Site-to-Site IPSec VPN

@[그림 17-10] 네트워크 토폴로지 preconfig.txt[LAB-17] Site-to-Site IPSecVPN I(manual_key).txt[LAB-18] Site-to-Site IPSecVPN II(Pre-Share Key).txt

@IPSec VPN 요약 정리.txt

@ESP&AH.pcap

@IKE.pcap

@IPSec VPN.pdf

 

[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)

IPSec 구성 요소 및 수동키 구성   https://youtu.be/bfNuTy18LNU

IPSec VPN IKE 자동키 구성    https://youtu.be/SVIrRvIqFvg

 

 

 

제17장 IPSec VPN

 

           IPSec 프로토콜 ········· Page 414

           IPSec 보안 요소 ········· Page 415

           AH 프로토콜 ········· Page 416

           ESP 프로토콜 ········· Page 417

           SA 개요 ········· Page 418

           SA 생성 단계 ········· Page 419

           IKE 프로토콜 ········· Page 419

           IKE 1단계 정책 내용 ········· Page 421

           IKE 2단계 정책 내용 ········· Page 422

           Site-to-Site IPSec VPN 구성 ········· Page 422

 

 

 

@ Site-to-Site IPSec VPN

 

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/12_4/sec_secure_connectivity_12_4_book.html

http://en.wikipedia.org/wiki/Vpn

http://en.wikipedia.org/wiki/IPSec

 

1. IPSec 프로토콜 개요

 

IPv4 프로토콜은 패켓을 보호하기 위한 보안적인 필드가 없기 때문에 전송하는 패켓에 대해서 스니핑을 실시하면, IP 헤더, TCP/UDP 헤더, 데이터 내용을 손쉽게 확인할 수 있다. 그렇기 때문에 TCP/IP 프로토콜을 사용하는 인터넷망으로 패켓을 전송하면, 스니핑 공격에 의한 개인 정보 유출 및 해킹을 받을 수 있는 문제가 자주 발생되곤 한다. 이러한 문제는 IPSec 프로토콜을 이용한 IP 패켓에 대한 암호화 및 인증을 실시하여, 데이터에 대한 기밀성과 무결성을 보장해야 한다.

 

1) IPSec 프로토콜 유형

 

IPSec 프로토콜은 다음과 같이 AH(Authentication Header)와 ESP(Encapsulating Security Payload)로 구분된다.

 

[표 17-1] AH 프로토콜과 ESP 프로토콜

 

프로토콜	내용
AH	두 시스템이 송수신하는 IP 패켓에 대한 인증(무결성)을 제공한다. 단, 패켓 에 대한 암호화(기밀성)를 제공하지 않는다. 인증은 키 입력을 받은 단방향 해시 함수(MD5, SHA)를 패켓에 적용하여 MD(Message Digest)를 생성하여 실시된다.
ESP	패켓에 대한 암호화(기밀성)과 인증(무결성)을 동시에 제공한다. 기밀성을 제공하기 위해서 IP 패켓의 패이로드(Payload)를 암호화한다. 다양한 대칭키 암알고리즘(DES, 3DES, AES)을 지원한다

 

   만약, AH와 ESP를 동시에 사용하면, AH 보안 요소, ESP 보안 요소가 각각 생성되기 때문에 오히려 라우터 부하 발생을 야기시키는 문제가 될 수 있다. 그렇기 때문에 AH와 ESP를 동시에 사용하는 것은 권장하지 않는다. [그림 17-1]은 AH를 이용하여 패켓에 대한 무결성을 보장하는 내용이다.

 

 [그림 17-1] AH를 이용한 패켓 무결성 보장

 

  [그림 17-1]을 보면, AH는 인증만 수행하고, 암호화는 수행하지 않기 때문에 패켓의 원본 IP 헤더, ICMP 내용을 확인할 수 있다. 그래서 실제 환경에서는 패켓에 대한 암호화를 수행하는 ESP를 주로 사용한다.

