GRE(Generic Routing Encapsulation) GRE는 Cisco에서개발한터널링프로토콜으로써특정네트워크망에서새로운 IP 헤더를인캡슐레이션하여패켓을전송하는 VPN 기능을제공한다. GRE 터널링을이용하여패켓을전송하면, 데이터를암호화하지않기때문에보안적으로는취

Similar documents
본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. 제 28 장이더체널 블로그 : net123.tistory.com 저자김정우

정보기기운용기능사모의고사 1 풀이 1. 기억하세요. 가. 명령어가생각나지않을때? 를입력하세요. 나. 명령어앞의 2~3글자를쓰고탭 (Tab) 키를누르세요. 그러면자동으로완성됩니다. 다. 파일을열고곧바로 [File-SaveAs] 눌러서파일이름을 비번호 로바꿔저장하세요. 2

서버설정 1. VLAN 설정 1.1 토폴로지를참고로 SW1 에 vlan 설정을한다. (vlan 이름을설정하고해당인터페이스에 vlan 이름과동일한코멘트를처리하시오.) 1.2 PC에토폴로지에부여된 IP를설정하고, 게이트웨이는네트워크의마지막주소를사용합니다. - 서버에는 DN

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

4. 스위치재부팅을실시한다. ( 만약, Save 질문이나오면 'no' 를실시한다.) SWx#reload System configuration has been modified. Save? [yes/no]: no Proceed with reload? [confirm] (

Microsoft PowerPoint - ch10.ppt

PowerPoint 프레젠테이션

Microsoft PowerPoint - ch15.ppt

PowerPoint 프레젠테이션

Chapter11OSPF

슬라이드 1

Microsoft PowerPoint - 네트워크요약3

TCP.IP.ppt

BGP AS AS BGP AS BGP AS 65250

Microsoft PowerPoint - 06-IPAddress [호환 모드]

4. IP 설정호스트 인터페이스 IP/ 프리픽스 게이트웨이 lock Rate fa 0/ /25 - fa 0/0 R1 fa 0/ /26 - s 0/0/ / ISP fa 0/0

ACL(Access Control List) 네트워크에서전송되는트래픽을제어하는것은보안적인관점에서중요한이슈이다. 이때, ACL 은트래픽필 터링과방화벽을구축하는데가장중요한요소일뿐만아니라, 라우팅환경에서서브넷과호스트를정의하는 경우에도중요한요소가된다. ACL 개요 ACL은라우

Microsoft Word Question.doc

IEEE 802.1w RSTP 본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. RSTP는 IEEE 802.1d STP 컨버전스에비해서포트이전이상당히빠른 STP를의미한다. IEEE 802.1d STP 컨버전스는경우

Network seminar.key

VTP(VLAN Trunk Protocol) Cisco 전용프로토콜로서트렁크로연결된스위치간에 VLAN 정보를공유하는기능을수행한다. 즉, 하나의스위치에서 VLAN을생성하거나, 삭제또는수정을실시하면, 트렁크로연결된다른스위치에게변경된 VLAN 데이터베이스정보를공유하는기능을담

Microsoft PowerPoint - ch13.ppt

1

1. GLBP란 GLBP는 HSRP의기능을강화한 CISCO 이중화프로토콜이다. HSRP의확장인 GLBP는 virtual ip 할당을동적으로시행하고 GLBP 그룹멤버에다수의 virtual mac 주소를할당한다. ( 최대 4개 ) 캠퍼스네트워크에서 layer 3 vlan

UDP Flooding Attack 공격과 방어

발표순서 v 기술의배경 v 기술의구조와특징 v 기술의장, 단점 v 기타사항 v MOFI 적용방안 2 Data Communications Lab.

