[Mini_Project] 본사_지사 VPN 활용한 네트워크 및 서버 구축

 

📌 1. 프로젝트 개요

프로젝트명 및 기간

프로젝트 명 : 기업 네트워크 및 파일 서비스 구축

프로젝트 기간 : 2025.02.25. ~ 2025.02.30.

프로젝트 목적

• AA 회사는 본사와 지사를 운영하고 있으며, 사내 직원들이 내부에서 빠르게 파일을
  공유하고, 인가된 사용자만 외부에서도 접근할 수 있는 보안 환경을 구성
• 안정적인 IT 인프라를 위한 가상화, 중앙 사용자 인증 시스템, 안정적 네트워크 라우팅 사용

주요 기능

• DMZ 서버를 통한 지사 직원의 본사 서버 접근 관리
• Samba 및 Nextcloud를 활용한 내부 파일 공유 및 외부 협업 환경 조성
• WordPress 기반 사내 정보 공유 및 콘텐츠 관리 시스템 구축
• LDAP 기반의 중앙 사용자 인증 시스템 운영
• 침입 탐지 및 대응 시스템(IDS/IPS) 고려 및 보안 테스트 수행

가용장비 및 소프트웨어:

• 가상환경 : Cisco 라우터 및 스위치 (GNS3 시뮬레이션 환경)
• 운영체제 : Ubuntu Server, CentOS, Debian, Kali Linux
• 서버 운용: Samba, Nextcloud, WordPress, LDAP/NIS
• 저장 시스템: RAID 5 + LVM을 적용한 스토리지 시스템

해당 내용 보완 필요

📌 2. 요구사항 

네트워크 인프라	요구사항   - 본사와 지사는 직접 연결되지 않으며 DMZ 서버를 통해 제한적으로 접근 가능   - 본사 직원은 내부 서버에 직접 연결 가능   - Cisco 네트워크 장비를 활용하여 VLAN, ACL 및 OSPF/EIGRP 설정 2. 세부사항   - 본사와 지사를 동적라우팅을 활용하여 자동 라우팅 연결 ( OSPF )   - 본사 내부 네트워크를 VLAN (10,20,30)으로 각각 (일반직원,개발팀,DMZ) 분리   - ACL을 적용하여 VLAN 10에서 웹 서버로 접속 가능   - VLAN은 인터넷만 사용 가능하도록 하여라   - 네트워크 주소     ㅇ 본사 (192.168.111.0/24)     ㅇ 지사 (192.168.33.0/24)     ㅇ 서버 (192.168.22.0/24)
파일 공유 시스템 설계	1. 요구사항    - RAID 5 + LVM을 적용한 안정적인 스토리지 구성    - Samba 서버를 활용한 내부 파일 공유 환경 구축    - Nextcloud를 통한 웹 기반 파일 공유 및 협업 환경 제공    - WordPress를 통한 내부 문서 관리 및 운영 환경 구축 2. 세부사항
접근 제어 및 보안	1. 요구사항    -  LDAP/NIS 기반 중앙 사용자 인증 시스템 구축    - ACL 및 방화벽 정책을 적용하여 보안 강화    - IPsec VPN을 사용하여 지사 <-> 본사 간 패킷 암호화     - Kali Linux를 이용한 보안 취약점 분석 및 ARP 스푸핑 테스트 수행 2. 세부사항    - IPsev VPN을 사용하여 ISP 물리적 연결이 떨어진망에 대한 연결 및 암호화 진행

 

 

📌 3. 프로젝트 진행

 

3.1 네트워크 구성도

 

3.2  네트워크 인프라

IP 지정

#Server
@ip 
Server to DMZ : 192.168.111.128/29
Server : 192.168.111.0/25
Server to HQ : 192.168.111.140/30

#Server VPN
@내부
g0/1 : 192.168.111.136/30
@공인
f0/0 : 20.20.2.1/30
@ospf #공인 IP 라우팅
network 20.20.2.0 0.0.0.3 area 1

#Branch
@내부 IP
f01 : 192.168.33.1/24
@공인
f0/0 : 30.30.2.1/30
@ospf #공인 IP 라우팅
network 30.30.2.0 0.0.0.3 area 1


#ISP (공인 인터넷)
f0/0 : 20.20.2.2/30
f0/1 : 30.30.2.2/30
@ospf #라우팅 
0.0.0.0 255.255.255.255 area 1 #모든 패킷 활성화