 

 

2) IPSec 보안 요소(SA : Security Associations)

 

  SA란 IPSec VPN을 구현하기 위해서 사용하는 암호화 알고리즘, 인증 알고리즘, 키교환 알고리즘을 결합한 논리적인 단위를 의미한다. [표 17-2]는 IPSec VPN을 구현하기 위해서 사용하는 보안 요소들이다.

 

[표 17-2] IPSec 보안 요소

보안 요소	내용
DES	평문을 64Bit의 블럭으로 분할한 후, 각 블럭에 대해서 56Bit 키로 암호화하여, 64Bit 암호문 블럭을 생성한다. 만약, 평문이 64Bit 블럭으로 분할되지 않으면, 필요한 Bit 수만큼 패딩하여 암호화를 실시한다. 오래전부터 사용한 암호화 방식이며 키 길이가 56Bit 밖에 안되므로 전수 조사 공격에 취약하다.
3DES	두 종류의 56Bit 키와 세 번에 걸친 DES 과정을 수행하여 보다 안전한 암호문 블럭을 생성한다. 그러나 DES보다 더 많은 연산을 실시하기 때문에 암호화/복호화에 대한 지연이 발생되며, 장비 입장에서도 오버헤드가 증가된다.
AES	DES 암호화 방식을 대신 사용하기 위해서 고안된 암호화 방식이며, 비밀키 대칭 블럭 암호화 방식을 사용하는 부분에서는 DES와 유사하지만, DES보다 더 큰 길이의 128Bit/192Bit/256Bit키를 사용한다.
MD5	RFC 1321로 표준화된 해시 방식으로, 512Bit 단위의 메시지 블록들에 대한 128Bit의 해시 값을 생성한다. 주로 전자서명 및 보안에 관련된 환경에서 사용하지만, MD5는 위험성이 발견되어 중요 보안이 필요한 구간에서는 잘 사용하지 않는 편이다.
SHA	512Bit 단위의 메시지 블록들에 대한 160Bit의 해시 값을 생성한다. SHA는 MD5보다 긴 해쉬값을 사용하기 때문에 MD5보다 안전성이 높다.
HMAC	HMAC는 해시된 결과 값을 암호화한 값 또는, 메시지에 공유 비밀키를 첨부하고 이것을 해시한 값을 메시지에 부착하여 전송함으로써 메시지 인증뿐만 아니라, 상호간에 동일한 키를 가지고 있는지를 확인하여 사용자 인증 기능을 수행한다.
RSA	RSA는 인증에 사용되는 공개키 암호화 시스템이다. 이때, RSA는 공개키와 비밀키를 생성하는데, 상호간에 공개키를 공유하여 전송할 정보을 암호화하고, 암호화된 정보를 비밀키로 복호화하는 방식으로 동작한다. 이러한 동작을 이용하여 상대방과의 인증을 수행한다.
Diffie Hellman	비대칭키 알고리즘이며, 상호 간에 안전하지 않은 체널상에서 공개키, 비밀키,세션키 생성하여 상대방과의 인증을 수행한다.
IKE	IPSec VPN에서 상대방을 인증하고, IKE와 SA를 협상하는데 사용하는 프로토콜이다. IPSec에서 사용하는 암호화 알고리즘을 위한 키 결정 때 사용한다.
CA (PKI)	공개키 암호화 방식을 대규모로 전개 할 수 있도록 하는 신뢰성 있는 공개 키 저장소를 의미한다. CA는 IPSec으로 보호된 네트워크의 각 장치에 디지털 인증서를 주는 것과 같다. 이때, 디지털 인증서는 CA로부터 발급 받는다. CA를 이용하면 IPSec VPN 피어 각각은 자신을 증명하기 위해 디지털 인증서를 교환함으로써 공개키를 교환하거나, 상호간에 공개키를 공유할 필요가 없다.

 

 

2. AH(Authentication Header)

 

AH(Authentication Header) 프로토콜은 패켓에 대한 무결성 및 인증 서비스를 제공하는 프로토콜이며, 패켓에 대한 암호화는 지원하지 않는다. RFC 2402에 정의되어 있으며, IP 프로토콜 51번을 사용한다. Transport 모드와 Tunnel 모드에 따라서 AH 헤더가 인캡슐레이션 위치와 보호되는 범위도 달라진다. IPSec VPN에 적용될때에는 ‘MD5-HMAC’, ‘SHA-HMAC’ 인증 알고리즘을 사용한다.

