🌐 VPN에서 Phase 1, Phase 2란?
VPN 연결은 IKE(Internet Key Exchange) 프로토콜을 기반으로 Phase 1과 Phase 2 두 단계로 이루어집니다. 각각의 역할과 차이점은 다음과 같습니다.
✅ 전체 개요
| 단계 | 설명 | 목적 |
|---|---|---|
| Phase 1 | VPN 터널을 만들기 위한 보안 채널 생성 | 양쪽 장비의 신원 확인과 암호화 채널 수립 |
| Phase 2 | 실제 트래픽을 위한 보안 규칙 생성 | 내부 네트워크 간 암호화된 데이터 통신 설정 |
✅ Phase 1 - "보안 채널 만들기"
📌 하는 일
- 양쪽 장비의 신원 인증 (예: PSK, 인증서)
- 암호화/해시 알고리즘, DH 그룹 등 협상
- 보안 채널(ISAKMP/IKE SA) 생성
🔐 결과
- ISAKMP SA(Security Association) 생성
- 이후 Phase 2는 이 채널 위에서 진행됨
⚙️ 주요 설정 요소
- IKE 버전 (IKEv1 / IKEv2)
- 암호화 방식 (AES, 3DES 등)
- 인증 방식 (PSK, 인증서)
- 해시 알고리즘 (SHA256, SHA1 등)
- DH 그룹 (Diffie-Hellman Group)
✅ Phase 2 - "실제 트래픽 터널 만들기"
📌 하는 일
- 어떤 트래픽을 터널로 보낼지 협상 (트래픽 셀렉터)
- IPSec SA(Security Association) 생성
- 실제 데이터 암호화 및 터널링 수행
🔐 결과
- IPSec SA 생성 → 실제 데이터 통신 이뤄짐
⚙️ 주요 설정 요소
- Local/Remote Subnet (트래픽 셀렉터)
- 암호화/인증 알고리즘 (ESP, AES, SHA 등)
- 수명 (Lifetime)
- PFS 설정 (Perfect Forward Secrecy)
🔄 협상 구조 정리
🧠 자주 발생하는 문제 예시
| 문제 상황 | 관련 Phase | 예시 로그 |
|---|---|---|
| PSK 틀림, 알고리즘 불일치 | Phase 1 | AUTHENTICATION_FAILED, NO_PROPOSAL_CHOSEN |
| 트래픽 셀렉터 범위 불일치 | Phase 2 | INVALID_ID_INFORMATION, PHASE2_NEGOTIATION_FAILED |
| NAT 환경 설정 누락 | 둘 다 | NAT-T 미설정 시 Phase 1 자체 실패 가능 |
네트워크 공부 기록