접근 제어 목록(ACL) <ACL 실습 토폴로지> - R1, R2, R3 설정: 주소 및 OSPF 프로토콜.

Presentation on theme: "접근 제어 목록(ACL) <ACL 실습 토폴로지> - R1, R2, R3 설정: 주소 및 OSPF 프로토콜."— Presentation transcript:

1 접근 제어 목록(ACL) <ACL 실습 토폴로지> - R1, R2, R3 설정: 주소 및 OSPF 프로토콜

2 접근 제어 목록(ACL) – R1 설정

3 접근 제어 목록(ACL) – R2 설정

4 접근 제어 목록(ACL) – R3 설정

5 접근 제어 목록(ACL) 표준 ACL 적용 실험 확장 ACL 적용 실험 : PC0는 R3에만 ping을 보낼 수 없도록 설정
R1의 PC1은 모든 장치와 통신, PC0은 통신할 수 없도록 표준 ACL적용 R1(config)#access-list 1 deny R1(config)#access-list 1 permit any R1(config)#int fa0/0 R1(config-if)#ip access-group 1 in R1(config-if)#exit R1(config)# 확장 ACL 적용 실험 : PC0는 R3에만 ping을 보낼 수 없도록 설정 R1(config)#access-list 100 deny icmp host host echo R1(config)#access-list 100 deny icmp host host echo R1(config)#access-list 100 deny icmp host host echo R1(config)#access-list 100 permit ip any any R1(config-if)# ip access-group 100 in

6 VPN VPN 개념 종류 IPSec 기반 SSL 기반 MPLS 기반

7 IPSec 기반 VPN IPSec 기능 2가지 IPSec 모드 VPN을 이용한 보안채널 구성 안전한 원격 인터넷 접근
E-Commerce 보안 라우터 간의 안전한 라우팅 정보교환 2가지 IPSec 모드 Transport Mode : IP 해더를 제외한 패킷의 내용이 암호화 Tunneling Mode : 패킷 전체가 암호화되고 별도의 해더가 추가(터널링)

8 IPSec IPSec에 사용하는 보안 프로토콜
AH : IP Authentication Header, 순서번호를 이용하여 송신자 인증 ESP : IP Encapsulating Security Payload, 송신자 인증 및 데이터 암호화 IKE : Internet Key Exchange, 안전한 암호화 키 분배 IPSec에서 Key Exchange와 SA(Security Association) 개설 시에 사용하는 프로토콜은 IKE를 사용하고 Packet 포멧은 ISAKMP 패킷 포멧을 따름 ISAKMP (Internet Security Association and Key Management Protocol) 보안협상 (Security Association)과 Key Exchange 관리 등 전반적인 것들을 병합 하기 위하여 설계된 프로토콜 IPSec을 이용할 때에 통신 하려고 하는 Peer들간에 보안 협상을 하게 되는데, 이 때 SA를 서로 교환, 개설, 변경, 삭제하는 작업을 하는 프로토콜

9 메시지 인증(MAC)

10 VPN 실습- 터널링기반(그림 13-1)

11 VPN 실습 – R1 설정 R1(config)#int gi0/0 R1(config-if)# ip add R1(config-if)# no shut R1(config-if)#exit R1(config)#int s0/2/0 R1(config-if)# ip add R1(config-if)#clock rate R1(config)#router ospf 7 R1(config-router)#network area 0 R1(config-router)#network area 0 R1(config-router)# exit

12 VPN 실습 – R3 설정 R3(config)#int gi0/0
R3(config-if)# ip add R3(config-if)# no shut R3(config-if)#exit R3(config)#int s0/2/0 R3(config-if)# ip add R3(config)#router ospf 7 R3(config-router)#network area 0 R3(config-router)#network area 0 R3(config-router)# exit

13 VPN 실습 – GRE 터널링 설정 정보패킷 전송은 물리적인 인터페이스를,
라우팅 정보 패킷은 논리적인 인터페이스(GRE 터널링, RIPv2))를 사용 R1 GRE터널 설정 R1(config)#int tunnel 12 R1(config-if)# ip add R1(config-if)# tunnel source s0/2/0 R1(config-if)# tunnel destination R1(config-if)#exit R1(config)#int loop 1 R1(config-if)# ip add R1(config)#router rip R1(config-router)#version 2 R1(config-router)#no auto-summary R1(config-router)#network R1(config-router)#network R1(config-router)# exit

14 R2 GRE터널 설정 R2(config)#int tunnel 21
R2(config-if)# ip add R2(config-if)# tunnel source s0/2/0 R2(config-if)# tunnel destination R2(config-if)#exit R2(config)#int tunnel 23 R2(config-if)# ip add R2(config-if)# tunnel source s0/2/1 R2(config-if)# tunnel destination R2(config)#int loop 1 R2(config-if)# ip add R2(config)#router rip R2(config-router)#version 2 R2(config-router)#no auto-summary R2(config-router)#network R2(config-router)#network R2(config-router)#network R2(config-router)# exit