 

1) AH Transport 모드(Payload Encapsulation : 페이로드를 Encapsulation 실시)

 

AH 헤더는 ‘Original IP Header’와 ‘TCP Header’ 사이에 인캡슐레이션되며, 인증에 의해서 보호되는 범위는 원본 IP 헤더의 일부 필드를 제외한 전체 범위가 된다. 일반적으로 클라이언트가 IPSec 통신을 시작하는 경우에 사용하며, 선택된 IP 헤더 필드와 상위 계층 프로토콜을 보호한다. [그림 17-2]는 AH Transport 모드인 경우, AH 헤더가 인캡슐레이션되는 위치와 인증 범위를 설명하고 있다.

 

[그림 17-2] AH Transport 모드인 경우, AH 헤더 위치

 

2) AH Tunnel 모드(Datagram Encapsulation : 원본 헤더와 페이로드를 Encapsulation 실시)

 

AH 헤더는 ‘Original IP Header’ 앞에 새로운 ‘New IP Header’와 함께 인캡슐레이션되며, 인증에 의해서 보호되는 범위는 원본 IP 헤더의 일부 필드를 제외한 전체 범위가 된다. 이때, ‘New IP Header’는 보안 게이트웨이(VPN 라우터)의 출발지/목적지 IP 주소이다. [그림 17-3]은 AH Tunnel 모드인 경우, 헤더가 인캡슐레이션되는 위치와 인증 범위를 설명하고 있다.

 

[그림 17-3] AH Tunnel 모드인 경우, AH 헤더 위치

 

AH Tunnel 모드로 처리된 패켓들은 [그림 17-4]와 같이 ‘New IP Header’, ‘Original IP Header’, ‘상위 프로토콜Header’ 정보를 확인할 수 있다. 왜냐하면 AH 프로토콜은 인증 기능만 수행하고, 암호화 기능을 지원하지 않기 때문이다. 그렇기 때문에 실제 환경에서는 AH 프로토콜보다 ESP 프로토콜을 더 많이 사용하고 있다.

[그림 17-4]는 AH Tunnel 모드에서 전송되는 패켓을 캡처한 것이다.

 

[그림 17-4] AH Tunnel 모드에서 전송되는 패켓 내용

 

 

  

2. ESP(Encapsulating Security Payload)

 

ESP(Encapsulating Security Payload) 프로토콜은 패켓에 대한 기밀성(암호화)을 제공하는 프로토콜이며, 근원지 인증 및 선택적인 무결성 서비스도 제공한다. RFC 2406에 정의되어 있으며, IP 프로토콜 50번을 사용한다. Transport 모드와 Tunnel 모드에 따라서 ESP 헤더가 인캡슐레이션되는 위치와 보호되는 범위도 달라진다. IPSec VPN에 적용될때에는 ‘DES,’ ‘3DES’, ‘ASE’라는 암호화 알고리즘과 ‘MD5-HMAC’, ‘SHA-HMAC’ 인증 알고리즘을 사용한다.

 

1) ESP Transport 모드(Payload Encapsulation : 페이로드를 Encapsulation 실시)

 

ESP 헤더는 ‘Original Header’와 ‘TCP Header’ 사이에 인캡슐레이션되며, ‘DATA’ 뒷부분에 ‘ESP Trailer’와 ‘ESP Auth’가 추가로 인캡슐레이션된다. ESP는 선택적인 인증 서비스를 제공하며, 이때, 인증은 원래의 데이터가 아니라 암호화된 패켓에 대해서 인증을 실시한다. Transport 모드는 IP 상위 프로토콜을 보호하는 모드이므로 원본 IP 헤더가 암호화되지 않는 상태로 남아 있다. [그림 17-5]는 ESP Transport 모드인 경우, ESP 헤더가 인캡슐레이션되는 위치와 암호화 및 인증 범위를 설명하고 있다.

