gns vpn

vpn 인터넷과 같이 여러사람이 공용으로 사용하는 공중망을

특정인이나 조직이 단독으로 사용하는

사설망처럼 동작시키는것을 말함

,네트워크전용선으로 구축하는거에 비해서 훨씬 적은비용으로 유지가 가능

 

 

vpn기능

 

통신상대방확인 상대방이권한있는사람이라는것을 확인,psk방식과 디지털인증서를 사용하는방심

 

데이터 기밀성유지 송수신하는 데이터의 내용을 다른사람이 알지못하게 암호화시키는것

(confidentiality)

데이터무결성확인 송수신하는 데이터를 도중의 공격자가 변조하는 기능을 무결성확인이라고한다.

(integrity) 해쉬암호를 쓴다. 거의불가능하게 역추적 불가

md5와sha-1등이있다

재생방식 공격자가 자신의패킷을 도중에 끼워넣는것을 방지하는 기능을 말한다.

 

 

 

vpn종류

IPsec L3이상

 

SSL Vpn l5이상

 

pptp vpn l2이상

 

Lstp vpn l2이상

 

 

VPN 인증데이터암호화및 변조방지를위해 암호키가필요하다

 

대칭키는 양측에서 사용하는 암호가 동일,

양측에 미리성정된 암호(PSK)나

디피-헬먼(Diffie-Hellman) 알코리즘을 사용하여 만든 키를들수있다

 

비대칭키는 한쪽에서 암호와 상대가 사용하는 암호가 서로다른것을말하낟.

대표적으로 RSA키가있다.

 

IKE 처음 통신 당사자를 인증하고 보안에필요한 보안정책집합인 SA를 결정하며

보안통신에 필요한 키를 결정하기위한 프로토콜이다

 

SA 보안통신을 위한 여러가지 알고리즘 정책의 집합

여러가지 보안정책의 집합을 ISAKMP SA라고함

 

ESP또는 AJ 실제 데이터를 인캡슐레이션하고 보호하기위한프로토콜

 

 

 

IKE와 ISKMP 두개의 장비가 보안통신을 하기위해 데이터를 암호화,무결성확인,인증과정등

보안 프로토콜을 정하는 일을함

 

ISKMP 절차를 명시하는프로토콜

 

IKE ISK

 

 

 

통신이 될라면 라우팅 프로톨

 

eigrp(R1-R2)

정적(R2-R3-R4R5)

 

------------------------------------------------------------------

gns vpn

 

 

 

 

R1

int s0/0

ip add 10.1.12.1 255.255.255.0

 

R2

int s0/0

ip add 10.1.12.2 255.255.255.0

int s0/1

ip add 1.1.23.2 255.255.255.0

 

R3

int s0/0

ip add 1.1.23.3 255.255.255.0

int s0/1

ip add 1.1.34.3 255.255.255.0

int s0/2

ip add 1.1.35.3 255.255.255.0

 

R4

int s0/0

ip add 1.1.34.4 255.255.255.0

 

R5

int s0/0

ip add 1.1.35.5 255.255.255.0

 

 

R2

ip router 0.0.0.0 0.0.0.0 1.1.23.3

R4

ip route 0.0.0.0 0.0.0.0 1.1.34.3

R5

ip route 0.0.0.0 0.0.0.0 1.1.35.3

 

 

R1

router eigrp 1

network 10.1.12.0 0.0.0.255

R2

router eigrp 1

network 10.1.12.0 0.0.0.255

network 1.1.23.0. 0.0.0.255

R2

ip access-list extended ACL-INBOUND

permit udp host 1.1.34.4 eq 500 host 1.1.23.2 eq 500

permit udp host 1.1.35.5 eq 500 host 1.1.23.2 eq 500

permit esp host 1.1.34.4 host 1.1.23.2

permit esp host 1.1.35.5 host 1.1.23.2

 

R2

int s0/1

ip access-group ACL-INBOUND in

 

R4

show crypto isakmp policy

 

R2

crypto isakmp policy 10

encryption aes 암호화방식

authentication pre-share

group 2

exit

 

R3

crypto isakmp policy 10

encryption aes 암호화방식

authentication pre-share

group 2

exit

 

do show crypto isakmp policy

 

R2

(-------피어인증)

crypto isakmp key cisco address 1.1.34.4

crypto isakmp key cisco address 1.1.35.5

(aes암호화)

key config-key password-encrypt

(아이디ciscocisco넣기)

 

password encryption aes

show running-config | include isakmp key

 

R2

ip access-list extended R4

permit ip 10.1.10.0 0.0.0.255 10.1.40.0 0.0.0.255

 

R1

int fa0/0

ip add 10.1.10.1 255.255.255.0

no sh

 

pc1

ip 10.1.10.11/24 10.1.10.1

 

R4

int fa0/0

ip add 10.1.40.1 255.255.255.0

no sh

 

pc2

ip 10.1.40.44/24 10.1.40.1

 

R1

router eigrp 1

net 10.1.10.0 0.0.0.255

 

R5

int fa0/0

ip add 10.1.50.1 255.255.255.0

no sh

 

pc3

ip 10.1.50.55/24 10.1.50.1

 

 

 

R2

ip access-list extended R4

permit ip 10.1.10.0 0.0.0.255 10.1.40.0 0.0.0.255

permit ip 10.1.12.0 0.0.0.255 10.1.40.0 0.0.0.255

permit ip 10.1.50.0 0.0.0.255 10.1.40.0 0.0.0.255

ip access-list extended R5

permit ip 10.1.10.0 0.0.0.255 10.1.50.0 0.0.0.255

permit ip 10.1.12.0 0.0.0.255 10.1.50.0 0.0.0.255

permit ip 10.1.40.0 0.0.0.255 10.1.50.0 0.0.0.255

 

 

IKE 2단계 SA

R2

crypto ipsec transform-set PHASE2-POLICY esp-aes esp-md5-hmac

(esp는 aes암호화를 맞추고 이거에대한 해쉬값은 md5로 맞추겠다)

show crypto ipsec transform-set

(R2#에서 치기)

 

 

터널공사

R2

crypto map VPN 10 ipsec-isakmp

match address R4

set peer 1.1.34.4

set transform-set PHASE2-POLICY

 

R2

crypto map VPN 20 ipsec-isakmp

match address R5

set peer 1.1.35.5

set transform-set PHASE2-POLICY

 

int s0/1

(R2에서R3)

crypto map VPN

 

•