# Server_VPN 터널
tunnel 1 : 10.10.1.1/24
tunnel sorce 20.20.2.1 # 터널 출발지
tunnel destination 30.30.2.1 # 터널 도착지

@Branch
터널
tunnel 1 : 10.10.1.2/30 
tunnel sorce 30.30.2.1 # 터널 출발지
tunnel destination 20.20.2.1 # 터널 도착지

내부망 IP Routing

#Server VPN

router ospf 1 
network 192.168.111.136 0.0.0.3 area 0
ip route 192.168.111.128 255.255.255.248 192.168.111.129 # VMware Server 라우팅

#HQ
빈칸
#Server
ospf 1
network 192.168.111.0/24 #내부 주소 축약


#VMware server
ip route add 192.168.111.0 255.255.255.128 via 192.168.111.129
ip route add 192.168.33.0 255.255.255.0 via 192.168.111.129

Branch
ospf 1
network 192.168.33.0 0.0.0.255 area 0
ip route 192.168.111.128 255.255.255.248 10.10.1.2 #터널을 통한 IP route

GRE 터널을 이용한 전달

IPsec VPN 적용

#Server-VPN, Branch 공통
IKE Phase 1 # 정책 수립

crypto isakmp policy 10 
encryption aes 256
hash sha
authentication pre-share
group 5
lifetime 3600


#Server_VPN
ISAKMP 인증 암호 지정
crypto iskmp key 0 VPN_KEY address 30.30.2.1 #상대방 수신 물리 인터페이스

IKE Phase 2에서 보호할 트래픽 지정
ip access-list extended VPN
permit gre host 20.20.2.1 host 30.30.2.1 #정책 추후 수정

트래픽 암호화 정책 지정
crypto ipsce transform-set VPN_TRANS esp-aes esp-sha-hmac

Crypto Map으로 지정한 정책 조합
crypto map VPN_MAP 10 ipsec-isakmp #MAP 생성
match address VPN #사용할access list Match
set peer 30.30.2.1
set transform-set VPN 

출구 인터페이스에 MAP 적용
int g0/0
crypto map VPN_MAP

#Branch
ISAKMP 인증 암호 지정
crypto iskmp key 0 VPN_KEY address 30.30.2.1 #상대방 수신 물리 인터페이스

IKE Phase 2에서 보호할 트래픽 지정
ip access-list extended VPN
permit gre host 30.30.2.1 host 20.20.2.1 #정책 추후 수정

트래픽 암호화 정책 지정
crypto ipsce transform-set VPN_TRANS esp-aes esp-sha-hmac

Crypto Map으로 지정한 정책 조합
crypto map VPN_MAP 10 ipsec-isakmp #MAP 생성
match address VPN #사용할access list Match
set peer 20.20.20.1
set transform-set VPN_TRANS

출구 인터페이스에 MAP 적용
int g0/0
crypto map VPN_MAP

 

패킷 암호화 처리

GRE over IPsev

 

Server 연결

#Mware network = 192.168.111.0/25 : host only
                 dhcp : Bridge
                 
#VMware to GNS3 Routing
ip route add 192.168.111.136/30 via 192.168.111.1
ip route add [본사네트워크]/prefix via 192.168.111.1
ip route add 192.168.33.0/24 via 192.168.111.1

HQ,Branch <-> Server Ping

 

ENG ,HR, SALES, Main 공통 설정

#SW
vlan 10
name SALES
vlan 20
name: ENG
vlan 20
name: HR



SW-SALES
int range g0/1-2
switchport mode access 
switchport access vlan 10
int g0/0
switchport trunk enaptulation dot1q
switchport mode trunk
switchport trunk allowed vlan 10,20,30

SW-ENG
int range g0/1-2
switchport mode access 
switchport access vlan 20
int g0/0
switchport trunk enaptulation dot1q
switchport mode trunk
switchport trunk allowed vlan 10,20,30

SW-HR
int range g0/1-2
switchport mode access 
switchport access vlan 30
int g0/0
switchport trunk enaptulation dot1q
switchport mode trunk
switchport trunk allowed vlan 10,20,30