 

[그림 17-5] Transport 모드인 경우, ESP 헤더 위치

 

2) ESP Tunnel 모드(Datagram Encapsulation : 원본 헤더와 페이로드를 Encapsulation 실시)

 

ESP 헤더는 ‘Original IP Header’ 앞에 새로운 ‘New IP Header’와 함께 인캡슐레이션되며, ‘DATA’ 뒷부분에 ‘ESP Trailer’와 ‘ESP Auth’가 추가로 인캡슐레이션된다. Tunnel 모드는 원본 IP 헤더 부분을 포함하여 상위부분 전체가 암호화된다. [그림 17-6]은 ESP Tunnel 모드인 경우, ESP 헤더가 인캡슐레이션되는 위치와 암호화 및 인증 범위를 설명하고 있다.

 

[그림 17-6] ESP Tunnel 모드인 경우, ESP 헤더 위치

 

  이처럼 ESP Tunnel 모드는 [그림 17-7]와 같이 ‘New IP Header’를 제외한 나머지 정보들을 암호화 및 인증을 수행한다. 또한, ‘New IP Header’의 출발지/목적지 IP 주소를 이용하여 패켓을 전송하기 때문에 기밀성과 무결성이 보장되므로 패켓 정보 유출 및 변조가 불가능하다.  [그림 17-7]은 ESP Tunnel 모드에서 전송되는 패켓을 캡처한 것이다.
 

[그림 17-7] ESP Tunnel 모드에서 전송되는 패켓 내용

 

 

3. SA(Security Associations)

 

AH와 ESP를 통해서 IPSec 서비스를 구현할 경우, 암호화 및 인증에 사용할 보안 요소들을 SA로 정의한다. 이때, SA는 다양한 정보들이 포함되어 있지만, 가장 중요한 것은 패켓을 암호화와 복호화할 때 사용하는 키의 수명이다. SA는 단방향 연결로 생성되며, AH와 ESP 각각 개별적으로 생성된다. 이유는 AH와 ESP 서비스를 모두 사용할 경우 2개 이상의 SA를 만들어야 하기 때문이다. SA는 수동으로 생성 되거나, IKE를 통해 자동으로 생성할 수 있다. 수동으로 생성될 경우 SA는 생성되자마자 연결되며, 이렇게 생성된 SA는 삭제 만료 시간이 없다. 그러나 IKE를 이용하여 자동으로 생성된 경우, SA는 필요할 때마다 연결되며 특정 시간(3600초) 이후, 또는 특정한 양의 트래픽(4,608,000Kbyte) 처리가 완료된 경우 자동으로 삭제된다. 이렇게 삭제하는 이유는 주기적인 SA 갱신과 키 업데이트를 실시하여, 새로운 SA 정보와 새로운 키를 이용하여 외부 공격자로부터의 SA와 키 정보 해킹을 방지하기 위해서이다.

 

4. SA 생성 단계

 

특정 키로 암호화된 데이터는 해당 키를 이용하여 복호화를 할 수 있다. 이때, 대칭키 암호화 알고리즘은 암호화키와 복호화키가 동일하다. 또한, 실제 인증 과정 중에서는 공개키 인증서를 사용할 수도 있지만, IPSec 프로토콜을 이용하여 패켓을 암호화와 복호화하는 경우, 성능상의 이유로 대칭키 암호화 알고리즘을 사용한다. 네트워크에서 하나의 개체가 암호화한 데이터를 다른 개체에서 복호화를 실시하려면, 두 개체는 암호화할 알고리즘을 하나 정해서 사용해야하며, 암호화와 복호화에 사용할 키에 대해서 공유하고 있어야 한다. 이런 논리적인 결합을 SA라고 하며, IPSec으로 암호화와 복호화하기 이전에 두 개체간에 미리 설정되어 있어야 한다. 그렇기 때문에 [표 17-3]과 같이 1단계 SA와 2단계 SA로 계층적인 구조를 갖는다.

