Cisco Network / Linux / 모의 해킹 / 정보 보안

네트워크/Security 2015. 2. 16. 18:25

[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)

GRE over IPSec VPN https://youtu.be/2VnosupZthY

제17장 IPSec VPN

GRE over IPSec VPN 구성 ········· Page 428

@ GRE over IPSec VPN

GRE 터널 환경에서 IPSec VPN을 구현하면, GRE 터널을 통하여 전송되는 모든 패켓들이 IPSec으로 보호되기 때문에 터널에서 실시하는 라우팅 업데이트 관련 패켓들도 암호화 및 인증이 보장된다. 그럼 [그림 17-11]을 참조하여 R1과 R3에서 GRE over IPSec VPN을 구성하도록 하자.

[그림 17-11] 네트워크 토폴로지

R1과 R3에서 설정한 IKE 1단계와 IKE 2단계 정책 내용은 다음과 같다

[표 17-8] IKE 1단계/IKE 2단계 정책 내용

IKE 단계	알고리즘	내용
IKE Phase 1	encryption algorithm	3des
	hash algorithm	md5
	authentication method	pre-shared key (key string : cisco)
	Diffie-Hellman group	2
	lifetime	3600 seconds
IKE Phase 2	encryption algorithm	3des
IKE Phase 2	hash algorithm	sha

① GRE 터널 구성

[예제 17-16] R1과 R3에서 GRE 터널 구성

R1(config)#int tunnel 13

R1(config-if)#ip address 172.16.1.1 255.255.255.0

R1(config-if)#tunnel source 13.13.9.1

R1(config-if)#tunnel destination 13.13.8.3

R3(config)#int tunnel 13

R3(config-if)# ip address 172.16.1.3 255.255.255.0

R3(config-if)# tunnel source 13.13.8.3

R3(config-if)# tunnel destination 13.13.9.1

② IKE 1단계 설정

[예제 17-17] R1에서 IKE 1단계 설정과 공유 비밀키(pre-share key) 설정

R1(config)#crypto isakmp policy 10

R1(config-isakmp)#encryption 3des

R1(config-isakmp)#hash md5

R1(config-isakmp)#group 2

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#lifetime 3600

R1(config-isakmp)#exit

R1(config)#crypto isakmp key 6 cisco address 13.13.8.3

③ IKE 2단계 설정

[예제 17-18] R1에서 보호 받을 트래픽(GRE를 통하여 추가된 새로운 IP 헤더 주소 정보가 되어야함)

R1(config)#access-list 110 permit gre host 13.13.9.1 host 13.13.8.3

R1(config)#crypto ipsec transform-set CISCO esp-3des esp-sha-hmac

④ IKE 1단계/IKE 2단계 정책 연동

[예제 17-19] R1에서 ‘crypto map’ 구문을 이용한 IKE 정책 연동

R1(config)#crypto map IPSEC 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

R1(config-crypto-map)#set peer 13.13.8.3

R1(config-crypto-map)#set transform-set CISCO

R1(config-crypto-map)#match address 110

⑤ ‘crypto map’ 인터페이스 적용

[예제 17-20] R1 s1/0.12 인터페이스에 ‘crypto map’ 적용

R1(config)#int s1/0.12

R1(config-subif)#crypto map IPSEC

R1에서 설정이 완료되었다면, R3에서도 GRE over IPSec VPN을 구성하도록 하자.

[예제 17-21] R3에서 GRE over IPSec VPN 설정

R3(config)#crypto isakmp policy 10

R3(config-isakmp)#encryption 3des

R3(config-isakmp)#hash md5

R3(config-isakmp)#group 2

R3(config-isakmp)#authentication pre-share

R3(config-isakmp)#lifetime 3600

R3(config-isakmp)#exit

R3(config)#crypto isakmp key 6 cisco address 13.13.9.1

R3(config)#access-list 110 permit gre host 13.13.8.3 host 13.13.9.1

R3(config)#crypto ipsec transform-set CISCO esp-3des esp-sha-hmac

R3(cfg-crypto-trans)#exit

R3(config)#crypto map IPSEC 10 ipsec-isakmp

R3(config-crypto-map)#set peer 13.13.9.1

R3(config-crypto-map)#set transform-set CISCO

R3(config-crypto-map)#match address 110

R3(config-crypto-map)#exit

R3(config)#int s1/0.23

R3(config-subif)#crypto map IPSEC

설정이 완료되었다면, R4에서 ‘150.3.13.254’로 Ping 테스트를 실시하도록 하자.

[예제 17-22] R4에서 ‘150.3.13.254’로 Ping 테스트

R4#ping 150.3.13.254 repeat 10

Type escape sequence to abort.

Sending 10, 100-byte ICMP Echos to 150.3.13.254, timeout is 2 seconds:

!!!!!!!!!!

Success rate is 100 percent (10/10), round-trip min/avg/max = 36/67/80 ms

Ping 테스트가 완료되었다면, 다음은 R1에서 IKE 2단계 SA를 이용하여 패켓 전송에 대한 암호화와 복호화 통계를 확인하도록 하자.

[예제 17-23] R1에서 확인한 패켓 암호화/복호화 통계

R1#show crypto engine connections active

Crypto Engine Connections

ID Interface Type Algorithm Encrypt Decrypt IP-Address

1 Se1/0.12 IPsec 3DES+SHA 0 21 13.13.9.1

2 Se1/0.12 IPsec 3DES+SHA 23 0 13.13.9.1

1001 Se1/0.12 IKE MD5+3DES 0 0 13.13.9.1

저작자표시 비영리 변경금지

'네트워크 > Security' 카테고리의 다른 글

PKI(CA) & IPSec VPN(RSA Signature) (0)	2015.02.16
EZVPN (0)	2015.02.16
DMVPN(Dynamic Multipoint VPN) (0)	2015.02.16
Site-to-Site IPSec VPN (0)	2015.02.16
GRE Tunnel (0)	2015.02.16