ATXEVZTBNXGP.hwp

bn2019_2

歯최덕재.PDF

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

Microsoft PowerPoint - MobileIPv6_김재철.ppt

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

KillTest

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

歯김병철.PDF

Microsoft Word doc

Hierarchical 3 Layer Model - 시행착오를통해안정성과효율성이검증된네트워크구조 - 네트워크디자인과정에서토폴로지, 용량, 장비를쉽게산정및선정할수있음 장점 - 단순하고간단한구조 - 범위가큰네트워크도만들수있고확장이쉬움 - 관리가쉬움 - 네트워크디자인이쉬움

SMB_ICMP_UDP(huichang).PDF

VPN.hwp

1. 정보보호 개요

슬라이드 1

½ÃÇèÀÎÁõ¼Ò½Ä-2-1

0. 들어가기 전

슬라이드 제목 없음

Microsoft Word - TM doc


Microsoft Word - release note-VRRP_Korean.doc

SRC PLUS 제어기 MANUAL

1217 WebTrafMon II

토폴로지 2( 풀이 ) 1. 요구사항 가. 주어진자료 ( 토폴로지 2.pka) 를참고하여네트워크구성작업을완성하시오. 2. 작업내용가. 설명 - 현재토폴로지에이미통신이가능한모든설정이되어있습니다. - 그러나, 보안문제로지금부터주어진조건으로설정을다시하고자합니다. - 총 4개

Microsoft Word - access-list.doc

Subnet Address Internet Network G Network Network class B networ

슬라이드 1

슬라이드 제목 없음

Microsoft PowerPoint - 02 IPv6 Operation.ppt [호환 모드]

GLOFA Series Cnet

TTA Verified : HomeGateway :, : (NEtwork Testing Team)

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

2009년 상반기 사업계획

untitled

Microsoft Word - KSR2014S034

Microsoft PowerPoint - ch07.ppt

chapter4

IPv6 진화동기 인터넷접속노드증가에따른주소영역의 활장 사용자의다양한서비스욕구충족 실시간서비스, 멀티미디어서비스 보안및 인증서비스 IPng S pecifications IPv6 Specification - Intenet Protocol, Version 6(IPv6) S

hd1300_k_v1r2_Final_.PDF

Microsoft Word - NAT_1_.doc

놀이동산미아찾기시스템

Microsoft Word - ZIO-AP1500N-Manual.doc

KARAAUTO_4¿ù.qxd-ÀÌÆå.ps, page Normalize

PowerPoint Template

Chapter 18 - William Stallings, Data and Computer Communications, 8/e

시스코 무선랜 설치운영 매뉴얼(AP1200s_v1.1)

2. 인터네트워킹 서로떨어져있는각각의수많은네트워크들을연결하여하나의네트워크처럼연결하여사용할수있도록해주는것 3. 인터네트워킹에필요한장비 1 리피터 (Repeater) - 데이터가전송되는동안케이블에서신호의손실인감쇄 (Attenuation) 현상이발생하는데, 리피터는감쇄되는신

Microsoft PowerPoint - ch02_인터넷 이해와 활용.ppt

LDK-300 제안서

제20회_해킹방지워크샵_(이재석)

personal-information-handling-policy

AAA AAA란라우터로접속하는사용자에대한인증, 권한, 과금을수행하기위한보안관련기능을수행하며, 클라이언트장비가서버쪽장비와연결되어네트워크서비스연결을시도할때도 AAA 기능을통해서장비인증및권한을실시한다. AAA 기능을사용하기이전에는라우터접근제어는 Console 라인과 VTY

SLA QoS

歯T1-4김병철2.PDF

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

개요 IPv6 개요 IPv6 주소 IPv4와공존 IPv6 전환기술 (Transition Technologies)

특허청구의 범위 청구항 1 게임 서버 또는 미들웨어에 의해, 사용자 단말기로부터, GPS 정보, IP 정보, 중계기 정보 중 적어도 하나를 이 용한 위치 정보와, 상기 사용자 단말기에 설정된 언어 종류를 포함하는 사용자 정보를 수신하는 단계; 상기 게임 서버 또는 미들