 

[표 17-3] SA 계층적 구조

SA 단계	내용
1단계 SA	1단계 SA는 두 IPSec 개체간에 인증 및 2단계 SA를 성립하는 메시지를 보호하기 위한 세션키를 협상한다. 그리고 2단계 SA를 설정하기 위한 메시지를 보호할 때만 사용하고, IPSec으로 패켓을 보호하기 위해서는 사용하지 않는다. 또한, 1단계 SA는 방향성을 가지지 않는다. 단, 수동으로 키를 설정하면, 1단계 SA는 생성되지 않는다.
2단계 SA	2단계 SA는 실제 IPSec을 이용하여 패켓 전송에 사용할 SA를 의미한다. 그리고 인바운드와 아웃바운드에서 사용하는 SA가 다르기 때문에, 2 단계 SA는 방향성을 가진다. 즉, 인바운드 SA와 아웃바운드 SA라는 2개의 SA가 생성된다. 이때, 2단계 SA에는 인증 메커니즘, 암호화 알고리즘, 해시 알고리즘, 암호화와 인증 키값, SA 갱신 기간이 포함된다.

 

SA 정보를 생성하는 방법은 2가지가 있다. 첫 번째는 수동키(Manual Keying) 방식으로 두 IPSec 개체에 대해서 관리자가 수동으로 키를 입력해주는 방식이 있고, 두 번째는 IKE 프로토콜 이용한 협상에 의해서 SA를 생성하는 자동키 교환 방식이 있다.

 

 

5. IKE(Internet Key Exchange)

 

IKE란 ISAKMP와 Oakley 프로토콜을 결합한 IPSec에서 사용되는 키 관리 프로토콜이다. IKE는 상호 개체간에 인증된 보안 통신 체널을 생성하고, SA 정보를 협상한다. 이 과정을 수행하기 위해서는 상호간에 서로를 인증하고 필요한 키를 교환해야 한다. IKE를 통한 협상 과정은 IKE 1단계(ISAKMP SA)와 IKE 2단계(IPSec SA)로 구성된다. 두 개체간에 SA를 생성하기 위해서 IKE 메시지를 교환하는데, 이때, 출발지/목적지 포트 번호를 UDP 500번을 사용한다. IKE 1단계는 기본적으로 Main 모드로 동작하는데, 이때 6개의 메시지를 교환하여 1단계 성립을 완료한다. 그런 다음, Quick 모드로 전환되어 2단계 SA를 생성하기 위해서 메시지를 교환하는데, 1단계 SA에 의해서 보호되기 때문에 비교적 간단한 메시지로 교환된다. 이렇게 Quick 모드로 전환되어 2단계 SA가 생성되면, 두 개체간에 전송되는 패켓들은 IPSec을 통하여 암호화와 인증 기능을 보장받게 된다.

 

1) IKE 1단계 Main 모드

 

IKE 1단계는 기본적으로 Main 모드로 동작하는데, 이때 6개의 메시지를 교환하여 1단계 성립을 완료한다. [그림 17-8]은 IKE 1 단계 Main 모드에 전송되는 ISAKMP 내용을 캡처한 것이다.

 

[그림 17-8] Main 모드에서 ISAKMP 정보 전송 내용

 

2) IKE 2단계 Quick 모드

 

IKE 1단계가 성립되면, Quick 모드로 전환되어 2단계 SA를 생성하기 위한 메시지를 교환한다. 이때, 1단계 SA에 의해서 보호되기 때문에 비교적 간단한 메시지로 교환한다. [그림 17-9]는 IKE 2단계 Quick 모드에 전송되는 ISAKMP 내용을 캡처한 것이다.

 

[그림 17-9] Quick 모드에서 ISAKMP 정보 전송 내용

 

 

6. IKE를 이용한 개체 인증 방식

 

IKE 1단계가 성립되기 위해서는 상호 장비간에 인증을 실시해야 한다. 인증 방식은 [표 17-4]와 같다.

 

[표 17-4] 인증 방식 유형

인증 방식	내용
Pre-Shared Key	대칭키를 각 장비에 미리 설정하여, 상호간에 공개키를 포함하는 데이터의 해시 값을 교환하여 서로를 인증한다.
RSA Encryption	공개키와 비밀키를 생성한 후에 상대방의 공개키를 이용하여 데이터를 암호화하여 전송한다. 상대방은 자신의 비밀키를 이용하여 데이터를 복호화한다.
RSA Signature	CA 인증 서버를 이용하여 전자 서명을 실시 한 이후에 상호간에 데이터를 교환한다.

