IKE(Internet Key Exchange) 프로파일은 IKE 터널을 설정할 때 네트워크 사이트 간에 공유 암호를 인증, 암호화 및 설정하는 데 사용되는 알고리즘에 대한 정보를 제공합니다.

NSX-T Data Center는 IPSec VPN이나 L2 VPN 서비스를 구성할 때 기본적으로 할당되는 시스템 생성 IKE 프로파일을 제공합니다. 다음 표에는 제공된 기본 프로파일이 나열되어 있습니다.
표 1. IPSec VPN 또는L2 VPN 서비스에 사용되는 기본 IKE 프로파일
기본 IKE 프로파일 이름 설명
nsx-default-l2vpn-ike-profile
  • L2 VPN 서비스 구성에 사용됩니다.
  • IKE V2, AES CBC 128 암호화 알고리즘, SHA2 256 알고리즘 및 Diffie-Hellman 그룹 14 키 교환 알고리즘을 사용하여 구성됩니다.
nsx-default-l3vpn-ike-profile
  • IPSec VPN 서비스 구성에 사용됩니다.
  • IKE V2, AES CBC 128 암호화 알고리즘, SHA2 256 알고리즘 및 Diffie-Hellman 그룹 14 키 교환 알고리즘을 사용하여 구성됩니다.

사용된 기본 IKE 프로파일 대신, NSX-T Data Center 2.5부터 지원되는 규정 준수 제품군 중 하나를 선택할 수도 있습니다. 자세한 내용은 지원되는 규정 준수 제품군 정보를 참조하십시오.

제공된 기본 IKE 프로파일 또는 규정 준수 제품군을 사용하지 않으려는 경우 다음 단계를 사용하여 고유한 IKE 프로파일을 구성할 수 있습니다.

프로시저

  1. 브라우저에서 관리자 권한으로 NSX Manager(https://<nsx-manager-ip-address>)에 로그인합니다.
  2. 네트워킹 > VPN을 선택하고 프로파일 탭을 클릭합니다.
  3. IKE 프로파일 프로파일 유형을 선택하고 IKE 프로파일 추가를 클릭합니다.
  4. IKE 프로파일의 이름을 입력합니다.
  5. IKE 버전 드롭다운 메뉴에서 IPSec 프로토콜 집합에서 SA(보안 연결)를 설정하는 데 사용할 IKE 버전을 선택합니다.
    표 2. IKE 버전
    IKE 버전 설명
    IKEv1 이 옵션을 선택하면 IPSec VPN이 시작되고 IKEv1 프로토콜에만 응답합니다.
    IKEv2 이 버전은 기본값입니다. 이 옵션을 선택하면 IPSec VPN이 시작되고 IKEv2 프로토콜에만 응답합니다.
    IKE-Flex 이 버전을 선택하고 IKEv2 프로토콜을 사용한 터널 설정이 실패하는 경우 소스 사이트는 폴백되지 않고 IKEv1 프로토콜을 사용한 연결이 시작됩니다. 대신, 원격 사이트가 IKEv1 프로토콜을 통해 연결을 시작하면 연결이 허용됩니다.
  6. 드롭다운 메뉴에서 암호화, 다이제스트 및 Diffie-Hellman 그룹 알고리즘을 선택합니다. 여러 알고리즘을 선택하여 적용하거나 적용하고 않을 알고리즘을 선택 취소할 수 있습니다.
    표 3. 사용되는 알고리즘
    알고리즘 유형 유효한 값 설명
    암호화
    • AES 128(기본값)
    • AES 256
    • AES GCM 128
    • AES GCM 192
    • AES GCM 256

    IKE(Internet Key Exchange) 협상 중 사용되는 암호화 알고리즘입니다.

    AES 128 및 AES 256 알고리즘은 CBC 작동 모드를 사용합니다.

