일반적으로, Cato는 IPsec IKEv2 사이트를 모범 사례로 사용할 것을 권장합니다. IKEv2의 몇 가지 개선 사항은 다음과 같습니다:
-
IKEv2는 VPN 터널을 설정하기 위해 교환해야 하는 메시지 수를 줄임으로써 효율성을 높입니다. 터널은 더 빠르게 설정되며, 대역폭 사용이 감소합니다.
-
IKEv2는 더 신뢰할 수 있습니다. IKEv2에는 터널이 다운될 때를 감지하기 위한 내장 활동성 확인 기능이 있습니다.
-
IKEv2는 DoS 공격으로부터 보호합니다. IKEv1과 달리, IKEv2 응답자는 시작자가 광고된 IP 주소에서 메시지를 수신할 수 있음을 증명할 때까지 중요한 처리를 수행할 필요가 없습니다.
-
NAT-T는 내장되어 있습니다. NAT-T 또는 NAT Traversal은 VPN 엔드포인트가 NAT를 수행하는 라우터 뒤에 위치할 때 필요합니다. IPsec 터널은 NAT와 호환되지 않는 캡슐화 보안 페이로드(ESP)를 사용하여 데이터를 전송합니다. 따라서 NAT-T는 UDP로 ESP 패킷을 캡슐화하여 NAT를 통해 라우팅할 수 있도록 사용됩니다.
IPsec IKEv2 사이트 사용의 이점에 대한 더 많은 정보를 보려면, RFC 4306을 참조하십시오.
아래는 IKEv1 및 IKEv2 터널에 대한 strongSwan 구성의 비교입니다. strongSwan은 여러 운영 체제, 포함하여 Windows 및 macOS에 대한 오픈 소스 IPsec 솔루션입니다.
IKEv1 |
IKEv2 |
conn cato-vpn auto=add compress=no type=tunnel keyexchange=ikev1 fragmentation=yes forceencaps=yes ike=aes256-sha1-modp1024 esp=aes256-sha1 dpdaction=clear dpddelay=300s rekey=no left=172.16.1.62 leftid=54.183.180.107 leftsubnet=172.16.1.0/24 right=45.62.177.115 rightid=45.62.177.115 rightsubnet=172.17.3.0/24 authby=secret |
conn cato-vpn auto=add compress=no type=tunnel keyexchange=ikev2 fragmentation=yes forceencaps=yes ike=aes256-sha1-modp1024 esp=aes256-sha1 dpdaction=clear dpddelay=300s rekey=no left=172.16.1.62 leftid=54.183.180.107 leftsubnet=172.16.1.0/24 right=45.62.177.115 rightid=45.62.177.115 rightsubnet=172.17.3.0/24 authby=secret |
유일한 차이는 단일 숫자입니다. keyexchange 값을 ikev1에서 ikev2로 변경하면 strongSwan을 IKEv1에서 IKEv2로 전환하는 데 충분합니다.
참고: IKEv1 및 IKEv2 사이트 모두에 대해 IPSec 사전 공유 키(PSK)를 최대 64자로 설정할 수 있습니다.
IKEv1에서 IKEv2 터널로 마이그레이션하는 데 필요한 단계는 다음과 같습니다.
사이트를 IKEv1에서 IKEv2 터널로 마이그레이션하려면:
-
네트워크 > 사이트 화면에서 IKEv1에서 IKEv2로 전환하려는 사이트를 선택합니다.
-
네트워크 > 사이트 > [사이트 이름] > 사이트 설정 > 일반 화면에서, 연결 유형 드롭다운에서 IPsec IKEv2를 선택합니다. 연결 유형을 변경하면 사이트의 기본 범위와 기타 네트워크가 손실됩니다.
-
네트워크 > 사이트 > [사이트 이름] > 사이트 설정 > 네트워크 화면에서 기본 범위와 기타 원격 네트워크를 입력하십시오. 이들은 원격 트래픽 선택기입니다.
-
네트워크 > 사이트 > [사이트 이름] > 사이트 설정 > IPsec 화면에서 기본 섹션에서 Cato IP(송신)을 선택하고 원격 VPN 게이트웨이의 사이트 IP를 입력하십시오.
-
기본 사전 공유 키 아래 비밀번호 필드에 PSK를 입력하십시오.
-
라우팅 섹션을 확장하고 네트워크 범위 아래 사이트의 라우팅 옵션을 추가하십시오. 이들은 카토 또는 카토 VPN 범위에 연결된 다른 사이트에서 이미 구성된 네트워크여야 합니다.
-
Cato에 의한 연결 시작 체크박스를 선택하여 Cato가 VPN 연결을 시작하도록 합니다. 이 구성은 선택 사항이지만, 원격 VPN 게이트웨이가 연결을 시작하도록 설정되지 않았을 수 있기 때문에 권장됩니다.
-
(선택 사항) 초기 메시지 매개변수 섹션을 확장하고 설정을 구성하십시오. 대부분의 IPsec IKEv2 지원 솔루션이 다음 초기 및 인증 매개변수의 자동 협상을 구현하기 때문에 방화벽 벤더의 특별한 지시가 없는 한, 이를 자동으로 설정할 것을 Cato는 권장합니다.
초기 및 인증 메시지 매개변수가 IKEv1의 단계 1 및 단계 2 매개변수와 거의 동일하다는 것을 눈치챘을 수도 있지만, IKEv2에서는 PRF 및 무결성 알고리즘 구성 옵션이 있습니다. 대부분의 벤더는 서로 다른 PRF 및 무결성 알고리즘을 지원하지 않으므로, 의심스러운 경우 자동으로 설정하거나 동일한 값으로 설정되어 있는지 확인하십시오.
-
저장을 클릭하십시오.
댓글 0개
댓글을 남기려면 로그인하세요.