 

 

1) IKE 1단계 정책 내용

 

IKE 1단계는 보안성이 없는 네트워크를 통하여 암호화된 데이터를 송수신하기 위한 준비 단계이며, ISAKMP SA를 생성하기 위해서 다음과 같은 정책을 설정해야 한다.

 

[표 17-5] IKE 1단계 설정 내용

정책	내용
VPN 장비간에 사용할 인증 방식	Pre-Share Key, RSA Encryption, RSA Signature
암호화 방식	DES, 3DES, AES
키 교환 방식	Diffie-Hellman Group 1,2,5
무결성 확인 방식	MD5, SHA
보안 정책 사용 기간	Lifetime(60-86400)

 

[예제 17-1]은 라우터에서 사용하는 기본적으로 설정되어 있는 IKE 1단계 정책 내용이다.

 

[예제 17-1] 기본 IKE 1단계 정책 내용

Router#show crypto isakmp policy   Global IKE policy Default protection suite         encryption algorithm:   DES - Data Encryption Standard (56 bit keys).         hash algorithm:         Secure Hash Standard         authentication method:  Rivest-Shamir-Adleman Signature         Diffie-Hellman group:   #1 (768 bit)         lifetime:                86400 seconds, no volume limit

 

2) IKE 2단계 정책 설정

 

IKE 2단계는 실제 암호화된 데이터를 송수신하는 단계이며, IPSec SA를 생성하기 위해서 다음과 같은 정책을 설정해야 한다.

 

[표 17-6] IKE 2단계 설정 내용

정책	내용
보호 대상 트래픽	‘access-list’ 구문 사용
IPSec 프로토콜	AH, ESP
암호화 방식	DES, 3DES, AES
무결성 확인 방식	MD5, SHA
보안 정책 사용 기간	Lifetime(120-86400) , kilobytes(2560-536870912)
IKE 1단계/IKE 2단계 정책 연동	‘crypto map’ 명령어 사용

 

 

 

7. Site-to-Site IPSec VPN 구성

 

그럼 [그림 17-10]을 참조하여 R1과 R3에서 Site-to-Site IPSec VPN을 구성하도록 하자.

 

[그림 17-10] 네트워크 토폴로지

 

R1과 R3에서 설정한 IKE 1단계와 IKE 2단계 정책 내용은 다음과 같다.

 

[표 17-7] IKE 1단계/IKE 2단계 정책 내용

IKE 단계	알고리즘	내용
IKE Phase 1	encryption algorithm	3des
	hash algorithm	md5
	authentication method	pre-shared key (key string : cisco)
	Diffie-Hellman group	2
	lifetime	3600 seconds
IKE Phase 2	encryption algorithm	3des
	hash algorithm	sha

 

 

① IKE 1단계 설정

 

[예제 17-2] R1에서 IKE 1단계 설정과 공유 비밀키(pre-share key) 설정

R1(config)#crypto isakmp policy 10 R1(config-isakmp)#encryption 3des R1(config-isakmp)#hash md5 R1(config-isakmp)#group 2 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#lifetime 3600 R1(config-isakmp)#exit R1(config)#crypto isakmp key 6 cisco address 13.13.8.3

 

② IKE 2단계 설정

 

[예제 17-3] R1에서 보호 받을 트래픽과 IKE 2단계 설정

R1(config)#access-list 110 permit ip 150.1.13.0 0.0.0.255 150.3.13.0 0.0.0.255 R1(config)#crypto ipsec transform-set CISCO esp-3des esp-sha-hmac

 

  ③ IKE 1단계/IKE 2단계 정책 연동

 

[예제 17-4] R1에서 ‘crypto map’ 구문을 이용한 IKE 정책 연동

R1(config)#crypto map IPSEC 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer         and a valid access list have been configured. R1(config-crypto-map)#set peer 13.13.8.3 R1(config-crypto-map)#set transform-set CISCO R1(config-crypto-map)#match address 110

 

④ ‘crypto map’ 인터페이스 적용

 

[예제 17-5] R1 s1/0.12 인터페이스에 ‘crypto map’ 적용

R1(config)#int s1/0.12 R1(config-subif)#crypto map IPSEC

 

  R1에서 설정이 완료되었다면, R3에서도 Site-to-Site IPSec VPN을 구성하도록 하자.

