VPN Router-to-Router
터널링 프로토콜
터널링 프로토콜
라우팅 및 원격 액세스는 라우터 간 VPN 연결을 만들기 위한 터널링 프로토콜 두 개를 제공한다.
| • |
PPTP(지점간 터널링 프로토콜) |
| • |
L2TP(계층 2 터널링 프로토콜) |
참고
| • |
Windows Server 2003, Web Edition 및 Windows Server 2003, Standard Edition에서는 PPTP(지점간 터널링 프로토콜) 포트와 L2TP(계층 2 터널링 프로토콜) 포트를 각각 1,000개까지 만들 수 있다. 그러나 Windows Server 2003, Web Edition은 VPN(가상 사설망) 연결을 한 번에 하나만 허용할 수 있다. Windows Server 2003, Standard Edition은 동시 VPN 연결을 1,000개까지 허용할 수 있다. 1,000개의 VPN 클라이언트가 연결된 경우에는 연결 수가 1,000 이하로 떨어질 때까지 더 이상의 연결 시도가 허용되지 않는다. |
PPTP
PPTP는 VPN 터널링 프로토콜이다. PPTP는 PPP(지점간 프로토콜)의 확장으로 PPP의 인증, 압축 및 암호화 메커니즘을 발전시켰다.
PPTP는 TCP/IP와 함께 설치된다. 기본적으로 라우팅 및 원격 액세스에는 5개의 PPTP 포트가 구성된다. 라우팅 및 원격 액세스 서버 설치 마법사를 사용하면 들어오는 원격 액세스 및 필요 시 전화 접속 라우팅 연결을 위해 PPTP 포트를 사용할 수 있다. 마법사를 실행한 후 라우팅을 위해 PPTP 포트를 사용하려면 포트에서 라우팅 사용 을 참고.
가상 사설망의 두 기본 서비스는 캡슐화와 암호화다.
캡슐화
IP 데이터그램을 포함한 PPP 프레임은 GRE(Generic Routing Encapsulation) 헤더 및 IP 헤더와 함께 처리된다. IP 헤더에서 VPN 클라이언트와 VPN 서버에 해당하는 원본 및 대상 IP 주소다.
다음 그림은 PPP 프레임을 위한 PPTP 캡슐화를 나타낸 것이다.
아트 이미지
암호화
PPP 프레임은 MS-CHAP 또는 EAP-TLS 인증 프로세스에서 생성된 암호화 키를 사용하여 MPPE(Microsoft 지점간 암호화)를 통해 암호화된다. 가상 사설망 클라이언트는 PPP 페이로드를 암호화하기 위해 MS-CHAP 또는 EAP-TLS 인증 프로토콜을 사용해야 한다. PPTP는 암호화 서비스를 제공하지 않는다. PPTP는 이전에 암호화된 PPP 프레임을 캡슐화한다.
참고
| • |
PPP 페이로드가 암호화되지 않고 일반 텍스트로 보내지는 PPTP 연결이 가능하다. 그러나 인터넷을 통한 가상 사설망 연결에 암호화되지 않은 PPTP 연결을 사용하면 보안이 이루어지지 않으므로 바람직하지 않다. |
L2TP
L2TP는 패킷 지향 미디어를 통해 PPP 프레임을 전송하기 위한 캡슐화를 제공하는 산업 표준 터널링 프로토콜이다. L2TP는 PPTP처럼 PPP의 인증 및 압축 방법을 사용한다. 하지만 L2TP는 PPTP와 달리 PPP 프레임을 암호화하는 데 MPPE(Microsoft 지점간 암호화)를 이용하지 않는다. L2TP는 암호화 서비스를 위해 IPSec(인터넷 프로토콜 보안)를 사용한다.
결국 L2TP 기반 가상 사설망 연결은 L2TP와 IPSec가 조합된 것이다. 두 라우터가 모두 L2TP와 IPSec을 모두 지원해야 한다. IPSec에 대한 자세한 내용은 인터넷 프로토콜 보안 개요를 참고. L2TP는 RFC 2661에 설명되어 있다.
L2TP는 TCP/IP와 함께 설치된다. 기본적으로 라우팅 및 원격 액세스에는 5개의 L2TP 포트가 구성된다. 라우팅 및 원격 액세스 서버 설치 마법사를 사용하면 들어오는 원격 액세스 및 필요 시 전화 접속 라우팅 연결을 위해 L2TP 포트를 사용할 수 있다.
가상 사설망의 두 기본 서비스는 캡슐화와 암호화다.
Encapsulation
IPSec을 통한 L2TP 패킷의 캡슐화는 두 개의 캡슐화 계층으로 구성된다.
|
1. |
L2TP 캡슐화 IP 데이터그램을 포함한 PPP 프레임은 L2TP 헤더 및 UDP 헤더와 함께 처리된다. |
|
2. |
IPSec 캡슐화 그런 다음 만들어지는 L2TP 메시지는 IPSec ESP(Encapsulating Security Payload) 헤더 및 트레일러, 메시지 무결성과 인증을 제공하는 IPSec 인증 트레일러 및 최종 IP 헤더와 함께 처리된다. IP 헤더에서 VPN 클라이언트와 VPN 서버에 해당하는 원본 및 대상 IP 주소다. |
암호화
L2TP 메시지는 IPSec 인증 프로세스에서 생성된 암호화 키를 사용하여 DES 및 3DES 암호화 알고리즘으로 암호화된다.
참고
| • |
PPP 페이로드가 일반 텍스트로 보내지는 비 IPSec 기반(비암호화) L2TP 연결이 가능하다. 그러나 인터넷을 통한 가상 사설망 연결에 암호화되지 않은 L2TP 연결을 사용하면 보안이 이루어지지 않으므로 바람직하지 않다. |
'IT인생_스크랩 > Network' 카테고리의 다른 글
| OSPF란. (0) | 2010.06.24 |
|---|---|
| show interface serial 명령어 결과 장애 해결하기 (0) | 2010.06.24 |
| 시스템 관리자가 꼭 알아야 할 네트워크 명령어 (0) | 2010.06.24 |
| 라우터 명령어 (0) | 2010.06.24 |
| 중소기업 전산 관리자를 위한 네트워크 입문 가이드 ③ (0) | 2010.06.24 |