2016. 12. 7. 01:00ㆍ네트워크
2부를 이어 작성하게 되었습니다.
아래 내용을 확인하시기 전에
를 참조하셔서 터널링 구성을 사전에 작업해두셔야 합니다 !!
터널링을 구성하시고, 지사에서 본사 서버로 ping을 보내면 gre헤더가 입혀져 ping이 나가게 됩니다.
하지만 GRE터널링은 보안이 되지 않기 때문에, 프로토콜(ICMP) 가 그대로 노출되는것을 볼수 있습니다.
이제, 라우터에서 IPsec VPN설정을 해보도록 하겠습니다.
1 단계
|
(config)# crypto isakmp policy [정책 식별 번호] (config-isakmp)# authentication [인증 방식] (config-isakmp)# encryption [대칭키 알고리즘] [키 사이즈] (config-isakmp)# hash [hash 알고리즘] (config-isakmp)# group [DH그룹 번호] (config)# crypto isakmp key [비밀번호] address [상대 장비 IP] [ 서브넷 마스크] |
2 단계
|
(config)# crypto ipsec transform-set [정책 식별 이름] [IPsec 암호화 알고리즘] [ 인증 알고리즘] (config-crypto-trans)# mode [IPsec 연결 모드] ※ NAT 사용시 : (config)# crypto ipsec nat-transparency udp-encapsulation |
위에 설정한 설정으로 적용 합니다.
적용 정책 구성
|
(config)# crypto map [정책 식별 이름] [정책 식별 번호] ipsec-isakmp (config-crypto-map)# match address [IPsec 통신데이터 - ACL] (config-crypto-map)# set peer [상대 장비 주소] (config-crypto-map)# set transform-set [암호화 적용할 IPsec 정책 이름] |
인터페이스 적용
|
(config)# interface tunnel 0 (config-if)# crypto map [정책 식별 이름] |
위 방식을 참조로 실제 구성한 망에 적용해 봅니다.
* 라우팅은 PBR로 변경하였습니다.
R2 라우터 Config
|
crypto isakmp policy 10 |
R3 라우터 Config
|
crypto isakmp policy 10 |
주의하셔야 할점은
crypto isakmp key 1234 address 상대방 장비 주소는
실제 클라이언트 ip가 아닌, 라우터 ip를 주어야 합니다.
set peer 역시 마찬가지 입니다.
지사 에서 본사로 ping을 보내면
ISAKMP 에서 1,2단계를 진행하는것 (MAIN MODE 6회, Quick MODE 3회 )
을 확인할수 있고, 그뒤 ESQ 패킷으로 감춰져서 프로토콜을 확인할수 없습니다.
참고로, ESP 부분은 공용망 (인터넷) 부분에서만 패킷이 ESP패킷으로 볼수 있습니다.
만약, 공용망에서 확인하지 않고, 내부망 (R3와 지사 USER 사이) 를 캡쳐하신다면 ESP모드가
보이지 않습니다 (헤더를 벗고 들어왔기 때문입니다)
저는 내부에서 캡쳐를 하고 2시간동안 왜 동작을 안하는지 무수히 수정을 해보았다는.. ㅠㅡㅠ
이처럼 간단한 설정으로 IPsec 을 이용한 VPN 구성하기 를 해보았습니다.
vpn구성방식은 매우 다양하기 때문에 다음시간에는 다른 방식을 이용하여 구성해보도록 하겠습니다.
router config 는 메모장으로 올려드릴테니, 직접 해보시고 안될경우 확인해 보시기 바랍니다.
ipsec설정.txt
그럼 즐거운 저녁 되세요 !!
'네트워크' 카테고리의 다른 글
| 가상 사설네트워크 VPN 구성하기 Feat. IPsec , CA -4부- (0) | 2016.12.15 |
|---|---|
| 가상 사설네트워크 VPN 구성하기 Feat. IPsec , CA -3부- (0) | 2016.12.14 |
| 가상 사설네트워크 VPN 구성하기 Feat. IPsec -1부- (0) | 2016.12.06 |
| 네트워크 이중화 -1- (0) | 2016.10.18 |
| IP NAT 설정실습 하기 (0) | 2016.09.20 |