### VPN (Virtual Privite Network)
-VPN
: 사설네트워크(자사망의 장비가 통신을 위해 독립적으로 구성되고 유지되는 네트워크)에
공중 네트워크(공중망) 액세스를 가지고 접속하는 것을 의미하며,
인터넷과 같은 공중망에 Tunnel을 사용하여 연결후 데이터를 전송하는 기능
-이전에는 전용회선을 사용하여 네트워크와 네트워크를 연결하여 통신하였으나
넓은 국토를 가진 나라 또는 많은 지사들이 연결되어야 하는 네트워크 환경에서
전용회선을 사용하게되면 높은 유지비용의는 문제가 발생
==================================================================================================================
## GRE (Generic Routing Encapsulation)
-전용회선 : 네트워크와 네트워크를 ISP업체를 선정하여 직접 연결하는 방식
.장점 : 높은 대역폭을 지원하며 보안에 강하다.
.단점 : 높은 유지비용
-VPN : 미리 구축되어져있는 공중망에 사설 네트워크를 연결하는 방식
.장점 : 낮은 비용으로 일정량의 대역폭을 사용할수 있다.
.단점 : 보안에 취약하며 높은 대역폭을 사용하지 못한다.
GRE Tunnel 자체에서 암호화/인증 기능을 지원하지 않는다.
-GRE Tunnel
.CISCO에서 개발한 Tunneling Protocol로써 가상의 Interface를 생성하여 Point-to-point 환경으로 사설망을 연결하는 기능
[Multipoint 환경으로 구성이 가능하지만 여래개의 Protocol을 연동하여 구축해야한다.]
.공중망에 사설 네트워크를 광고 , 재분배하지 않고 통신하는 기술로 두 Tunnel-End Point에서 가상의 경로를 생성하게되면
외부 환경에서는 Tunnel로 송/수신되는 정보를 확인할 수 없으며 빠른연결과 통신이 보장되는 기능
.IP환경에서만 사용가능 IP , TCP/UDP 통신에 대해서만 사용가능하며 보안 기능을 지원하지않는다.
=========================================================================================================================
-R7 = 본사 PC
-R8 = 지사 PC
-R1 = GIT 본사
-R2 = GIT 지사
-R3 = ISP-1
-R4 = ISP-2
-R5 = ISP-3
-R6 = ISP-4
=========================================================================================================================
## 공중망 구성
EX1) GIT-A , GIT-B , ISP-1 , ISP-2 , ISP-3 , ISP-4 구간에 OSPF Routing Protocol을 사용하여 공중망을 구성하시오
.OSPF Process = 1 , Area = 0
.Router-ID = GIT = X.X.X.X , ISP = XX.XX.XX.XX (X = Router 번호)
.OSPF 라우팅 업데이트가 필요한 Interface로만 OSPF Packet이 송신되어야 한다.
.ISP-1 , ISP-2 , ISP-3의 Loopback 0 네트워크는 OSPF에 포함되어야 한다.
.OSPF환경내의 모든 네트워크는 Interface에 할당된 SubnetMask로 확인되어야 한다.
.GIT-A , GIT-B의 사설 네트워크는 OSPF에 포함되지 않아야한다.
# GIT-A (R1)
router ospf 1
router-id 1.1.1.1
passive-interface default
no passive-interface serial 1/0.10
network 100.100.1.0 0.0.0.255 area 0
network 121.160.10.0 0.0.0.255 area 0
!
# GIT-B (R2)
router ospf 1
router-id 2.2.2.2
passive-interface default
no passive-interface serial 1/0.20
network 100.100.2.0 0.0.0.255 area 0
network 121.160.20.0 0.0.0.255 area 0
!
# ISP-1 (R3)
router ospf 1
router-id 11.11.11.11
passive-interface default
no passive-interface serial 1/0.10
no passive-interface serial 1/0.12
network 100.100.11.0 0.0.0.255 area 0
network 121.160.10.0 0.0.0.255 area 0
network 121.160.12.0 0.0.0.255 area 0
!
# ISP-2 (R4)
router ospf 1
router-id 22.22.22.22
passive-interface default
no passive-interface serial 1/0.12
no passive-interface serial 1/0.23
network 100.100.12.0 0.0.0.255 area 0
network 121.160.12.0 0.0.0.255 area 0
network 121.160.23.0 0.0.0.255 area 0
!
# ISP-3 (R5)
router ospf 1
router-id 33.33.33.33
passive-interface default
no passive-interface serial 1/0.23
no passive-interface serial 1/0.34
network 100.100.13.0 0.0.0.255 area 0
network 121.160.23.0 0.0.0.255 area 0
network 121.160.34.0 0.0.0.255 area 0
!
# ISP-4 (R6)
router ospf 1
router-id 44.44.44.44
passive-interface default
no passive-interface serial 1/0.20
no passive-interface serial 1/0.34
network 100.100.14.0 0.0.0.255 area 0
network 121.160.20.0 0.0.0.255 area 0
network 121.160.34.0 0.0.0.255 area 0
!
정보 확인
GIT-A# show ip ospf neighbor [인접성 1개 확인]
GIT-B# show ip ospf neighbor [인접성 1개 확인]
ISP-1# show ip ospf neighbor [인접성 2개 확인]
ISP-2# show ip ospf neighbor [인접성 2개 확인]
ISP-3# show ip ospf neighbor [인접성 2개 확인]
ISP-4# show ip ospf neighbor [인접성 2개 확인]
=========================================================================================================================
## PC에서 외부 네트워크로 통신하기위한 Default-route 생성
-내부 Router에서 외부 네트워크로 통신하기위한 Static Default-route 생성
# PC1 (R7)
ip route 0.0.0.0 0.0.0.0 192.168.10.254
!