SW-MAIN
int range g0/0-2 #각 SW 인터페이스

#라우터 설정

configure terminal

int g0/0
 no shutdown
!
int g0/0.10
 encapsulation dot1Q 1
 ip address 192.168.22.1 255.255.255.192
!
int g0/0.20
 encapsulation dot1Q 2
 ip address 192.168.22.65 255.255.255.192
!
int g0/0.30
 encapsulation dot1Q 3
 ip address 192.168.22.129 255.255.255.192

router ospf1

 

3.4 접근제어 및 보안

IP 및 VLAN 설정

1. IP 설정
pc4 -> 192.168.222.1 // default-gateway 192.168.222.62 // /26
pc3 -> 192.168.222.2 // default-gateway 192.168.222.62 // /26
pc8 -> 192.168.222.65 // default-gateway 192.168.222.126 // /26
pc7 -> 192.168.222.66 // default-gateway 192.168.222.126 // /26
pc6 -> 192.168.222.129 // default-gateway 192.168.222.190 // /26
pc5 -> 192.168.222.130 // default-gateway 192.168.222.190 // /26

2. vlan 설정

// SW-1 //
en
conf t
vlan 10
name VLAN10
exit
int g0/3
switchport mode access
switchport access vlan 10
exit
int g0/2
switchport mode access
switchport access vlan 10
exit
vlan 20
name VLAN20
exit
int g0/0
switchport mode access
switchport access vlan 20
exit
int g0/1
switchport mode access
switchport access vlan 20
exit
vlan 30
name VLAN30
exit
int g1/0
switchport mode access
switchport access vlan 30
exit
int g1/1
switchport mode access
switchport access vlan 30
exit
int g1/2
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 10,20,30

// HQ // -> int f0/0에 IP 주소 할당 x
conf t
int f0/0
no shutdown
exit

int f0/0.1
encapsulation dot1Q 10
ip addr 192.168.222.62 255.255.255.192
exit

int f0/0.2
encapsulation dot1Q 20
ip addr 192.168.222.126 255.255.255.192
exit

int f0/0.3
encapsulation dot1Q 30
ip addr 192.168.222.190 255.255.255.192

3. 라우팅
// HQ //
conf t
router ospf 1
network 192.168.222.0 0.0.0.63 area 0
network 192.168.222.64 0.0.0.63 area 0
network 192.168.222.128 0.0.0.63 area 0
network 192.168.111.132 0.0.0.3 area 0

// Server //
conf t
router ospf 1
network 192.168.111.132 0.0.0.3 area 0
network 192.168.111.128 0.0.0.3 area 0
network 192.168.111.0 0.0.0.127 area 0

// Server-VPN //
conf t
router ospf 1
network 192.168.111.128 0.0.0.3 area 0
network 20.20.2.0 0.0.0.3 area 0
network 192.168.223.0 0.0.0.3 area 0

// IPS //
conf t
router ospf 1
network 20.20.2.0 0.0.0.3 area 0
network 30.30.2.0 0.0.0.3 area 0

// Branch //
conf t
router ospf 1
network 30.30.2.0 0.0.0.3 area 0
network 192.168.33.0 0.0.0.255 area 0

3. NAT 설정
// Server-VPN //
conf t
int f2/0
ip addr dhcp
no shut

// Server-VPN //
conf t
router ospf 1
default-information originate

// Server-VPN //
conf t
int f2/0
ip nat outside
int f1/0
ip nat inside
int f0/0
ip nat inside
int f1/1
ip nat inside
exit
ip nat inside source list 1 interface f2/0
access-list 1 permit any

 

 

보안그룹 설정

4. ACL 설정
// HQ //
conf t
ip access-list extended HQ
deny ip 192.168.222.0 0.0.0.63 host 192.168.223.2
deny ip 192.168.222.64 0.0.0.63 host 192.168.223.2
deny ip 192.168.222.128 0.0.0.63 host 192.168.223.2
permit ip any any
int f1/0
ip access-group HQ out

// Branch //
conf t
ip access-list extended branch
deny ip 192.168.33.0 0.0.0.255 192.168.111.0 0.0.0.127
permit ip any any
int f1/0
ip access-group branch out


//Server VPN //
ip access-list extended VPN
permit ip [Branch]
deny any any

 

 

웹 서버 구성

Wordpress를 사용한 웹 사이트 접속 허용

NextCloud WEB서버 구성