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3

歯III-2_VPN-김이한.PDF

업데이트일 : Server CIP 기능가이드 목차서비스소개 CIP 사용방법 Inter-AZ 신청방법 CIP 고객 VM 설정방법 서비스소개 본문서는 KT ucloud server 의부가기능인 Cloud Internal Path ( 이하 CIP 이라함

V3100 Version

歯DCS.PDF

3ÆÄÆ®-11

Switching

S NIPER FW/UTM은 인터넷과 같은 외부망과 조직의 내부망을 연결하는 곳에 위치하여 보호하고자 하는 네트워크에 대한 서비스 요청을 통제하여 허가되지 않은 접근을 차단하는 침입차단(FW)기능 및 침입방지(IPS), 컨텐츠 필터링, 가상사설망(VPN)의 기능을 수행

슬라이드 1

Intra_DW_Ch4.PDF

歯I-3_무선통신기반차세대망-조동호.PDF

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

Schedule

특허청구의 범위 청구항 1 회선 아이디 접속 시스템에 있어서, 온라인을 통해 실제 사용자 고유정보의 발급이 가능한 아이디 발급 사이트를 제공하기 위한 아이디 발급 수단; 오프라인을 통한 사용자의 회선 아이디 청약에 따라 가상의 사용자 고유정보 및 가인증 정보를 생성하고

Transcription:

제 16 장 GRE 터널 블로그 : net123.tistory.com - 1 - 저자김정우

GRE(Generic Routing Encapsulation) GRE는 Cisco에서개발한터널링프로토콜으로써특정네트워크망에서새로운 IP 헤더를인캡슐레이션하여패켓을전송하는 VPN 기능을제공한다. GRE 터널링을이용하여패켓을전송하면, 데이터를암호화하지않기때문에보안적으로는취약하지만, 대신암호화기법을사용하는 VPN에비해서데이터전송처리가빠르다. 이때, VPN(Virtual Private Network) 이란인터넷과같은공중망을이용하여특정네트워크간에패켓을전송하기위한전용사설망을구성하는것을의미한다. GRE 터널링구성방법 GRE 터널링을구성하기위해서먼저터널인터페이스를생성하여, IP 주소와 GRE을이용하여추가될새로운 IP 헤더의출발지주소와목적지주소를지정한다음, 라우팅설정을실시하여터널을통하여패켓전송이가능하도록구성한다. 이때, 추가될새로운 IP 헤더의출발지 / 목적지 IP 주소는공중망에서라우팅이가능한주소가되어야한다. 단, 라우터에터널인터페이스를무리하게추가할경우, 라우터메모리사용률에큰영향을주게되며, 터널인터페이스에할당되는대역폭 (9Kbps) 이증가되므로가용대역폭범위가줄어드는문제가발생하므로주의해야한다. 그럼 [ 그림 16-1] 을참조하여 GRE 터널링을위한네트워크토폴로지를구성하도록하자. [ 그림 16-1] 네트워크토폴로지 블로그 : net123.tistory.com - 2 - 저자김정우

