GRE 터널과 IPSEC VPN을 같이 구성할 경우 Direct Encapsulation IPSec가 다르게 Dynamic Routing Protocol을 사용할 수 있게 된다.
VPN 이중화 구성이 훨씬 간단해지고, 보호 대상 트래픽 지정도 기존 방식보다 간단하게 처리할 수 있다.
명령어는 Direct Encapsulation IPSec과 거의 동일하다.
보호대상 트래픽 지정시 GRE Tunnel을 통과하는 패킷으로 정의해야 한다.
HQ_VPN Router IPSec 설정
crypto isakmp policy 1
isakmp 정책 설정
crypto isakmp key ictsec123 address 1.1.100.6
key 설정 및 실제 VPN 장비(Branch1 Router) IP등록
permit gre host 1.1.100.1 host 1.1.100.6
다른 PC로 전송될 때 IP패킷이 아닌 gre 패킷이 이동하므로 패킷 형태를 gre로 설정한다.
출발지를 터널 출발 IP 목적지를 터널 도착 IP로 설정한다.
<HQ_VPN> conf t crypto isakmp policy 1 authentication pre-share encryption aes group 2 ! crypto isakmp key ictsec123 address 1.1.100.6 crypto isakmp key ictsec123 address 1.1.100.10
access-list extended HQ->Branch1 permit gre host 1.1.100.1 host 1.1.100.6 ! access-list extended HQ->Branch2 permit gre host 1.1.100.1 host 1.1.100.10 ! crypto ipsec transform-set ICTSEC_VPN esp-aes esp-sha-hmac mode tunnel ! crypto map HQ_VPN 1 ipsec-isakmp match address HQ->Branch1 set transform-set ICTSEC_VPN set peer 1.1.100.6 ! crypto map HQ_VPN 2 ipsec-isakmp match address HQ->Branch2 set transform-set ICTSEC_VPN set peer 1.1.100.10 ! int fa 0/0 crypto map HQ_VPN ! |
Branch 1 Router IPSec 설정
<Branch1>
conf t |
Branch 2 Router IPSec 설정
<Branch2> conf t |
- 현재 IPSec을 터널 모드로 구성했기 때문에 총 3개의 IPv4 헤더가 사용되고 있다.
[IP Sec IP헤더] + [ESP] + [Gre IP헤더] + [Gre] + [원본 IP헤더]+[Data]
- IP Sec IP헤더와 Gre IP헤더는 동일한 Source-IP / Destination-IP를 사용하고 있기 때문에 IPSec을 Tunnel 모드가 아닌 Transport모드로 변경할 경우 다음과 같이 IP헤더 하나를 줄이는 것이 가능하다.
show crypto ipsec transform-set
- 총 Paket의 크기는 182byte이다.
- IPSec VPN Peer가 활성화되어 있는 상태에서 IPSec 관련 설정을 변경하여도 현재 활성화되어 있는 VPN Session에는 바로 적용되지 않는다.
- VPN Session을 초기화 하여 새롭게 협상과정을 진행해야만 새롭게 변경된 내용이 적용될 수 있다.
<HQ_VPN/Branch1/Branch2> conf t crypto ipsec transform-set ICTSEC_VPN esp-aes esp-sha-hmac mode transport !
<HQ_VPN> clear crypto session remote 1.1.100.6 clear crypto session remote 1.1.100.10 |
show crypto ipsec transform-set
- Packet 크기가 182byte에서 166byte로 줄어든것을 확인할 수 있다.
'Network > Router' 카테고리의 다른 글
[Router] Remote Access VPN (Easy VPN) 개념, 설정 (0) | 2019.12.11 |
---|---|
[Router] DMVPN (Dynamic Multipoint VPN) 개념, 설정 (0) | 2019.12.10 |
[Router] GRE Tunnel (0) | 2019.12.05 |
PPP 인증(Authentication) 방식 (0) | 2019.11.18 |
Router 로그 관리 방법 (0) | 2019.10.29 |
공부&일상 블로그
포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요! 질문은 언제나 환영입니다😊