GRE Over IPsec

IPsec (Internet Protocol Security) VPN

: 네트워크에서의 안전한 연결을 설정하기 위한 프로토콜

 

보안 관련 기능이기 때문에 cisco 라우터에서 이 프로토콜을 사용하려면 보안 기능을 활성화 해주어야 한다.

Router(config)#license boot module c2900 technology-package securityk9 // 보안 기능 활성화

 

이 명령어를 입력하면 뭐라뭐라 나오고 ACCEPT? 라고 나오는데 y를 입력해주면 된다.

별도의 라이선스이기 때문에 이를 위한 사용약관에 동의하는 것이다

 

 

GRE over IPsec 또한 네트워크 간의 안전한 통신을 위한 암호화 터널이기 때문에 위와 같은 기능을 활성화 시켜주어야 한다. 

(보안기능이 필요한 모든 라우터에게 활성화해주어야 한다.)

 

Router(config)#do write memory // 설정을 저장 한 후
Router(config)#do reload // 리로드 해준다

---

GRE Over IPsec

: 두 가지 프로토콜 (GRE와 IPsec)을 결합하여 안전하지 않은 네트워크를 통해 데이터를 안전하게 전송하는 방식.

GRE는 터널링 프로토콜이고, IPsec은 보안 프로토콜로 이 둘을 함께 사용하면 네트워크 트래픽을 안전하게 전송할 수 있다.

 

>> GRE Tunnel의 암호화하지 않은 데이터를 보완하기 위해 GRE Tunnel 기능 위에 IPsec 기능을 추가하여 보완한 기능.

 

+ tunneling

2024.09.17 - [TeamLog🦝/network🔌] - VPN, Tunneling

VPN, Tunneling

 

- SA : 암호화

- IKE : IPsec에서 사용하는 VPN 터널 협상, 결정 프로토콜

- ISAKMP (Internet Security Association and Key Management Protocol) : cisco에서 IKE 프로토콜을 지칭하는 말

 

[IPsec 기능 추가]

1. 앞에서 본 보안 기능 활성화 

2. ISAKMP 설정

Router(config)# crypto isakmp policy [ISAKMP 정책 번호] // 정책 우선 순위
Router(config-isakmp)# encryption [암호화 알고리즘] // aes, 3des...
Router(config-isakmp)# hash [해시 알고리즘] // 무결성 보장 : sha 또는 md5
Router(config- isakmp)# authentication [인증 방식] // 사전 공유 키 방식
Router(config-isakmp)# lifetime [실행시간 (s)]
Router(config- isakmp)# group [Diffie-Hellman 그룹 번호] // 보안 수준에 따른 선택
Router(config)# crypto isakmp key [사전 공유 키] address [상대방 ip 주소]

 

3. acl 설정

Router(config)# access-list [number] permit ip [출발지 ip] [출발지 subnetmask] [목적지 ip] [목적지 subnetmask]

 

4. 암호화, 해시 알고리즘 설정 (ISAKMP에서 했던 설정을 적용하는 느낌?)

Router(config)# crypto ipsec transform-set [transform-set 이름] esp-[암호화 알고리즘] esp-[해시 알고리즘]

 

5. crypto-map 설정 (특정 트래픽에 대해 어떤 암호화 알고리즘을 사용할지 설정)

Router(config-crypto-map)# crypto map [map 이름] [순서] ipsec-isakmp
Router(config-crypto-map)# set peer [상대방 ip 주소]
Router(config-crypto-map)# set tramsform-set [transform-set 이름]
Router(config-crypto-map)# match address [acl number]

 

6. crypto map 적용

Router(config)# interface [나가는 인터페이스]
Router(config)# crypto map [map 이름]

 

+ 설정 확인

Router(config)# do show crypto isakmp sa
Router(config)# do show crypto ipsec sa

 

---

tunneling이 진행된 토폴로지이다.

 

IPsec 기능 추가!!

Router0

Router2

Router0(config)#crypto isakmp policy 10
Router0(config-isakmp)#encryption aes
Router0(config-isakmp)#hash sha
Router0(config-isakmp)#authentication pre-share
Router0(config-isakmp)#lifetime 2600
Router0(config-isakmp)#group 2
Router0(config-isakmp)#crypto isakmp key teamlog address 10.10.20.1
Router0(config)#crypto ipsec transform-set transform esp-aes esp-sha-hmac

Router0(config)#access-list 100 permit gre host 10.10.10.1 host 10.10.20.1
Router0(config)#crypto map teamlog 10 ipsec-isakmp
Router0(config-crypto-map)#set peer 10.10.20.1
Router0(config-crypto-map)#set transform-set transform
Router0(config-crypto-map)#match address 100

Router0(config)#int s0/0/0
Router0(config-if)#crypto map teamlog

 

Router2(config)#crypto isakmp policy 10
Router2(config-isakmp)#encryption aes
Router2(config-isakmp)#hash sha
Router2(config-isakmp)#authentication pre-share
Router2(config-isakmp)#lifetime 2600
Router2(config-isakmp)#group 2
Router2(config-isakmp)#crypto isakmp key teamlog address 10.10.10.1
Router2(config)#crypto ipsec transform-set transform esp-aes esp-sha-hmac

Router2(config)#access-list 100 permit gre host 10.10.20.1 host 10.10.10.1
Router2(config)#crypto map teamlog 10 ipsec-isakmp
Router2(config-crypto-map)#set peer 10.10.10.1
Router2(config-crypto-map)#set transform-set transform
Router2(config-crypto-map)#match address 100

Router2(config)#int s0/0/0
Router2(config-if)#crypto map teamlog

 

이렇게 해주면 설정은 끝났다.

 

동작 확인!!

pc0 => pc1으로 ping 테스트 후 isakmp sa 확인

Router(config)# do show crypto isakmp sa

dst와 src가 조회되는 것을 확인 할 수 있다.

 

정책 내용 확인!!