먼저, 공중망으로사용하게될 OSPF Area 0 을구성하도록하자. [ 예제 16-1] OSPF Area 0 구성 R2(config)#router ospf 1 R2(config-router)#network 13.13.2.2 0.0.0.0 area 0 R2(config-router)#network 13.13.9.2 0.0.0.0 area 0 R2(config-router)#network 13.13.8.2 0.0.0.0 area 0 R2(config-router)# R2(config-router)#int lo 0 R2(config-if)#ip ospf network point-to-point R1(config)#router ospf 1 R1(config-router)#network 13.13.1.1 0.0.0.0 area 0 R1(config-router)#network 13.13.9.1 0.0.0.0 area 0 R1(config-router)# R1(config-router)#int lo 0 R1(config-if)#ip ospf network point-to-point R3(config)#router ospf 1 R3(config-router)#network 13.13.3.3 0.0.0.0 area 0 R3(config-router)#network 13.13.8.3 0.0.0.0 area 0 R3(config-router)# R3(config-router)#int lo 0 R3(config-if)#ip ospf network point-to-point OSPF Area 0 구성이완료되었다면, ABC 사이트 내에서사용할 EIGRP AS 100 을구성하도록하자. [ 예제 16-2] ABC 사이트 EIGRP AS 100 구성 R1(config)#router eigrp 100 R1(config-router)#no auto-summary R1(config-router)#network 13.13.11.1 0.0.0.0 R1(config-router)#network 150.1.13.1 0.0.0.0 R4(config)#router eigrp 100 R4(config-router)#no auto-summary R4(config-router)#network 13.13.4.4 0.0.0.0 R4(config-router)#network 150.1.13.254 0.0.0.0 R3(config)#router eigrp 100 R3(config-router)#eigrp router-id 13.13.3.3 R3(config-router)#no auto-summary 블로그 : net123.tistory.com - 3 - 저자김정우

영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. R3(config-router)#network 13.13.13.3 0.0.0.0 R3(config-router)#network 150.3.13.1 0.0.0.0 R5(config)#router eigrp 100 R5(config-router)#no auto-summary R5(config-router)#network 13.13.5.5 0.0.0.0 R5(config-router)#network 150.3.13.254 0.0.0.0 GRE 인터페이스설정 R1 과 R3 에서 GRE 터널인터페이스를구성하도록하자. [ 예제 16-3] GRE 터널인터페이스구성 R1(config)#int tunnel 13 R1(config-if)#ip address 172.16.13.1 255.255.255.0 R1(config-if)#tunnel source 13.13.9.1 R1(config-if)#tunnel destination 13.13.8.3 R3(config)#int tunnel 13 R3(config-if)#ip address 172.16.13.3 255.255.255.0 R3(config-if)#tunnel source 13.13.8.3 R3(config-if)#tunnel destination 13.13.9.1 GRE 터널인터페이스구성이완료되었다면, R1 에서다음과같은정보확인을실시하여터널동작상태를 확인하도록하자. [ 예제 16-4] GRE 터널인터페이스정보확인 R1#show int tunnel 13 Tunnel13 is up, line protocol is up Hardware is Tunnel Internet address is 172.16.13.1/24 MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 13.13.9.1, destination 13.13.8.3 Tunnel protocol/transport GRE/IP Key disabled, sequencing disabled Checksumming of packets disabled Tunnel TTL 255 블로그 : net123.tistory.com - 4 - 저자김정우

영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. Fast tunneling enabled ~ 중간생략 ~ GRE 터널을이용한라우팅업데이트 GRE 터널인터페이스정보확인이완료되었다면, 터널을통하여 EIGRP 네이버성립과라우팅업데이트를 실시하도록하자. [ 예제 16-5] GRE 터널을이용한 EIGRP 네이버성립과라우팅업데이트구성 R1(config)#router eigrp 100 R1(config-router)#network 172.16.13.1 0.0.0.0 R3(config)#router eigrp 100 R3(config-router)#network 172.16.13.3 0.0.0.0 설정이완료되었다면, GRE 터널인터페이스를통하여 EIGRP 네이버가성립되었는지, R1 과 R3 에서 EIGRP 네 이버테이블을확인하도록하자. [ 예제 16-6] R1과 R3에서확인한 EIGRP 네이버테이블 R1#show ip eigrp neighbors IP-EIGRP neighbors for process 100 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 1 172.16.13.3 Tu13 8 00:01:05 131 5000 0 10 0 150.1.13.254 Fa0/0 9 00:14:14 91 546 0 3 R3#show ip eigrp neighbors IP-EIGRP neighbors for process 100 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 1 172.16.13.1 Tu13 9 00:01:12 158 5000 0 10 0 150.3.13.254 Fa0/0 14 00:09:40 105 630 0 3 블로그 : net123.tistory.com - 5 - 저자김정우