15 R1# show ip route rip, R3# show ip route rip에서 라우팅테이블 확인
R3 GRE터널 설정 R3(config)#int tunnel 32 R3(config-if)# ip add R3(config-if)# tunnel source s0/2/0 R3(config-if)# tunnel destination R3(config-if)#exit R3(config)#int loop 1 R3(config-if)# ip add R3(config)#router rip R3(config-router)#version 2 R3(config-router)#no auto-summary R3(config-router)#network R3(config-router)#network R3(config-router)# exit R1# show ip route rip, R3# show ip route rip에서 라우팅테이블 확인 R1에서 R3로 traceroute 과 실행 후 경로 차이 확인

16 VPN 실습(터널링기반)

17 VPN 실습(그림 13-3) GRE 터널링을 이용한 IPSec
<IPSec VPN을 GRE터널링과 함께 사용하여 보안성을 향상> - ISAKMP 정책 : 인증(pre-share), 암호화(Advanced Encryption Standard 256) Hash(sha), Lifetime(36000초) - IPSec 정책 : 대상 트래픽(각 라우터의 시리얼 I/F로 나가는 모든 트래픽) 캡슐화(esp-3des), 암호화(esp-aes 256), Hash(esp-md5-hmac)

18 VPN 실습 – R1 설정 R1(config)#int gi0/0 R1(config-if)# ip add R1(config-if)# no shut R1(config-if)#exit R1(config)#int s0/2/0 R1(config-if)# ip add R1(config-if)#clock rate R1(config)#router ospf 7 R1(config-router)#network area 0 R1(config-router)#network area 0 R1(config-router)# exit

19 VPN 실습 – R2 설정 R2(config)#int gi0/0
R2(config-if)# ip add R2(config-if)# no shut R2(config-if)#exit R2(config)#int s0/2/0 R2(config-if)# ip add R2(config)#int s0/2/1 R2(config-if)# ip add R2(config-if)#clock rate 64000 R2(config)#router ospf 7 R2(config-router)#network area 0 R2(config-router)#network area 0 R2(config-router)#network area 0 R2(config-router)# exit

20 VPN 실습 – R3 설정 R3(config)#int gi0/0
R3(config-if)# ip add R3(config-if)# no shut R3(config-if)#exit R3(config)#int s0/2/0 R3(config-if)# ip add R3(config)#router ospf 7 R3(config-router)#network area 0 R3(config-router)#network area 0 R3(config-router)# exit

21 VPN 설정1 1. 라우터 R1에 대해 실습 토폴로지와 같이 인터페이스 설정과 tunnel 12를 설정한다. 2. 보안설정을 위해 추가로 다음과 같이 입력한다(빨강색 입력, 파란색은 라우터 출력 메시지 임). R1(config)#license boot module c2900 technology-package securityk9 PLEASE READ THE FOLLOWING TERMS CAREFULLY. INSTALLING THE LICENSE OR LICENSE KEY PROVIDED FOR ANY CISCO PRODUCT FEATURE OR USING SUCH PRODUCT FEATURE CONSTITUTES YOUR FULL ACCEPTANCE OF THE FOLLOWING TERMS. YOU MUST NOT PROCEED FURTHER IF YOU ARE NOT WILLING TO BE BOUND BY ALL THE TERMS SET FORTH HEREIN. ACCEPT? [yes/no]: y % use 'write' command to make license boot config take effect on next boot R1(config)#do write Building configuration... [OK] R1(config)#exit R1# %SYS-5-CONFIG_I: Configured from console by console R1#reload Proceed with reload? [confirm]

22 VPN 설정2 R1#conf t R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption ase 256 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#lifetime 36000 R1(config-isakmp)#hash sha R1(config-isakmp)#exit R1(config)crypto ipsec transform-set strong esp-3des esp-md5-hmac R1(config)crypto isakmp key cisco123 addr R1(config)crypto map vpn 10 ipsec-isakmp R1(config-crypto-map)set peer R1(config-crypto-map)set transform-set strong R1(config-crypto-map)match addr 110 R1(config-crypto-map)exit R1(config)access-list 110 permit gre host host R1(config)int s0/2/0 R1(config-if)crypto map vpn R1(config-if)exit R1(config)router ospf 7 R1(config-router)network area 0 R1(config-router)network area 0 R1(config-router)network area 0 R1(config-router)network area 0 R1(config-router)exit

23 VPN 설정3 3. R2와 R3에 대해서도 인터페이스 주소에 맞게 마찬가지로 설정한다
4. 모든 설정이 끝나면 라우터에서 show crypto ipsec sa 명령어를 사용하여 인터페이스에 적용되고 있는 VPN 정보를 확인한다. 5. show crypto ipsec transform-set 명령어를 입력하여 IPSec 설정 내용을 확인한다. 6. show crypto isakmp policy 명령어를 입력하여 ISAKMP 설정 내용을 확인한다. 7. show crypto isakmp sa 명령어를 입력하여 VPN 출발지와 도착지 내용을 확인한다. 8. show crypto map 명령어를 입력하여 VPN 연결내용 및 ACL 내용을 확인한다. 9. 모든 설정을 마친 후 설정파일을 저장(백업)하고 패킷트래이서를 재시작해서 다음을 확인 - PC0과 PC1에서 각각 PC2로 tracert 명령을 실시하여 모두 터널을 통해 패킷이 전달되는 것을 확인