VPN Phase 1 / Phase 2 개념 정리
VPN Phase 1 / Phase 2 개념 정리
🚀 IPSec VPN 터널 협상 단계
VPN은 크게 2단계의 보안 협상을 거쳐 터널을 형성합니다.
🟢 Phase 1 (IKE Phase 1)
목적: 양쪽 장비 간 안전한 협상 채널(ISAKMP SA) 생성
역할
- 장비 간 상호 인증 및 보안 채널 생성
- Diffie-Hellman 키 교환으로 세션 키 생성
- 암호화/무결성 알고리즘 설정
결과
- ISAKMP SA 생성 → Phase 2 준비 완료
주요 설정 값
| 항목 | 예시 |
|-------|-------|
| 암호화 | AES-256, 3DES |
| 인증 | SHA-256, MD5 |
| 키 교환 | Diffie-Hellman Group 2, 5, 14 |
| 인증 방법 | PSK, 인증서, RSA |
| SA 라이프타임 | 86400초 |
🔵 Phase 2 (IKE Phase 2 / IPSec SA)
목적: 실제 사용자 데이터 보호용 IPSec 터널 생성
역할
- IPSec SA 협상 (암호화/무결성/트래픽 선택자 설정)
- 실제 데이터 트래픽 보호
결과
- IPSec 터널 활성화 → 데이터 암호화 통신 가능
주요 설정 값
| 항목 | 예시 |
|-------|-------|
| 암호화 | AES-256 |
| 인증 | SHA-256 |
| PFS | DH Group 14 |
| SA 라이프타임 | 3600초 |
🌟 단계별 흐름
[Phase 1]
장비 A ── (암호화/인증 협상 + 키 교환) ──> 장비 B
→ ISAKMP SA 생성 (보안 채널)
[Phase 2]
장비 A ── (IPSec SA 협상) ──> 장비 B
→ IPSec 터널 생성 → 데이터 암호화 통신
✅ Phase 1 vs Phase 2 비교
| 구분 | Phase 1 | Phase 2 |
|---|---|---|
| 목적 | 보안 채널 생성 | 데이터 암호화 터널 생성 |
| SA 종류 | ISAKMP SA | IPSec SA |
| 보호 대상 | 관리 트래픽 | 사용자 데이터 |
| 주요 작업 | 키 교환, 인증 | 트래픽 정책, 암호화 설정 |
| 데이터 | 제어 메시지 | 실제 데이터 |
💡 참고
- Phase 1이 실패하면 Phase 2는 시작되지 않음
- 둘 다 SA 만료 시 재협상 필요
네트워크 공부 기록