합니다.
필드 |
로컬 라우터(라우터 A) |
원격 라우터(라우터 B) |
프로파일 이름 |
홈 오피스 |
원격 사무실 |
키잉 모드 |
자동 |
자동 |
IKE 버전 |
IKEv2 |
IKEv2 |
1단계 옵션 |
1단계 옵션 |
1단계 옵션 |
DH 그룹 |
Group2 - 1024비트 |
Group2 - 1024비트 |
암호화 |
AES-192 |
AES-192 |
인증 |
SHA2-256 |
SHA2-256 |
SA 수명 |
28800 |
28800 |
단계 II 옵션 |
단계 II 옵션 |
단계 II 옵션 |
프로토콜 선택 |
ESP |
ESP |
암호화 |
AES-192 |
AES-192 |
인증 |
SHA2-256 |
SHA2-256 |
SA 수명 |
3600 |
3600 |
PFS(Perfect Forward Secrecy) |
사용 |
사용 |
DH 그룹 |
Group2 - 1024비트 |
Group2 - 1024비트 |
RV34x에서 Site-to-Site VPN을 구성하는 방법을 알아보려면 다음 링크를 클릭하십시오.RV34x에서 Site-to-Site VPN 구성.
적용 가능한 디바이스
· RV34x
소프트웨어 버전
·1.0.02.16
IKEv2로 IPsec 프로필 구성
1단계. 로컬 라우터(라우터 A)의 웹 컨피그레이션 페이지에 로그인합니다.
2단계. VPN > IPSec 프로파일로 이동합니다.
3단계. IPSec Profiles 테이블에서 Add를 클릭하여 새 IPsec 프로필을 생성합니다.프로파일을 편집, 삭제 또는 복제하는 옵션도 있습니다.프로파일을 복제하면 IPsec Profiles Table(IPsec 프로파일 테이블)에 이미 있는 프로파일을 빠르게 복제할 수 있습니다.동일한 컨피그레이션으로 여러 프로필을 생성해야 하는 경우 클론 작업을 수행하면 시간이 절약됩니다.
4단계. 프로파일 이름을 입력하고 키 모드(자동 또는 수동)를 선택합니다. 프로파일 이름이 다른 라우터와 일치할 필요는 없지만 키 모드는 일치해야 합니다.
HomeOffice가 프로필 이름으로 입력됩니다.
키 모드에 대해 자동이 선택됩니다.
5단계. IKE 버전으로 IKEv1 또는 IKEv2를 선택합니다.IKE는 ISAKMP 프레임워크 내에서 Oakley 키 교환 및 Skeme 키 교환을 구현하는 하이브리드 프로토콜입니다.오클리와 스케미는 모두 인증된 키 자료를 파생시키는 방법을 정의하지만, 스키메에는 빠른 키 재질도 포함되어 있다.IKEv2는 키 교환을 수행하는 데 필요한 패킷 수를 줄이고 더 많은 인증 옵션을 지원하는 반면 IKEv1은 공유 키 및 인증서 기반 인증만 수행하기 때문에 더 효율적입니다.
이 예에서는 IKEv2가 IKE 버전으로 선택되었습니다.
참고:디바이스가 IKEv2를 지원하는 경우 IKEv2를 사용하는 것이 좋습니다. 디바이스가 IKEv2를 지원하지 않는 경우 IKEv1을 사용합니다.
6단계. I 단계에서는 II 단계에서 데이터를 암호화하는 데 사용할 키를 설정하고 교환합니다.Phase I 섹션에서 DH 그룹을 선택합니다.DH는 키 교환 프로토콜로서, 그룹 2 - 1024비트 및 그룹 5 - 1536비트의 서로 다른 기본 키 길이의 두 그룹을 사용합니다.
이 데모에서는 그룹 2 - 1024비트를 선택했습니다.
참고:더 빠른 속도와 더 낮은 보안을 위해 그룹 2를 선택합니다. 더 느린 속도와 더 높은 보안을 위해 그룹 5를 선택합니다. 그룹 2가 기본값으로 선택됩니다.
7단계. 드롭다운 목록에서 암호화 옵션(3DS, AES-128, AES-192 또는 AES-256)을 선택합니다.이 방법은 ESP/ISAKMP 패킷을 암호화하고 해독하는 데 사용되는 알고리즘을 결정합니다.3DES(Triple Data Encryption Standard)는 DES 암호화를 3번 사용하지만 이제 레거시 알고리즘으로, 다른 대안이 없는 경우에만 사용해야 합니다. 이는 미미하지만 허용 가능한 보안 수준을 제공하기 때문입니다.일부 "차단 충돌" 공격에 취약하기 때문에 이전 버전과의 호환성이 필요한 경우에만 사용해야 합니다.AES(Advanced Encryption Standard)는 DES보다 더 안전하도록 설계된 암호화 알고리즘입니다.AES는 더 큰 키 크기를 사용하여 메시지 해독에 알려진 유일한 방법은 침입자가 가능한 모든 키를 시도하기 위한 것입니다.장치에서 지원할 수 있는 경우 AES를 사용하는 것이 좋습니다.
이 예에서는 암호화 옵션으로 AES-192를 선택했습니다.
참고:IPsec 또는 Next Generation Encryption을 사용하여 VPN에 대한 보안 구성에 대한 추가 정보를 보려면 하이퍼링크를 클릭합니다.