 

[예제 17-6] R3에서 Site-to-Site IPSec VPN 설정

R3(config)#crypto isakmp policy 10 R3(config-isakmp)#encryption 3des R3(config-isakmp)#hash md5 R3(config-isakmp)#group 2 R3(config-isakmp)#authentication pre-share R3(config-isakmp)#lifetime 3600 R3(config-isakmp)#exit R3(config)#crypto isakmp key 6 cisco address 13.13.9.1 R3(config)#access-list 110 permit ip 150.3.13.0 0.0.0.255 150.1.13.0 0.0.0.255 R3(config)#crypto ipsec transform-set CISCO esp-3des esp-sha-hmac R3(cfg-crypto-trans)#exit R3(config)#crypto map IPSEC 10 ipsec-isakmp R3(config-crypto-map)#set peer 13.13.9.1 R3(config-crypto-map)#set transform-set CISCO R3(config-crypto-map)#match address 110 R3(config-crypto-map)#exit R3(config)#int s1/0.23 R3(config-subif)#crypto map IPSEC

 

  설정이 완료되었다면, R1에서 IPSec 연결 상태를 확인하도록 하자.

 

[예제 17-7] R1에서 확인한 IKE 1단계와 IKE 2단계 연결 상태

R1#show crypto session Crypto session current status   Interface: Serial1/0.12 Session status: DOWN Peer: 13.13.8.3 port 500   IPSEC FLOW: permit ip 150.1.13.0/255.255.255.0 150.3.13.0/255.255.255.0         Active SAs: 0, origin: crypto map

 

  정보 확인 결과, 연결 상태가 ‘DOWN’인 것을 알 수 있다. 그럼 R4에서 Ping 테스트를 실시하도록 하자.

 

[예제 17-8] R4에서 ‘150.3.13.254’로 Ping 테스트

R4#ping 150.3.13.254 repeat 10   Type escape sequence to abort. Sending 10, 100-byte ICMP Echos to 150.3.13.254, timeout is 2 seconds: ..!!!!!!!! Success rate is 80 percent (8/10), round-trip min/avg/max = 72/73/80 ms

 

  Ping 테스트가 완료되었다면, R1에서 다시 IPSec 연결 상태를 확인하도록 하자.

 

[예제 17-9] R1에서 확인한 IKE 1단계와 IKE 2단계 연결 상태

R1#show crypto session Crypto session current status   Interface: Serial1/0.12 Session status: UP-ACTIVE     Peer: 13.13.8.3 port 500   IKE SA: local 13.13.9.1/500 remote 13.13.8.3/500 Active   IPSEC FLOW: permit ip 150.1.13.0/255.255.255.0 150.3.13.0/255.255.255.0         Active SAs: 2, origin: crypto map

 

정보 확인 결과, 연결 상태가 ‘UP-ACTIVE’로 전환된 것을 알 수 있다. IKE를 이용하여 IPSec을 구성하면, 처음에는 ‘DOWN’ 상태였다가 패켓 전송을 실시하면, IKE 메시지를 교환한 이후, IKE 1단계와 IKE 2단계가 성립되면서 ‘UP-ACTIVE’ 상태로 전환된 것이다. 다음은 R1에서 IKE 2단계 SA를 이용하여 패켓 전송에 대한 암호화와 복호화 통계를 확인하도록 하자.

