2025.07.22 - [Network] - VPN 원리, 이론, 종류 (IPsec)
VPN 원리, 이론, 종류 (IPsec)
VPN: 가상사설네트워크→ Tunneling + Encryption 터널링과 암호화를 합친 것이 vpn이다.remote access vpn 재택근무자나 출장 외근 직원의 전용선으로 많이 쓴다host-host 또는 network-host연결개인 pc부터 암호화
happyroot.tistory.com
이전 글을 통해 알 수 있듯이
1단계 main mode실행 후
2단계 총 9개의 데이터가 날아간 것을 확인 할 수 있다.
VPN은 바깥쪽 라우터 인터페이스에 설정을 넣어줘야 한다.
왜냐하면 PBR은 라우팅이기 때문에 실제 있는 라우팅 테이블보다 먼저 적용이 되어야 한다. 정책을 설정한 라우팅 경로가 적용이 되어야 하기 때문에. 그래서 PBR은 안쪽에 적용을 해주는 것이고 VPN은 라우팅을 거는 것이 아니기 때문에,
경로를 지정해놓고 어디로 갈지 안 다음에 vpn적용을 하는 것이기 때문에 바깥쪽에 적용을 한다.
VPN은 터널링과 암호화를 합친 것이므로,
보면 공인 ip로 통신하는 것을 알 수 있다.
자동으로 터널링이 된다.
IPsec VPN 설정
-바로보기
#R1
crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha
group 1
exit
---------------------------------
crypto isakmp key 0 1234 address 200.200.200.2 255.255.255.0
crypto ipsec transform-set TEST esp-aes esp-sha-hmac
mode tunnel
exit
-------------------
access-list 100 permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
crypto map VPN1 10 ipsec-isakmp
match address 100
set peer 200.200.200.2
set transform-set TEST
exit
----------------
int f0/1
crypto map VPN1
--------------------
#R3
crypto isakmp policy 10
authentication pre-share
encryption aes
hash sha
group 1
exit
---------------------------------
crypto isakmp key 0 1234 address 100.100.100.1 255.255.255.0
crypto ipsec transform-set TEST esp-aes esp-sha-hmac
mode tunnel
exit
-------------------
access-list 100 permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
crypto map VPN1 10 ipsec-isakmp
match address 100
set peer 100.100.100.1
set transform-set TEST
exit
----------------
int f0/0
crypto map VPN1🔵 1단계: ISAKMP (IKE Phase 1) 설정
🔸 양쪽 장비 간 보안 협상을 위한 초기 설정
HQ(config)# crypto isakmp policy 10 ← 정책 번호
HQ(config-isakmp)# encryption aes 256 ← 대칭키 알고리즘
HQ(config-isakmp)# hash sha256 ← 해시 알고리즘
HQ(config-isakmp)# authentication pre-share ← 인증 방식 (사전 공유 키)
HQ(config-isakmp)# group 2 ← Diffie-Hellman 그룹 번호
🔸 공유 키 설정 (양쪽에서 동일해야 함)
HQ(config)# crypto isakmp key cisco123 address 192.168.1.2
여기서 key 0 or 6는 키 비밀번호를 암호화 할 것인지에 대한 내용이다.
숫자를 안 치면 기본 0 설정
6으로 해도 암호화가 되지는 않고, 미리 준비된 암호문을 입력하는게 나은 듯? (라우터에서 VPN을 보통 안 하니까 상관 x)
🟢 2단계: IPsec (IKE Phase 2) 설정
🔸 IPsec 트랜스폼셋 생성 (암호화 방식 정의)
HQ(config)# crypto ipsec transform-set SET1 esp-aes esp-sha-hmac
HQ(cfg-crypto-trans)# mode tunnel
※ NAT 환경이라면 추가로 아래 설정 필요:
HQ(config)# crypto ipsec nat-transparency udp-encapsulation
🟡 3단계: 암호화 트래픽 지정 (Crypto Map 구성)
HQ(config)# crypto map VPN-MAP 10 ipsec-isakmp
HQ(config-crypto-map)# match address 110 ← ACL로 트래픽 지정
HQ(config-crypto-map)# set peer 192.168.1.2 ← 상대방 장비 IP (Peer)
HQ(config-crypto-map)# set transform-set SET1 ← 위에서 만든 transform-set
🔸 예: ACL 정의 (암호화할 트래픽 범위)
HQ(config)# access-list 110 permit ip 10.0.0.0 0.0.0.255 192.168.10.0 0.0.0.255
🟣 4단계: 인터페이스에 암호화 정책 적용
HQ(config)# interface FastEthernet0/0
HQ(config-if)# crypto map VPN-MAP
🧪 ✅ 전체 구성 예시
! Phase 1 - ISAKMP
crypto isakmp policy 10
encryption aes 256
hash sha256
authentication pre-share
group 2
crypto isakmp key cisco123 address 192.168.1.2
! Phase 2 - Transform Set
crypto ipsec transform-set SET1 esp-aes esp-sha-hmac
mode tunnel
crypto ipsec nat-transparency udp-encapsulation
! Access-list for interesting traffic
access-list 110 permit ip 10.0.0.0 0.0.0.255 192.168.10.0 0.0.0.255
! Crypto map
crypto map VPN-MAP 10 ipsec-isakmp
match address 110
set peer 192.168.1.2
set transform-set SET1
! Apply to interface
interface FastEthernet0/0
crypto map VPN-MAP
📌 정리된 구성 단계
단계 구성 내용
| 1단계 | ISAKMP (암호화 정책, 키 설정) |
| 2단계 | IPsec 트랜스폼셋 구성 (암호화 방식 지정) |
| 3단계 | Crypto Map 구성 (트래픽 범위 + 피어 + 트랜스폼셋) |
| 4단계 | 인터페이스에 Crypto Map 적용 |
peer : 상대방 주소 내가 가고자 하는 목적지
'Network' 카테고리의 다른 글
| L2 스위치 이중화의 문제점 (0) | 2025.07.23 |
|---|---|
| win10-UTM을 VPN장비로 설정 (0) | 2025.07.23 |
| VPN 원리, 이론, 종류 (IPsec) (7) | 2025.07.22 |
| 실습 PBR,RIPv2 (1) | 2025.07.22 |
| tunneling 실습 (0) | 2025.07.21 |