# PC2 (R8)
ip route 0.0.0.0 0.0.0.0 192.168.20.254
!
정보 확인
PC1# show ip route
C 192.168.10.0/24 is directly connected, FastEthernet0/0
S* 0.0.0.0/0 [1/0] via 192.168.10.254
PC2# show ip route
C 192.168.20.0/24 is directly connected, FastEthernet0/0
S* 0.0.0.0/0 [1/0] via 192.168.20.254
=========================================================================================================================
## 사설망을 연결하기위한 Tunnel 생성
EX) GIT-A와 GIT-B 구간을 GRE Tunnel을 사용하여 연결하시오
.GIT-A와 GIT-B 구간 Tunnel에 할당할 IP 주소는 172.16.10.0/24를 사용해야한다.
.Tunnel로 통신시 사용할 공인 Source IP address , Destination IP address는
ISP-1 , ISP-4에 직접 연결된 물리적인 Interface의 IP 주소를 사용해야 한다.
# GIT-A (R1)
interface tunnel 12
ip address 172.16.10.1 255.255.255.0
tunnel source 121.160.10.1
tunnel destination 121.160.20.2
!
# GIT-B (R2)
interface tunnel 12
ip address 172.16.10.2 255.255.255.0
tunnel source 121.160.20.2
tunnel destination 121.160.10.1
!
-GRE Tunnel interface를 생성한후 "show ip interface brief" command를 사용하여 정보확인하게되면
Tunnel interface의 Layer 2이 down상태로 확인된다.
-Tunnel 구성시 "tunnel destination"으로 설정된 IP 주소가 해당 Router의 Routing table에서 확인되면
Tunnel interface의 Layer 2이 up상태로 전환된다.
정보 확인
GIT-A# show ip route [GIT-A의 Routing table에는 172.16.10.0/24 네트워크가 Connecte로 확인된다.]
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.10.0 is directly connected, Tunnel12
~~~~~~~ 중간 생략 ~~~~~~~
GIT-A# ping 172.16.10.2
GIT-B# show ip route [GIT-B의 Routing table에는 172.16.10.0/24 네트워크가 Connecte로 확인된다.]
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.10.0 is directly connected, Tunnel12
~~~~~~~ 중간 생략 ~~~~~~~
GIT-B# ping 172.16.10.1
ISP-1# show ip route [ISP Router의 Routing Table에는 사설 IP 주소 172.16.10.0/24 네트워크가 확인되지 않는다.]
ISP-2# show ip route [ISP Router의 Routing Table에는 사설 IP 주소 172.16.10.0/24 네트워크가 확인되지 않는다.]
ISP-3# show ip route [ISP Router의 Routing Table에는 사설 IP 주소 172.16.10.0/24 네트워크가 확인되지 않는다.]
ISP-4# show ip route [ISP Router의 Routing Table에는 사설 IP 주소 172.16.10.0/24 네트워크가 확인되지 않는다.]
# Dynagen
=> capture R1 s1/0 GRE.cap FR
GIT-A# ping 172.16.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.10.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 816/945/1108 ms
# GIT-A -----> GIT-B
========================================================
-SA : 121.160.10.1 | GRE | -SA : 172.16.10.1 | ICMP |
-DA : 121.160.20.2 | | -DA : 172.16.10.2 | Request |
========================================================
# GIT-A <----- GIT-B
========================================================
-SA : 121.160.20.2 | GRE | -SA : 172.16.10.2 | ICMP |
-DA : 121.160.10.1 | | -DA : 172.16.10.1 | Reply |
========================================================
=========================================================================================================================
## GIT-A (본사)와 GIT-B (지사)간 연결을 위해서 Static route 생성
# GIT-A
ip route 192.168.20.0 255.255.255.0 172.16.10.2
-------- OR --------
ip route 192.168.20.0 255.255.255.0 tunnel 12
!
# GIT-B
ip route 192.168.10.0 255.255.255.0 172.16.10.1
-------- OR --------
ip route 192.168.10.0 255.255.255.0 tunnel 12
!
정보 확인
GIT-A# show ip route
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.10.0 is directly connected, Tunnel12
C 192.168.10.0/24 is directly connected, FastEthernet0/0
S 192.168.20.0/24 [1/0] via 172.16.10.2
~~~~~~~ 중간 생략 ~~~~~~~
PC1# ping 192.168.20.2
GIT-B# show ip route
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.10.0 is directly connected, Tunnel12
S 192.168.10.0/24 [1/0] via 172.16.10.1
C 192.168.20.0/24 is directly connected, FastEthernet0/1
~~~~~~~ 중간 생략 ~~~~~~~
PC2# ping 192.168.10.1
# GIT-A -----> GIT-B
========================================================
-SA : 121.160.10.1 | GRE | SA : 192.168.10.1 | ICMP |
-DA : 121.160.20.2 | | DA : 192.168.20.1 | Request |
========================================================
# GIT-A <----- GIT-B
========================================================
-SA : 121.160.20.2 | GRE | SA : 192.168.20.2 | ICMP |
-DA : 121.160.10.1 | | DA : 192.168.10.1 | Reply |
========================================================
'물리서버' 카테고리의 다른 글
| Data Privacy (0) | 2021.11.23 |
|---|---|
| IPsec (IP Security) (0) | 2021.11.23 |
| Switch (0) | 2021.11.23 |
| DHCP (0) | 2021.11.23 |
| NAT (0) | 2021.11.23 |
