Site-to-Site VPN (Packet Tracer)

※ 패킷트레이서 실습을 통해 알아보는 사투사 VPN!

 

* Site-to-Site VPN

Site-to-Site Topology

① 왼쪽 사설망(172.16.1.0)에서 오른쪽 사설망(192.168.1.0)으로 통신을 하고 싶어 한다.

 

② 기본적으로 통신을 하려면 중간에 있는 공인망을 지나야 하는데 공인망에서는 사설망의 IP 주소를 찾을 수 없을 것이다. (사설 IP와 공인 IP에 대한 자세한 내용은 여기를 참고하세요!)

이해를 위해 192.168.1.1의 IP를 가진 PC에서 172.16.1.1에 ICMP 패킷을 보내봤다.

하지만 라우터는 도착지 IP 주소를 모르기 때문에 패킷을 drop 시킨다. (맨 아래 설명에 라우팅 테이블에 도착지 주소가 없다고 함. 사설 IP 대역은 라우팅 하지 않기 때문에 라우팅 테이블에 없는 게 당연하다.)

 

③ 사투사 vpn 설정을 하고(아래에 설정 명령어 있습니다)

 

 

출발지 오른쪽 사설 PC4(192.168.1.1) → 도착지 왼쪽 사설 PC0(172.16.1.1)

 

Inbound 패킷이 Outbound로 가면서 공인 IP로 출발지, 도착지 주소가 바뀜 (사설 IP를 공인 IP로 감쌈)

마찬가지로 반대 라우터에서도 공인 IP로 패킷을 받고

감쌌던 패킷을 까서 진짜 도착지인 172.16.1.1로 데이터를 전달해주게 됨

 패킷을 잘 넘겨받은 172.16.1.1

④ ICMP 패킷을 보내니 성공적으로 ICMP 패킷이 보내진다.

 

+ 위 실습으로 패킷이 공인망을 지날 때는 사설 IP를 공인 IP로 감싸서 공인망을 지나고, 다시 사설망에 들어갈 때 패킷을 까서 본래 목적지로 데이터를 전송시킨다는 것을 알게 되었다!

 

* Site-to-Site VPN 명령어

# Router 1 설정

R1(config)#license boot module c2900 technology-package securityk9 [yes]

R1(config)#do reload [yes]

R1(config)#crypto isakmp policy 10

R1(config-isakmp)#encr aes 256

R1(config-isakmp)#group 5

R1(config-isakmp)#authentication pre-share

R1(config)#crypto ipsec transform-set TS esp-aes esp-sha-hmac

R1(config)#crypto map vpn 10 ipsec-isakmp

R1(config-crypto-map)#set peer 201.98.23.1

R1(config-crypto-map)#set transform-set TS

R1(config-crypto-map)#match address 100

R1(config-crypto-map)#set pfs group5

R1(config)#crypto isakmp key Skill39 address 0.0.0.0 0.0.0.0

R1(config)#access-list 100 permit ip 172.16.1.0 0.00.255 192.168.1.0 0.0.0.255

R1(config)#int s0/3/0

R1(config-if)#crypto map vpn

R1(config)#ip route 0.0.0.0 0.0.0.0 201.98.23.1

 

# Router 2 설정

R2(config)#license boot module c2900 technology-package securityk9 [yes]

R2(config)#do reload [yes]

R2(config)#crypto isakmp policy 10

R2(config-isakmp)#encr aes 256

R2(config-isakmp)#group 5

R2(config-isakmp)#authentication pre-share

R2(config)#crypto ipsec transform-set TS esp-aes esp-sha-hmac

R2(config)#crypto map vpn 10 ipsec-isakmp

R2(config-crypto-map)#set peer 201.98.23.2

R2(config-crypto-map)#set transform-set TS

R2(config-crypto-map)#match address 100

R2(config-crypto-map)#set pfs group5

R2(config)#crypto isakmp key Skill39 address 0.0.0.0 0.0.0.0

R2(config)#access-list 100 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255

R2(config)#int s0/2/1

R2(config-if)#crypto map vpn

R2(config)#ip route 0.0.0.0 0.0.0.0 201.98.23.2