close
프로필 배경
프로필 로고

Hdrive

Network/기초 ・2023. 10. 12. fullscreen 넓게보기

VPN - IPSec(ISAKMP)

구성도

IPSec 순서
1. IKE 1단계 : ISAKMP 정책정의, Key생성 
- [[Step1]]
2. IKE 2단계 : Accesslist를 이용하여 대상 정의, 알고리즘 적용
- [[Step2]]
3. crypto map 설정
- [[Step3]]
4. 출구 인터페이스에 적용
- [[Step4]]

(Step1)

cryto isakmp policy 10
- ISAKMP 선언 및 식별 번호(정책 선호도) 설정(낮은 번호 우선)

 

authentication pre-share : 기본 값 RSA-SIG
  authentication : 인증 방식 설정

pre-share  : 사전에 인증키를 상호 교환
rsa-encr   Rivest-Shamir-Adleman Encryption
rsa-sig    Rivest-Shamir-Adleman Signature

 

encryption aes : 기본 값 DES
  encryption : 암호화 알고리즘 선택

 

3des  Three key triple DES
aes   AES - Advanced Encryption Standard.
des   DES - Data Encryption Standard (56 bit keys).


group 2 : 기본 값 1

- group : 키 교환 방식 (Diffie-Hellman Group 1,2,5)
1   Diffie-Hellman group 1 (768 bit)
4  Diffie-Hellman group 14 (2048 bit)
15  Diffie-Hellman group 15 (3072 bit)
16  Diffie-Hellman group 16 (4096 bit)
19  Diffie-Hellman group 19 (256 bit ecp)

 

2   Diffie-Hellman group 2 (1024 bit)
20  Diffie-Hellman group 20 (384 bit ecp)
21  Diffie-Hellman group 21 (521 bit ecp)
24  Diffie-Hellman group 24 (2048 bit, 256 bit subgroup)

 

5   Diffie-Hellman group 5 (1536 bit)


hash sha : 기본 값 SHA

- hash : 무결성 확인 방식
md5     Message Digest 5
sha     Secure Hash Standard
sha256  Secure Hash Standard 2 (256 bit)
sha384  Secure Hash Standard 2 (384 bit)
sha512  Secure Hash Standard 2 (512 bit)

 

lifetime 86400 : 기본 값 86400
lifetime보안 정책 수명

 

crypto isakmp key cisco address 1.1.24.2
- ISAKMP 터널에 사용할 인증키 선언 및 교환할 IP 지정

 

(Step2)

ip access-list extended R2
- IPSec 터널을 경유해야 하는 대상 트래픽(암호화 적용할 대상) 정의
permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

 

crypto ipsec tranform-set PHASE2-POLICY esp-aes esp-md5-hmac
- IPSec 터널에 대한 보안 알고리즘 적용(암호화,해쉬기법)

 

Crypto map 설정 (Step3)

- IPSec 피어 (IPSec VPN 통신을 수행할 대상), 암호화 기법, 암호화 대상 트래픽 선택 
Phase1(Policy 10) + Phase2(PHASE2-POLICY)

 

crypto map VPN 10 ipsec-isakmp
  - 어떤 트래픽에 대해 IPSec, ISAKMP을 적용할 것인지 설정
    set peer 1.1.24.2 
      - IPSec터널의 끝지점
    set transform-set PHASE2-POLICY
      - 암호화를 위해 미리 설정한 transform-set 지정
    match address R2
      - 암호화 대상으로 지정한 액세스 리스트 지정

crypto map 설정을 물리적 출구 인터페이스에 적용 (Step4)

int g0/0
  crypto map VPN

 

 

'Network > 기초' 카테고리의 다른 글

VPN의 종류, 설명  (0) 2024.08.10
VTP, DTP  (0) 2023.10.23
네트워크 기초 (2) ACL & offset list _ RIPv2  (0) 2023.08.19
네트워크 기초 (2) - ACL, prefix_list  (0) 2023.08.16
네트워크 기초 (1) frame relay와 EIGRP  (0) 2023.08.09
Network/기초 관련 글
더 보기

티스토리툴바