IKEv1은 인증된 보안 통신을 배열하는 데 사용되는 표준 방법입니다.

1단계 매개 변수

1단계에서는 피어의 상호 인증을 설정하고, 암호화 매개 변수를 협상하며, 세션 키를 생성합니다. NSX Edge에서 사용되는 1단계 매개 변수는 다음과 같습니다.

  • 기본 모드.
  • Triple DES, AES-128, AES-256[구성 가능]. AES-GCM은 1단계에서 지원되지 않으므로 AES-128이 내부적으로 사용됩니다.
  • SHA1, SHA_256.
  • MODP 그룹 2, 5, 14, 15 및 16.
  • 사전 공유 암호 키 및 인증서[구성 가능].
  • 28800초(8시간)의 SA 수명(수명 바이트 키 재생성 없음).
  • ISAKMP 적극적 모드 사용 안 함
중요:
  • IPSec VPN은 시간 기반 키 재생성만 지원합니다. 수명 바이트 키 재생성을 사용하지 않도록 설정해야 합니다.
  • NSX 6.4.5부터 Triple DES 암호 알고리즘이 IPSec VPN 서비스에서 더 이상 지원되지 않습니다.

2단계 매개 변수

IKE 2단계에서는 IKE 1단계 키를 기본 키로 사용하거나 새 키를 교환하여 사용할 IPSec 터널에 대한 키 관련 자료를 생성함으로써 IPSec 터널을 협상합니다. NSX Edge에서 지원되는 IKE 2단계 매개 변수는 다음과 같습니다.

  • Triple DES, AES-128, AES-256 및 AES-GCM[1단계 설정과 일치].
  • SHA1, SHA_256.
  • ESP 터널 모드.
  • MODP 그룹 2, 5, 14, 15 및 16.
  • 키 재생성을 위한 PFS(Perfect Forward Secrecy).
  • 3600초(1시간)의 SA 수명(수명 바이트 키 재생성 없음).
  • IPv4 서브넷을 사용하는 두 네트워크 간의 모든 IP 프로토콜과 포트에 대한 선택기
중요:
  • IPSec VPN은 시간 기반 키 재생성만 지원합니다. 수명 바이트 키 재생성을 사용하지 않도록 설정해야 합니다.
  • NSX 6.4.5부터 Triple DES 암호 알고리즘이 IPSec VPN 서비스에서 더 이상 지원되지 않습니다.

트랜잭션 모드 샘플

NSX Edge에서는 1단계에 기본 모드를 지원하고, 2단계에 빠른 모드를 지원합니다.

NSX Edge는 PSK/인증서, 3DES/AES128/AES256/AES-GCM, SHA1/SHA256 및 DH 그룹 2/5/14/15/16을 요구하는 정책을 제안합니다. 피어는 이 정책을 수락해야 합니다. 그렇지 않으면 협상 단계가 실패합니다.

1단계: 기본 모드 트랜잭션

이 예에서는 NSX Edge에서 시작되어 Cisco 디바이스로 향하는 1단계 협상의 교환을 보여 줍니다.

기본 모드에서 NSX Edge와 Cisco VPN 디바이스 간에 다음 트랜잭션이 순서대로 수행됩니다.

  1. NSX Edge에서 Cisco로
    • 제안 사항: 3des-cbc, sha, psk, 그룹 5(그룹 2) 암호화
    • DPD 사용
  2. Cisco에서 NSX Edge
    • Cisco에서 선택한 제안 사항 포함
    • Cisco 디바이스가 1단계에서 NSX Edge가 보낸 매개 변수를 모두 수락하지 않으면 Cisco 디바이스는 NO_PROPOSAL_CHOSEN 플래그가 지정된 메시지를 보내고 협상을 종료합니다.
  3. NSX Edge에서 Cisco로
    • DH 키 및 nonce
  4. Cisco에서 NSX Edge
    • DH 키 및 nonce
  5. NSX Edge에서 Cisco로(암호화됨)
    • ID(PSK) 포함
  6. Cisco에서 NSX Edge로(암호화됨)
    • ID(PSK) 포함
    • Cisco 디바이스는 PSK가 일치하지 않는 사실을 확인하면 INVALID_ID_INFORMATION 플래그가 지정된 메시지를 보내고 1단계는 실패합니다.

2단계: 빠른 모드 트랜잭션

빠른 모드에서 NSX Edge와 Cisco VPN 디바이스 간에 다음 트랜잭션이 순서대로 수행됩니다.

  1. NSX Edge에서 Cisco로
    NSX Edge는 피어에 2단계 정책을 제안합니다. 예: 
    Aug 26 12:16:09 weiqing-desktop 
ipsec[5789]:
"s1-c1" #2: initiating Quick Mode
PSK+ENCRYPT+TUNNEL+PFS+UP+SAREFTRACK  
{using isakmp#1 msgid:d20849ac 
proposal=3DES(3)_192-SHA1(2)_160 
pfsgroup=OAKLEY_GROUP_MODP1024}
  2. Cisco에서 NSX Edge

    Cisco 디바이스가 제안 사항과 일치하는 정책을 찾지 못하면 NO_PROPOSAL_CHOSEN을 다시 보내고, 일치하는 정책을 찾으면 Cisco 디바이스가 선택된 매개 변수 집합을 보냅니다.

  3. NSX Edge에서 Cisco로

    디버깅이 원활히 수행되도록 NSX Edge에서 IPSec 로깅을 사용하도록 설정하고 Cisco에서 crypto debug를 사용하도록 설정할 수 있습니다(debug crypto isakmp <수준>).