    AES-GCM 알고리즘은 IKEv2에서 사용되도록 지원됩니다. IKEv1에서는 사용할 수 없습니다.

    다이제스트
    • SHA2 256(기본값)
    • SHA 1
    • SHA2 384
    • SHA2 512

    IKE 협상 중에 사용되는 보안 해싱 알고리즘입니다.

    AES-GCM이 암호화 알고리즘 텍스트 상자에서 선택한 유일한 암호화 알고리즘인 경우 RFC 5282의 섹션 8에 따라 다이제스트 알고리즘 텍스트 상자에 해시 알고리즘을 지정할 수 없습니다. 또한 PRF(Psuedo-Random Function) 알고리즘, PRF-HMAC-SHA2-256은 IKE SA(보안 연결) 협상에서 암시적으로 선택되고 사용됩니다. IKE SA 협상의 1단계가 성공하려면 피어 게이트웨이에 대해 PRF-HMAC-SHA2-256 알고리즘도 구성해야 합니다.

    암호화 알고리즘 텍스트 상자에 AES-GCM 알고리즘 외의 추가 알고리즘을 지정한 경우 다이제스트 알고리즘 텍스트 상자에서 하나 이상의 해시 알고리즘을 선택할 수 있습니다. 또한 IKE SA 협상에 사용되는 PRF 알고리즘은 구성된 해시 알고리즘에 따라 암시적으로 결정됩니다. IKE SA 협상의 1단계가 성공하려면 피어 게이트웨이에 대해 하나 이상의 일치하는 PRF 알고리즘도 구성해야 합니다. 예를 들어 암호화 알고리즘 텍스트 상자에 AES 128 및 AES GCM 128이 포함되고 SHA1이 다이제스트 알고리즘 텍스트 상자에 지정된 경우, PRF-HMAC-SHA1 알고리즘이 IKE SA 협상 중에 사용됩니다. 이를 피어 게이트웨이에서도 구성해야 합니다.

    Diffie-Hellman 그룹
    • 그룹 14(기본값)
    • 그룹 2
    • 그룹 5
    • 그룹 15
    • 그룹 16
    • 그룹 19
    • 그룹 20
    • 그룹 21

    피어 사이트와 NSX Edge가 비보안 통신 채널을 통해 공유 암호를 설정하는 데 사용되는 암호화 체계입니다.

    참고: 2개의 암호화 알고리즘 또는 2개의 다이제스트 알고리즘을 사용하여 GUARD VPN 클라이언트(이전의 QuickSec VPN 클라이언트)와의 IPSec VPN 터널을 설정하려고 하면 GUARD VPN 클라이언트는 제안된 협상 목록에 추가 알고리즘을 추가합니다. 예를 들어 IPSec VPN 터널을 설정하는 데 사용하는 IKE 프로파일에 사용할 암호화 알고리즘으로 AES 128 및 AES 256을 지정하고, 다이제스트 알고리즘으로 SHA2 256 및 SHA2 512를 지정한 경우 GUARD VPN 클라이언트는 협상 목록에 AES 192(CBC 모드 사용) 및 SHA2 384도 제안합니다. 이 경우 NSX-T Data Center는 IPSec VPN 터널을 설정할 때 선택한 첫 번째 암호화 알고리즘을 사용합니다.
  7. 기본값 86,400초(24시간)와 다르게 설정하려면 SA(보안 연결) 수명 값을 초 단위로 입력합니다.
  8. 설명을 제공하고 필요에 따라 태그를 추가합니다.
  9. 저장을 클릭합니다.

결과

새로운 행이 사용 가능한 IKE 프로파일 테이블에 추가됩니다. 비시스템 생성 프로파일을 편집하거나 삭제하려면 3개의 점 메뉴(3개 검은 점이 세로로 정렬됨. 이 아이콘을 클릭하면 하위 명령 메뉴가 표시됨.)을 클릭하고 사용 가능한 작업 목록에서 선택합니다.