8단계. 인증 방법은 ESP 헤더 패킷의 검증 방법을 결정합니다.이것이 인증에서 A측과 B측 측면의 실제 자기라고 말하는 것을 검증하기 위해 사용되는 해싱 알고리즘입니다.MD5는 128비트 다이제스트를 생성하고 SHA1보다 빠른 단방향 해싱 알고리즘입니다. SHA1은 160비트 다이제스트를 생성하는 단방향 해싱 알고리즘이며 SHA2-256은 256비트 다이제스트를 생성합니다.SHA2-256은 더 안전하므로 권장됩니다.VPN 터널의 양쪽 끝이 동일한 인증 방법을 사용하는지 확인합니다.인증(MD5, SHA1 또는 SHA2-256)을 선택합니다.
이 예제에 대해 SHA2-256이 선택되었습니다.
9단계. SA 수명(초)은 이 단계에서 IKE SA가 활성 상태인 시간을 알려줍니다.SA가 각 수명 후에 만료되면 새 협상에 대해 새 협상이 시작됩니다.범위는 120~86400이고 기본값은 28800입니다.
기본값인 28800초를 Phase I의 SA Lifetime으로 사용합니다.
참고:1단계의 SA 수명이 2단계 SA 수명보다 긴 것이 좋습니다.Phase I를 Phase II보다 짧게 만들면 데이터 터널이 아닌 터널을 앞뒤로 반복해서 재협상해야 합니다.데이터 터널은 더 많은 보안이 필요하므로 1단계보다 짧은 2단계의 수명을 제공하는 것이 좋습니다.
10단계. II단계는 전송 중인 데이터를 암호화하는 단계입니다.Phase 2 Options의 드롭다운 목록에서 프로토콜을 선택합니다.
·ESP(Encapsulating Security Payload) - 데이터 암호화를 위해 ESP를 선택하고 암호화를 입력합니다.
·Authentication Header(AH) - 데이터가 기밀이 아닌 경우, 즉 암호화되지 않지만 인증해야 하는 경우 데이터 무결성을 위해 선택합니다.트래픽의 소스 및 목적지를 검증하는 데만 사용됩니다.
이 예에서는 ESP를 프로토콜 선택으로 사용합니다.
11단계. 드롭다운 목록에서 암호화 옵션(3DES, AES-128, AES-192 또는 AES-256)을 선택합니다.이 방법은 ESP/ISAKMP 패킷을 암호화하고 해독하는 데 사용되는 알고리즘을 결정합니다.
이 예에서는 AES-192를 암호화 옵션으로 사용합니다.
참고:IPsec 또는 Next Generation Encryption을 사용하여 VPN에 대한 보안 구성에 대한 추가 정보를 보려면 하이퍼링크를 클릭합니다.
12단계. 인증 방법은 ESP(Encapsulating Security Payload Protocol) 헤더 패킷의 검증 방법을 결정합니다.인증(MD5, SHA1 또는 SHA2-256)을 선택합니다.
이 예제에 대해 SHA2-256이 선택되었습니다.
13단계. 이 단계에서 VPN 터널(IPsec SA)이 활성화된 시간을 입력합니다.2단계의 기본값은 3600초입니다.이 데모에서는 기본값을 사용합니다.
14단계. Enable(활성화)을 선택하여 PFS(Perfect Forward Secrecy)를 활성화합니다.PFS(Perfect Forward Secrecy)가 활성화된 경우 IKE Phase 2 협상은 IPsec 트래픽 암호화 및 인증을 위한 새로운 키 자료를 생성합니다.PFS는 공개 키 암호화를 사용하여 인터넷을 통해 전송되는 통신의 보안을 개선하는 데 사용됩니다.장치에서 지원할 수 있는 경우 이 옵션을 사용하는 것이 좋습니다.
15단계. DH(Diffie-Hellman) 그룹을 선택합니다.DH는 키 교환 프로토콜로서, 그룹 2 - 1024비트 및 그룹 5 - 1536비트의 서로 다른 기본 키 길이의 두 그룹을 사용합니다.이 데모에 그룹 2 - 1024비트를 선택했습니다.
참고:더 빠른 속도와 더 낮은 보안을 위해 그룹 2를 선택합니다. 더 느린 속도와 더 높은 보안을 위해 그룹 5를 선택합니다. 그룹 2가 기본적으로 선택됩니다.
16단계. Apply(적용)를 클릭하여 새 IPsec 프로필을 추가합니다.
17단계. Apply(적용)를 클릭한 후 새 IPsec 프로필을 추가해야 합니다.
18단계. 페이지 상단에서 저장 아이콘을 눌러 구성 관리로 이동하여 실행 중인 구성을 시작 구성에 저장합니다.이는 재부팅 사이에 컨피그레이션을 유지하기 위한 것입니다.
19단계. 구성 관리에서 소스가 실행 중인 컨피그레이션이고 대상이 시작 컨피그레이션인지 확인합니다.그런 다음 Apply를 눌러 실행 중인 컨피그레이션을 시작 컨피그레이션에 저장합니다.라우터가 현재 사용 중인 모든 컨피그레이션은 휘발성이며 재부팅 중에 유지되지 않는 실행 중인 컨피그레이션 파일에 있습니다.실행 중인 컨피그레이션 파일을 시작 컨피그레이션 파일에 복사하면 재부팅 사이에 모든 컨피그레이션이 유지됩니다.
20단계. 모든 단계를 다시 수행하여 라우터 B를 설정합니다.
결론
이제 두 라우터의 IKE 버전으로 IKEv2를 사용하여 새 IPsec 프로파일을 생성했어야 합니다.사이트 대 사이트 VPN을 구성할 준비가 되었습니다.