GRE Tunnel 알아보기
- CISCO 에서 개발한 Tunneling Protocol
- 가상의 Interface를 생성하여 Point-to-point 환경으로 사설망을 연결하는 기능
[Multipoint 환경으로 구성이 가능하지만 여러 개의 Protocol을 연동하여 구축해야한다.]
- 공중망에 사설 네트워크를 광고 , 재분배하지 않고 통신하는 기술
- 두 개의 End Point에서 가상의 경로(Tunnel)를 생성하면 외부 환경에서는 Tunnel로 송/수신되는 정보를 확인할 수 없으며 빠른 연결과 통신이 보장되는 기능.
- IP환경에서 Unicast , Multicast , Broadcast Packet들을 캡슐화 하로록 설계되었다.
- IP환경의 TCP/UDP 통신에 대해서만 사용가능하며, 보안 기능을 지원하지 않는다.
- 보안이 우려되는 경우, IPsec과 같은 추가 프로토콜을 GRE와 함께 사용하여 안전하고 암호화된 터널을 생성할 수 있다.
[GRE Protocol 알아보기]
[구성도]
- LAN (192.168.1.0/24 & 192.168.2.0/24)의 대역이 WAN을 거치지 않고 가상의 Interface을 통하여 통신하는지 확인하려고 한다.
- LAN 의 Routing은 Static Routing으로 설정하며, WAN은 OSPF로 구성한다.
- PC는 Router로 대체하였다.
[초기 설정]
LAN 구간
A-BB
interface Ethernet0/0
ip address 1.1.1.2 255.255.255.252
duplex auto
!
interface Ethernet0/1
ip address 192.168.1.254 255.255.255.0
duplex auto
!
ip route 0.0.0.0 0.0.0.0 1.1.1.1
!
PC-1
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
!
ip route 0.0.0.0 0.0.0.0 192.168.1.254
C-BB
interface Ethernet0/0
ip address 2.2.2.2 255.255.255.252
duplex auto
!
interface Ethernet0/1
ip address 192.168.2.254 255.255.255.0
duplex auto
!
ip route 0.0.0.0 0.0.0.0 2.2.2.1
!
PC-2
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0
duplex auto
!
ip route 0.0.0.0 0.0.0.0 192.168.2.254
WAN 구간
ISP-1
interface Ethernet0/0
ip address 1.1.1.1 255.255.255.252
duplex auto
!
interface Ethernet0/1
ip address 11.11.11.1 255.255.255.252
duplex auto
!
router ospf 1
router-id 1.1.1.1
network 1.1.1.1 0.0.0.0 area 0
network 11.11.11.1 0.0.0.0 area 0
!
ISP-2
interface Ethernet0/0
ip address 12.12.12.1 255.255.255.252
duplex auto
!
interface Ethernet0/1
ip address 11.11.11.2 255.255.255.252
duplex auto
!
router ospf 1
router-id 12.12.12.1
network 11.11.11.2 0.0.0.0 area 0
network 12.12.12.1 0.0.0.0 area 0
!
ISP-3
interface Ethernet0/0
ip address 12.12.12.2 255.255.255.252
duplex auto
!
interface Ethernet0/1
ip address 22.22.22.2 255.255.255.252
duplex auto
!
router ospf 1
router-id 22.22.22.2
network 12.12.12.2 0.0.0.0 area 0
network 22.22.22.2 0.0.0.0 area 0
!
ISP-4
interface Ethernet0/0
ip address 2.2.2.1 255.255.255.252
duplex auto
!
interface Ethernet0/1
ip address 22.22.22.1 255.255.255.252
duplex auto
!
router ospf 1
router-id 2.2.2.1
network 2.2.2.1 0.0.0.0 area 0
network 22.22.22.1 0.0.0.0 area 0
!
