모든 IPsec VPN의 온-프레미스 끝은 해당 VPN의 SDDC 끝에 대해 지정한 설정과 일치하도록 구성되어야 합니다.
다음 표의 정보에는 사용 가능한 SDDC IPsec VPN 설정이 요약되어 있습니다. 일부 설정은 구성이 가능합니다. 일부는 정적입니다. 이 정보를 사용하여 온-프레미스 VPN 솔루션을 SDDC의 솔루션과 일치하도록 구성할 수 있는지 확인합니다. 이 표에 나열된 모든 정적 설정과 구성 가능한 설정을 지원하는 온-프레미스 VPN 솔루션을 선택합니다.
Diffie-Hellman 그룹이 IPsec VPN 성능 및 보안에 미치는 영향 이해
IPsec VPN을 구성하려면 DH(Diffie-Hellman) 그룹을 선택해야 합니다. 이것은 신뢰할 수 없는 경로를 통해 끝점 간에 개인 키를 안전하게 통신하기 위해 IKE 협상의 두 단계 모두에서 사용됩니다. DH 그룹 19-21은 그룹 14-16에 비해 보안이 크게 향상되었으며 암호화 중에 더 적은 리소스를 소비합니다. NIST
Guide to IPsec VPN(PDF)은 이러한 IPsec VPN 구성 및 기타 IPsec VPN 구성 옵션에 대해 훨씬 더 자세한 정보를 제공합니다.
참고: DH 그룹 2 및 5는 NIST에서 승인되지 않았으며 이전 온-프레미스 장치와의 호환성을 위해 필요한 경우에만 사용해야 합니다.
모범 사례로, 구성 가능한 설정은 두 단계 모두에서 동일해야 합니다.
1단계(IKE 프로파일) IPsec VPN 설정
| 특성 | 허용되는 값 | 권장되는 값 |
|---|---|---|
| 프로토콜 | IKEv1, IKEv2, IKE FLEX | IKEv2 |
| 암호화 알고리즘 | AES(128, 256), AES-GCM(128, 192, 256) | AES GCM 비트 수준이 더 높은 암호화는 해독하기가 더 어렵지만 끝점 디바이스에 더 많은 로드를 생성합니다. |
| 터널/IKE 다이제스트 알고리즘 | SHA1, SHA2(256, 384, 512) | IKE 암호화에 GCM 기반 암호를 지정하는 경우 IKE 다이제스트 알고리즘을 없음으로 설정합니다. 다이제스트 함수는 GCM 암호에 필수적인 요소입니다. GCM 기반 암호를 사용하는 경우 IKE V2를 사용해야 합니다. |
| Diffie Hellman | DH 그룹 2, 5, 14-16, 19-21 | DH 그룹 19-21 또는 14-16 |
| 특성 | 값 |
|---|---|
| ISAKMP 모드 | 기본 모드 |
| ISAKMP/IKE SA 수명 | 86400초(24시간) |
| IPsec 모드 | 터널 |
| IKE 인증 | 사전 공유 키 |
2단계(IPsec 프로파일) IPsec VPN 설정
구성 가능한 설정은 1단계와 2단계에서 동일합니다.
| 특성 | 허용되는 값 | 권장되는 값 |
|---|---|---|
| 프로토콜 | IKEv1, IKEv2, IKE FLEX | IKEv2 |
| 암호화 알고리즘 | AES(128, 256), AES-GCM(128, 192, 256) | AES GCM 비트 수준이 더 높은 암호화는 해독하기가 더 어렵지만 끝점 디바이스에 더 많은 로드를 생성합니다. |
| 터널/IKE 다이제스트 알고리즘 | SHA-1, SHA2(256, 384, 512) | IKE 암호화에 GCM 기반 암호를 지정하는 경우 IKE 다이제스트 알고리즘을 없음으로 설정합니다. 다이제스트 함수는 GCM 암호에 필수적인 요소입니다. GCM 기반 암호를 사용하는 경우 IKE V2를 사용해야 합니다. |
| Diffie Hellman | DH 그룹 2, 5, 14-16, 19-21 | DH 그룹 19-21 또는 14-16 |
| 특성 | 값 |
|---|---|
| 터널 모드 | ESP(Encapsulating Security Payload) |
| SA 수명 | 3600초(1시간) |
온-프레미스 IPsec VPN 구성
VPN의 상태 페이지에서
구성 다운로드를 클릭하여 VPN 구성 세부 정보가 포함된 파일을 다운로드합니다. 이러한 세부 정보를 사용하여 VPN의 온-프레미스 끝을 구성할 수 있습니다.
참고: VPN의 온-프레미스 쪽에 유휴 시간 초과가 발생하도록 구성하지 마십시오(예: NSX
세션 유휴 시간 초과 설정). 온-프레미스 유휴 시간 초과로 인해 주기적으로 VPN 연결이 끊어질 수 있습니다.
VMware Tech Zone
IPSec VPN 구성 참조는 자세한 끝점 구성 권장 사항을 제공하며, 인기 있는 여러 끝점 디바이스에 대한 샘플 구성 파일은 VMware {code}에서 사용할 수 있습니다.
