VPN(Generic Routing Encapsulation)_Router

1. 개념

 Cisco Router에서 사용하는 VPN은 GRE Tunnel Protocol을 사용한다. GRE(Generic Routing Encapsulation) 터널링은 정상적인 방법으로는 이동할 수 없는 패킷이 정상적인 경로로 이동할 수 있는 패킷의 내부에 담겨 전송되는 것을 말한다. 실제 경로로 이동하지만 마치 네트워크상에서는 가상의 터널이 생생되어 패킷이 주고받는 것처럼 보여진다. 이 방법을 통해 1:1(Site-to-Site) 통신이 가능해지며, 보안이 증대되었다. 

 하지만 요즘은 GRE Tunnel의 한계가 있어 IPsec이나 SSL을 통해 보안이 요구되고 있다. 

전체 토폴로지

2. 개요

 이번 글은 Cisco Router에서 VPN(GRE Tunnel)을 구축하는 방법에 대해서 알아볼 것이다. VPN은 가상 사설망으로 마치 1:1로 직접 연결된것과 같은 효과를 발휘하는 네트워크이다. 이를 위해선 실제로 일단 연결되어 있어야 하며, 보안이 상승하는 이점을 가지고 있다. 간단하게 세팅 후, tracert 명령어로 어떤 경로로 패킷이 오고가는지 확인해보겠다.

3. HOST PC 상태

*편의상 방화벽을 아예 OFF한 상태입니다!

 1) WA10

 2) WB10

4. VPN Setting

conf)# int e0/0				
conf)# ip add x.x.x.x S.M		# 기본적인 IP 세팅

conf)# int Tunnel 0			# 가상 인터페이스 Tunnel 0 생성
conf-int)# ip add y.y.y.y S.M		# 가상 IP 기입
conf-int)# tunnel source x.x.x.x	# 가상 터널이 실제로 나갈 인터페이스의 IP 주소
conf-int)# tunnel destination z.z.z.z	# 가상 터널이 실제로 도착하는 이웃 라우터의 IP 주소

 : 세팅은 상당히 간단하다. VPN Service를 사용할 가상 인터페이스를 생성하고 IP를 추가한다. 하지만 이 IP 추가만으로는 제대로 라우팅이 되지 않기 때문에 가상 인터페이스를 패킷이 이용한다고 하였을때, 실제로 나갈 인터페이스의 IP를 추가적으로 기입해주어야 한다. 물론 마찬가지로 실제 패킷의 도착지도 알려주어야 한다. 이것으로 VPN Tunnel 생성은 끝이다.

 

conf)# router rip				# 실제 패킷이 관통하는 인터페이스 라우팅
conf-router)# ver 2
conf-router)# net z.z.z.z
conf-router)# exit

conf)# router ospf 1				# 가상망과 게이트웨이 라우팅
conf-router)# net x.x.x.x
conf-router)# net y.y.y.y

 : 가상망에 가상 IP를 넣어주었다고 하더라도 당연히 라우팅이 되어야 하기 때문에 라우팅 프로토콜을 만든 작업이다. 실제 패킷이 지나다니는 인터페이스 역시 라우팅 프로토콜을 해주었으며 같은 라우팅 프로토콜에 있어도 상관없다. 단순히 가상망을 생성하고 실제 도착지, 출발지만 적는다고해서 라우팅이 되지 않으니 꼭 IGP를 하도록 하자.

 

5. 실제 세팅

*필요한 부분만 가져왔습니다!

- R1

interface Tunnel0
 ip address 2.1.1.1 255.255.255.0
 tunnel source 1.1.1.1
 tunnel destination 1.1.1.2
!
interface Ethernet0/0
 ip address 192.168.10.2 255.255.255.0
!
interface Ethernet0/1
 ip address 1.1.1.1 255.255.255.0
!
router ospf 1                                               # 가상 인터페이스용 라우팅
 network 2.1.1.1 0.0.0.0 area 0
 network 192.168.10.2 0.0.0.0 area 0
!
router rip                                                   # 실제 패킷용 라우팅 
 version 2
 network 1.0.0.0
 no auto-summary

 

- R2

interface Tunnel0
 ip address 2.1.1.2 255.255.255.0
 tunnel source 1.1.1.2
 tunnel destination 1.1.1.1
!
interface Ethernet0/0
 ip address 192.168.20.2 255.255.255.0
!
interface Ethernet0/1
 ip address 1.1.1.2 255.255.255.0
!
router ospf 1                                               # 가상 인터페이스용 라우팅
 network 2.1.1.2 0.0.0.0 area 0
 network 192.168.20.0 0.0.0.0 area 0
!
router rip                                                   # 실제 패킷용 라우팅 
 version 2
 network 1.0.0.0
 no auto-summary

6. 접근

 1) WA10

 2) WB10