목차
1. Interface Tunnel 생성
2. PC-1 Test
3. Tunnel Interface로의 Routing Configuration
4. PC-1 Test
5. Wireshark로 확인하기
1. Interface Tunnel 생성
1.1) A-BB 설정 및 확인
- 가상의 Interface를 생성하는 Configuration을 입력한다.
interface Tunnel10 <--가상의 Interface를 생성한다. 숫자는 임의의 값을 넣는다.
ip address 172.16.0.1 255.255.255.0 <--가상의 Interface의 IP를 설정한다.
tunnel source 1.1.1.2 <--A-BB의 외부 Interface를 지정한다.
tunnel destination 2.2.2.2 <--C-BB의 외부 Interface를 지정한다.
!
Internet Interface / Tunnel Interface / Internal Interface
- 주의할 점은, tunnel destination에 설정한 IP가 Routing Table 에 등록되어있어야 line protocol 이 활성화(up)된다.
1.2) C-BB 설정 및 확인
- A-BB과 동일하게 지정한다.
interface Tunnel10
ip address 172.16.0.2 255.255.255.0
tunnel source 2.2.2.2
tunnel destination 1.1.1.2
!
Internet Interface / Tunnel Interface / Internal Interface
- 주의할 점은, tunnel destination에 설정한 IP가 Routing Table 에 등록되어있어야 line protocl 이 활성화(up)된다.
2. PC-1 Test
- PC-2(192.168.2.1/24) 으로 traceroute를 걸어보았다. 다음과 같이 PC-2로 도달하지 못하였는데 이유는 다음과 같다.
- 아래 사진과 위에서 언급한 내용과 같이, 공중망에 사설 네트워크를 광고,재분배하지 않고 통신하는 기술 이기 때문에, 192.168.2.0/24로 가기 위한 Routing이 필요하다. 위에 캡쳐했던 Routing Table에 보면, 각각 원격지로 가는 Routing이 없는 것을 알 수 있다. 따라서, Static Routing Configuration이 필요하다.
3. Tunnel Interface로의 Routing Configuration
1) A-BB 설정 및 확인
- 다음과 같이 입력 후, Routing Table을 확인하여, 원격지로의 Routing 이 생성된 것을 확인할 수 있다. 반대편도 설정을 해야한다.
ip route 192.168.2.0 255.255.255.0 172.16.0.2
!
2) C-BB 설정 및 확인
ip route 192.168.1.0 255.255.255.0 172.16.0.1
!
4. PC-1 Test
- 다시 traceroute로 확인해보면, 공중망으로 통신하는 것이 아닌 Tunnel Interface로 패킷이 이동하는 것을 확인할 수 있다.
5. Wireshark로 확인하기
- 다시 PC-1에서 PC-2으로 ICMP를 보내고 Wireshark로 캡쳐하였다.
- 캡쳐한 결과 확인할 수 있는 것은 원본IP에 GRE와 새로운 IP Header가 추가되어 전송되었다.
- 또한, 위에서 언급한 내용과 같이, 패킷이 암호화되어 송/수신되지 않는다. 암호화 기능을 추가하기 위해서는 GRE-Over-IPSec을 이용해야한다. 이 내용 또한 추후에 정리해볼 예정이다.
'IT > ㄴ Cisco' 카테고리의 다른 글
| [Cisco] GRE-Over-IPSec 알아보기 [crypto map과 ipsec profile 차이점 / GNS3 / Wireshark / ChatGPT] (0) | 2023.08.20 |
|---|---|
| [CISCO] IPv6 기초 및 정리 (0) | 2023.08.20 |
| [Cisco] IPSec 구축으로 데이터 보호하기 [GNS3] (0) | 2023.08.14 |
| [CISCO] Spanning-Tree 보호 기술 [errdisable / BPDUguard / BPDUfilter / Loop guard] (0) | 2023.07.21 |
| [CISCO] Etherchannel PAgP / LACP정리 [GNS3] (0) | 2023.07.20 |