 

[예제 17-10] R1에서 확인한 패켓 암호화/복호화 통계

R1#show crypto engine connections active Crypto Engine Connections      ID Interface  Type  Algorithm           Encrypt  Decrypt  IP-Address     1 Se1/0.12   IPsec 3DES+SHA                0        8  13.13.9.1     2 Se1/0.12   IPsec 3DES+SHA                9        0  13.13.9.1  1001 Se1/0.12   IKE   MD5+3DES               0        0  13.13.9.1

 

  정보 확인 결과, IPSec SA를 이용하여 인바운드/아웃바운드로 암호화와 복호화를 하는 것알 알 수 있다. 다음은 R1에서 IKE 1단계를 이용하여 생성된 ISAKMP SA를 확인하도록 하자.

 

[예제 17-11] R1에서 확인한 ISAKMP SA 내용

R1#show crypto isakmp sa IPv4 Crypto ISAKMP SA dst             src             state          conn-id slot status 13.13.8.3        13.13.9.1       QM_IDLE       1001   0   ACTIVE   IPv6 Crypto ISAKMP SA

 

  다음은 R1에서 IKE 1단계 기본 정책과 설정한 정책 내용을 확인하도록 하자.

 

[예제 17-12] R1에서 확인한 IKE 1단계 정책 내용

R1#show crypto isakmp policy   Global IKE policy Protection suite of priority 10         encryption algorithm:   Three key triple DES         hash algorithm:         Message Digest 5         authentication method:  Pre-Shared Key         Diffie-Hellman group:   #2 (1024 bit)         lifetime:               3600 seconds, no volume limit Default protection suite         encryption algorithm:   DES - Data Encryption Standard (56 bit keys).         hash algorithm:         Secure Hash Standard         authentication method:  Rivest-Shamir-Adleman Signature         Diffie-Hellman group:   #1 (768 bit)         lifetime:               86400 seconds, no volume limit

 

  다음은 R1에서 IKE 2단계 정책 내용을 확인하도록 하자.

 

[예제 17-13] R1에서 확인한 IKE 2단계 정책 내용

R1#show crypto ipsec transform-set Transform set CISCO: { esp-3des esp-sha-hmac  }    will negotiate = { Tunnel,  },

 

  다음은 R1에서 IKE 2단계를 이용하여 생성된 IPSec SA를 확인하도록 하자.

 

[예제 17-14] R1에서 확인한 IPSec SA 내용

R1#show crypto ipsec sa address fvrf/address: (none)/13.13.9.1    protocol: ESP       spi: 0xA5A46617(2779014679)         transform: esp-3des esp-sha-hmac ,         in use settings ={Tunnel, }         conn id: 1, flow_id: SW:1, crypto map: IPSEC         sa timing: remaining key lifetime (k/sec): (4503506/3472)         IV size: 8 bytes         replay detection support: Y         Status: ACTIVE   fvrf/address: (none)/13.13.8.3    protocol: ESP       spi: 0x3EE8BE05(1055440389)         transform: esp-3des esp-sha-hmac ,         in use settings ={Tunnel, }         conn id: 2, flow_id: SW:2, crypto map: IPSEC         sa timing: remaining key lifetime (k/sec): (4503506/3472)         IV size: 8 bytes         replay detection support: Y         Status: ACTIVE

 

정보 확인이 완료되었다면, 다음 내용을 알아보기 위해서 IPSec VPN 관련 설정을 삭제하도록 하자.

 

[예제 17-15] R1과 R3에서 IPSec VPN 설정 삭제

R1(config)#int s1/0.12 R1(config-subif)#no crypto map IPSEC R1(config-subif)#exit R1(config)#no crypto map IPSEC 10 R1(config)#no crypto ipsec transform-set CISCO esp-3des esp-sha-hmac R1(config)#no crypto isakmp key 6 cisco address 13.13.8.3 R1(config)#no crypto isakmp policy 10 R1(config)#no access-list 110   R3(config)#int s1/0.23 R3(config-subif)#no crypto map IPSEC R3(config-subif)#exit R3(config)#no crypto map IPSEC 10 R3(config)#no crypto ipsec transform-set CISCO esp-3des esp-sha-hmac R3(config)#no crypto isakmp key 6 cisco address 13.13.9.1 R3(config)#no crypto isakmp policy 10 R3(config)#no access-list 110

 

  참고로 IPSec 관련 내용 삭제는 설정의 역순으로 진행해야 한다.