IPsec VPN (1)

<>IPsec VPN

  

1. IKE 1단계 설정

   

   (1) 피어 인증 (RSA-sig, RSA-encr, Pre-Share) 

   (2) 패킷 암호화 (DES, 3DES, AES)

   (3) 대칭키생성 알고리듬 (Diffie-Hellman group 1, 2, 5)

2. IKE 2단계 설정

   (1) 보호할 네트워크 대역설정

   (2) SA 암호화 알고리듬 (ESP-AES, ESP-DES, ESP-3DES,  ESP-MD5-HMAC)

   (3) 무결성 확인 (ESP-MD5-HMAC, ESP-MD5-SHA)

3. Crypto Map 생성후 인터페이스 적용

   예제

   (1) [221.1.x.x]를 공용망으로 가정하고 이를 IPsec VPN으로 연결한다.

   (2) R1, R6, R7은 모두 OSPF area 0으로 광고한다.

   (3) 모든 트래픽이 R1으로 경유하는 허브앤스포크 형태의 네트워크 구성

   R1

   R6

   R7

   고객단 라우터는 OSPF만 설정해주면 끝

   R3 공용망 코어 라우터는 인터페이스 IP만 설정한다.

   R2

   장황하다-_- 사실 별거 없는데

   (1) IKE 1단계 정책을 정한다. 피어인증은 pre-share로 패킷암호화는 AES로, 대칭키 생성 알고리듬은 디피헬먼 group 2로 

       지정하였다.

   (2) 피어를 인증할 암호를 정한다. 키값은 상대방 피어와 동일하게 설정해야한다.

   (3) IKE 2단계 SA 암호화방식을 정한다.(transform-set) 암호화 esp 인캡슐레이션 aes로, 무결성확인은 esp-md5-로 지정

   (4) R4와 통신할 VPN 트래픽 대역을 정한다. ACL로 명시한 IP 트래픽에 대해서만 IPsec으로 보호하며, 그외에 트래픽은

       일반 트래픽으로 구분되어 디폴트 라우트를 타고 그냥 나간다.

       그리고 R6-R7간 통신할 IP대역에 대해서도 허브라우터역할을 할 R2에서 해당 대역을 설정해야한다.

   (5) R5와 통신할 VPN 트래픽

   (6) 크립토 맵을 만들어 위에서 생성한 보안정책들을 한번에 묶는다. 시스코는 MQC와 같은 이런형태의 map생성

       이 많이 쓰이며 이는 클래스별로 정책을 분리해서 처리할수 있도록 하는 편리함을 제공한다. 

       IPsec으로 보호할 트래픽대역에 대해, 피어를 정한후 transform-set(SA)를 적용한다.

   (7) 위와 동일하게 R5에 대한 트래픽을 적용

   (8) 공용망과 연결되는 인터페이스에 크립토 맵을 적용한다. 모두 설정하고 이걸 빼먹어서 장애가 생기는 경우가 많다.

   (9) 공용망 코어 라우터로 디폴트 라우트를 설정

   (10) R1 고객단 내부 라우터로 디폴트 라우트 정보를 광고한다.

   R4

   R2와 모두 동일하게 설정하나, R4는 오직 R2와 통신하므로 한개의 피어에 대한 정책을 설정하면 된다.

   목적지가 R7인 트래픽에 대해서도 IPsec으로 보호할수 있도록 ACL 설정시 이를 추가했다.

   R5

   R4와 설정이 거의 동일하다. 인증 알고리듬과 인증키 등을 동기화한다.

   R1-R6-R7 끼리 서로 ACL 에서 적용한 IP로 핑테스트를 해보고 show access-list 명령어를 통해 match 카운트를 확인하

   여 IPsec로 보호 받는지 여부를 확인한다.