GRE VPN
- 원래 데이터를 GRE 헤더로 캡슐화 후 NEW IP Header 부착
- L2 | 211.239.123.1 61.250.123.1 | GRE | 192.168.1.1 192.168.2.2 | DATA
- ISP는 61.250.123.1을 목적지 IP로 확인하고 라우팅
- 암호화, 인증, 무결성 제공 X
- 멀티 프로토콜 지원(IPv4, IPv6, Multicast, Unicast ...)
- Tunnel 통해 Dynamic Routing Protocol 운영 가능
- 보안 취약하기 때문에 GRE만 사용하지 않고 다른 기술과 같이 사용
- Tunnel 인터페이스를 통해 논리적 Connected 환경 제공
- 10초마다 Tunnel Src, Dest IP 이용해 Keepalive 전송
- Dynamic Routing Protocol 운영 시 Tunnel Source IP 광고하지 않도록 주의
- Tunnel에 설정되는 Src와 Dest 통신이 되어야 Tunnel 활성화
- Tunnel 생성 후 내부 Network의 Next-hop은 Tunnel IP, Outgoing Interface는 Tunnel Interface
IPsec
- Unicast만 지원
- 암호화, 인증, 무결성 제공
- GRE는 항상 tunnel이 up 되어 있지만, IPsec은 트래픽 발생 시 tunnel이 up됨.
협상 과정
P1
ISAKMP SA(P2를 위한 사전협상)
- 6단계
P2
IPsec SA(실제 Data 통신방식 결정)
- 3단계
Encapsulation & mode
- Transport Mode
- 종단 장비 사이에 직접 IPsec VPN을 이용한 통신이 이루어지는 경우에 사용
- 20바이트 길이의 추가적인 IP 헤더를 사용하지 않는 반면, 보안통신을 하는 두 장비의 IP 주소가 외부 노출
- Tunnel Mode
- 종단 장비들이 전송경로 사이에 있는 IPsec VPN 게이트웨이를 이용해 통신
- IPsec VPN 관련 처리는 VPN G/W에서 이루어지고 종단 장비들은 VPN 존재 인식 X
- 종단 장비의 IP 주소가 외부 노출 X
Dynamic CrpytoMap
- 각 Peer에 대한 Crypto MAP을 Dynamic하게 생성
- 지사의 잦은 이동, 지사 인터넷 회선이 고정 IP가 아닌 유동 IP를 사용하는 경우
- Crypto MAP
- Peer IP, IPsec SA, ACL
- Dynamic MAP
- IPsec SA, ACL
- DMAP이 적용된 본사는 Peer IP를 모르기 때문에, 지사에서 먼저 통신을 시도 해야 Tunnel 생성
- Dynamic MAP 생성 -> Crypto MAP 적용 -> 인터페이스 적용
본사-지사 통신
지사가 먼저 터널협상 시도해야 통신가능
지사-지사 통신
각 지사가 서로에게 터널협상 시도해야 통신가능
