GRE over IPSec VPN

@[그림 17-11] 네트워크 토폴로지 preconfig.txt

@[그림 16-1] 네트워크 토폴로지 preconfig 완료.txt

[LAB-20] Site-to-Site IPSec VPN IV(GRE over IPSec).txt

[LAB-21] Site-to-Site IPSec VPN V(GRE over IPSec).txt

[LAB-20] Site-to-Site IPSec VPN IV(GRE over IPSec) 기본 설정.txt

[LAB-19] Site-to-Site IPSec VPN III (GRE Over IPSec).txt

[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)

GRE over IPSec VPN   https://youtu.be/2VnosupZthY

 

 

 

제17장 IPSec VPN

 

            GRE over IPSec VPN 구성 ········· Page 428

   

 

@ GRE over IPSec VPN

 

GRE 터널 환경에서 IPSec VPN을 구현하면, GRE 터널을 통하여 전송되는 모든 패켓들이 IPSec으로 보호되기 때문에 터널에서 실시하는 라우팅 업데이트 관련 패켓들도 암호화 및 인증이 보장된다. 그럼 [그림 17-11]을 참조하여 R1과 R3에서 GRE over IPSec VPN을 구성하도록 하자.

 

[그림 17-11] 네트워크 토폴로지

 

 

R1과 R3에서 설정한 IKE 1단계와 IKE 2단계 정책 내용은 다음과 같다

 

[표 17-8] IKE 1단계/IKE 2단계 정책 내용

IKE 단계	알고리즘	내용
IKE Phase 1	encryption algorithm	3des
	hash algorithm	md5
	authentication method	pre-shared key (key string : cisco)
	Diffie-Hellman group	2
	lifetime	3600 seconds
IKE Phase 2	encryption algorithm	3des
	hash algorithm	sha

 

① GRE 터널 구성

 

[예제 17-16] R1과 R3에서 GRE 터널 구성

R1(config)#int tunnel 13 R1(config-if)#ip address 172.16.1.1 255.255.255.0 R1(config-if)#tunnel source 13.13.9.1 R1(config-if)#tunnel destination 13.13.8.3   R3(config)#int tunnel 13 R3(config-if)# ip address 172.16.1.3 255.255.255.0 R3(config-if)# tunnel source 13.13.8.3 R3(config-if)# tunnel destination 13.13.9.1

 

② IKE 1단계 설정

 

[예제 17-17] R1에서 IKE 1단계 설정과 공유 비밀키(pre-share key) 설정

R1(config)#crypto isakmp policy 10 R1(config-isakmp)#encryption 3des R1(config-isakmp)#hash md5 R1(config-isakmp)#group 2 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#lifetime 3600 R1(config-isakmp)#exit R1(config)#crypto isakmp key 6 cisco address 13.13.8.3

 

③ IKE 2단계 설정

 

[예제 17-18] R1에서 보호 받을 트래픽(GRE를 통하여 추가된 새로운 IP 헤더 주소 정보가 되어야함)

R1(config)#access-list 110 permit gre host 13.13.9.1 host 13.13.8.3 R1(config)#crypto ipsec transform-set CISCO esp-3des esp-sha-hmac

 

  ④ IKE 1단계/IKE 2단계 정책 연동

 

[예제 17-19] R1에서 ‘crypto map’ 구문을 이용한 IKE 정책 연동

R1(config)#crypto map IPSEC 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer         and a valid access list have been configured. R1(config-crypto-map)#set peer 13.13.8.3 R1(config-crypto-map)#set transform-set CISCO R1(config-crypto-map)#match address 110

 

⑤ ‘crypto map’ 인터페이스 적용

 

[예제 17-20] R1 s1/0.12 인터페이스에 ‘crypto map’ 적용

R1(config)#int s1/0.12 R1(config-subif)#crypto map IPSEC

 

R1에서 설정이 완료되었다면, R3에서도 GRE over IPSec VPN을 구성하도록 하자.

 
 

[예제 17-21] R3에서 GRE over IPSec VPN 설정

R3(config)#crypto isakmp policy 10 R3(config-isakmp)#encryption 3des R3(config-isakmp)#hash md5 R3(config-isakmp)#group 2 R3(config-isakmp)#authentication pre-share R3(config-isakmp)#lifetime 3600 R3(config-isakmp)#exit R3(config)#crypto isakmp key 6 cisco address 13.13.9.1 R3(config)#access-list 110 permit gre host 13.13.8.3 host 13.13.9.1 R3(config)#crypto ipsec transform-set CISCO esp-3des esp-sha-hmac R3(cfg-crypto-trans)#exit R3(config)#crypto map IPSEC 10 ipsec-isakmp R3(config-crypto-map)#set peer 13.13.9.1 R3(config-crypto-map)#set transform-set CISCO R3(config-crypto-map)#match address 110 R3(config-crypto-map)#exit R3(config)#int s1/0.23 R3(config-subif)#crypto map IPSEC

 

설정이 완료되었다면, R4에서 ‘150.3.13.254’로 Ping 테스트를 실시하도록 하자.

 

[예제 17-22] R4에서 ‘150.3.13.254’로 Ping 테스트

R4#ping 150.3.13.254 repeat 10   Type escape sequence to abort. Sending 10, 100-byte ICMP Echos to 150.3.13.254, timeout is 2 seconds: !!!!!!!!!! Success rate is 100 percent (10/10), round-trip min/avg/max = 36/67/80 ms

 

Ping 테스트가 완료되었다면, 다음은 R1에서 IKE 2단계 SA를 이용하여 패켓 전송에 대한 암호화와 복호화 통계를 확인하도록 하자.

 

[예제 17-23] R1에서 확인한 패켓 암호화/복호화 통계

R1#show crypto engine connections active Crypto Engine Connections      ID Interface  Type  Algorithm           Encrypt  Decrypt  IP-Address     1 Se1/0.12   IPsec 3DES+SHA                0       21  13.13.9.1     2 Se1/0.12   IPsec 3DES+SHA               23        0  13.13.9.1  1001 Se1/0.12   IKE   MD5+3DES               0        0  13.13.9.1