GRE 터널링 구축 실습
🎫 시나리오 :
인터넷을 사용하여 서울 본사- 제주 지사 간 네트워크 구축이 가능하지만,
인터넷 라우터는 사설IP주소를 라우팅 못하게 설정되어 있어
통신이 불가능한 문제가 발생한다. 이때 본사와 지사를 '터널링'을 통해 연결하자.
터널링 구축
SEOUL(config)# int tunnel 0
SEOUL(config-if)# ip add 172.16.12.1 255.255.255.0
SEOUL(config-if)# tunnel destination 23.23.23.3
SEOUL(config-if)# tunnel source fa0/0
SEOUL(config-if)# tunnel mode gre ip
JEJU(config)# int tunnel 0
JEJU(config-if)# ip add 172.16.12.2 255.255.255.0
JEJU(config-if)# tunnel destination 12.12.12.1
JEJU(config-if)# tunnel source fa0/1
JEJU(config-if)# tunnel mode gre ip
//🚨tunnel destination : 터널의 목적지에 있는 라우터의 인터페이스ip(공인ip), 인터넷 건너기 위함
//🚨tunnel source : 터널의 출발지인 내 인터페이스
//🚨tunnel mode gre ip: 터널 구성 방식을 GRE IP 로 지정
💦 GRE의 단점: 암호화되지 않은 평문 형태의 데이터 전송, 보안적으로 취약하다.
따라서 원거리에 떨어진 네트워크 구간을 일직선으로 연결하였을 때,
사설주소를 이용하여 안전한 데이터 통신이 가능도록 해주는 VPN기술이 필요
VPN 구축 실습
VPN: 통신 시 데이터를 ESP 헤더로 감싸서
데이터 암호화, 해쉬(데이터 무결성), 인증(데이터 기밀성)이
가능하게 하는 기술
//1: isakmp 단계 (각 지사 라우터에서 실행 코드)
//키 관련 정책 만들기
# crypto isakmp policy 1
//공유키방식 사용
# auth pre-share
데이터 암호화는 3des 방식 이용
# enc 3des u
# group 1
# exit
//키의 암호는 'test123'이며 23.23.23.3 과 통신하겠음
#crypto isakmp key test123 add 23.23.23.3
//2: IPsec 단계-데이터 암호화(각 지사 라우터에서 실행 코드)
//암호화 알고리즘 지정(esp-md5-hmac)
#crypto ipsec transform-set test esp-aes 128 esp-md5-hmac
//3: 1+2단계 묶기
@ SEOUL
# access-list 111 per ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255
@ JEJU
# access-list 111 per ip 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255
// 이 두 연결을 map test 10번에 넣겠다
# crypto map test 10 ipsec-isakmp
# crypto map test 10 ipsec-isakmp
# match add 111
# set peer 12.12.12.1
# set transform-set test
# int fa0/0
# crypto map test
'자기발전소 > # Network' 카테고리의 다른 글
| FTP 프로토콜 (0) | 2020.11.03 |
|---|---|
| VXLAN 과 Overlay (0) | 2020.10.23 |
| VLAN 과 Trunk Mode 실습 (0) | 2020.09.23 |
| IP 주소의 변환에 대하여: NAT & PAT (0) | 2020.08.07 |
| IP Subnet (서브넷 마스크) 개념 (0) | 2020.05.31 |