GRE 터널을이용한라우팅업데이트정보확인 GRE 터널을이용하여 EIGRP 네이버가성립되었다면, R1 과 R4 에서 ABC 사이트 -2 에대한네트워크정보가 라우팅업데이트가되었는지확인한다음, R4 에서 150.3.13.254 로 Ping 이되는지점검하도록하자. [ 예제 16-7] R1과 R4에서확인한라우팅테이블및 Ping 테스트 R1#show ip route eigrp 13.0.0.0/24 is subnetted, 9 subnets D 13.13.4.0 [90/409600] via 150.1.13.254, 00:19:39, FastEthernet0/0 D 13.13.5.0 [90/297398016] via 172.16.13.3, 00:06:31, Tunnel13 D 13.13.13.0 [90/297270016] via 172.16.13.3, 00:06:31, Tunnel13 150.3.0.0/24 is subnetted, 1 subnets D 150.3.13.0 [90/297270016] via 172.16.13.3, 00:06:31, Tunnel13 R4#show ip route eigrp 172.16.0.0/24 is subnetted, 1 subnets D 172.16.13.0 [90/297270016] via 150.1.13.1, 00:03:32, FastEthernet0/0 13.0.0.0/24 is subnetted, 4 subnets D 13.13.5.0 [90/297423616] via 150.1.13.1, 00:03:25, FastEthernet0/0 D 13.13.11.0 [90/307200] via 150.1.13.1, 00:10:05, FastEthernet0/0 D 13.13.13.0 [90/297295616] via 150.1.13.1, 00:03:25, FastEthernet0/0 150.3.0.0/24 is subnetted, 1 subnets D 150.3.13.0 [90/297295616] via 150.1.13.1, 00:03:25, FastEthernet0/0 R4# R4#ping 150.3.13.254 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 150.3.13.254, timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 68/80/112 ms R4# R4#traceroute 150.3.13.254 Type escape sequence to abort. Tracing the route to 150.3.13.254 1 150.1.13.1 44 msec 32 msec 44 msec 2 172.16.13.3 68 msec 60 msec 60 msec 3 150.3.13.254 72 msec * 56 msec 블로그 : net123.tistory.com - 6 - 저자김정우

공중망인 OSPF Area 0 에포함된 R2 라우팅테이블을확인하도록하자. [ 예제 16-8] R1과 R4에서확인한라우팅테이블및 Ping 테스트 R2#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is not set O C O C C 13.0.0.0/24 is subnetted, 5 subnets 13.13.1.0 [110/65] via 13.13.9.1, 00:42:50, Serial1/0.12 13.13.2.0 is directly connected, Loopback0 13.13.3.0 [110/65] via 13.13.8.3, 00:42:50, Serial1/0.23 13.13.8.0 is directly connected, Serial1/0.23 13.13.9.0 is directly connected, Serial1/0.12 정보확인결과, ABC 사이트 와관련된 EIGRP 네트워크정보는확인되지않는다. [ 그림 17-2] 는 R1 S1/0.12 인터페이스로패켓이전송될때, GRE 를이용하여새로운 IP 헤더가인캡슐레이션 된상태를보여주고있다. [ 그림 16-2] GRE 헤더 이처럼 GRE 터널링은추가된새로운 IP 헤더의출발지 / 목적지 IP 주소를참조하여공중망을통하여패켓을라우팅하여전송한다. 단, 보안적인요소가없기때문에외부공격자에의해서패켓정보가스니핑되거나, 변조될가능성이크다. 이러한문제점을해결하기위해서는 GRE 터널링을단독적으로사용하기보다는 IPSec VPN을이용하여보안적인정책을강구해야한다. 블로그 : net123.tistory.com - 7 - 저자김정우

( 빈페이지입니다.) 블로그 : net123.tistory.com - 8 - 저자김정우

2024 © docsplayer.org 개인정보보호 | 약관 | 지원