원격 접속 VPN

<원격 접속 VPN>
도입 배경은 회사 외부에서 업무를 처리할 때 이를 지원하기 위해 개발되었다.
원격 접속을 지원하기위해선 IPSec 터널을 확립해야 한다. (IKE 2단계)

1. EZVPN이란?
시스코나 ASA 장비에서 원격 접속 VPN을 간편하게 제공하기 위한 솔루션
클라이언트 측에서 소프트웨어를 다운받아야 한다.
IOS 라우터에서도 VTI나 Crypto Map을 이용해서 구성할 수 있다.

2. EZVPN 서버 설정의 단계
IKE 1,2단계 -> 가상 터널 인터페이스 템플릿 설정 -> 사용자 그룹 설정 -> ISAKMP 프로파일 설정 -> 사용자 인증 설정 

3. 가상 터널 인터페이스 템플릿 설정
터널 인터페이스의 속성을 미리 정의하고 요청에 의해 생성되는 터널의 모태 및 샘플을 템플릿이라고 한다.
ip unnumbered 명령어로 외부로 연결되는 인터페이스를 하나 지정하고 동적으로 생성될 모든 터널 인터페이스에 사용한다.

4. 사용자 그룹 생성
1) IP 풀을 설정해서 외부의 사용자가 VPN에 접속할 경우 내부 네트워크에서 사용할 내부 IP를 주는 방법이 있다.
2) 스플릿 터널을 설정하면 VPN 통신과 외부 인터넷 통신을 분리할 수 있다. 즉 일반 인터넷 링크로부터 다른 터널을 사용한다는 것이다.

5. ISAKMP 프로파일 설정
IKE 1단계에서 정의한 ISAKMP 프로파일을 IKE 1단계인 IPSec 프로파일에 적용함으로써 IPSec 암호화된 사용자 VPN 터널을 생성한다.
 
6. 사용자 인증 설정
AAA인증 설정과 로컬 인증에 필요한 사용자 계정을 생성하고 이를 ISAKMP 프로파일에 적용한다.

7. 원격 접속 IPSec VPN 설정 절차
1) Crypto Map을 이용한 절차
동적 암호화 맵과 정적 암호화 맵으로 구분하여 설명할 수 있다.
2) 동적 암호화 맵
Reverse-route는 RRI(RR-Injection) 동작을 통해 원격 사용자 망에 대한 정적 경로를 자동으로 생성해준다.
3) 정적 암호화 맵
원격 접속 사용자가 IP 주소를 요청할 때 응답하도록 하여 권한부여, 인증 리스트를 지정하고 동적 암호하 맵이 실행될 수 있도록 참조한다.