SDM 컨피그레이션을 사용하는 원격 VPN 서버로서의 Cisco 라우터

다운로드 옵션

PDF (922.1 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (1.1 MB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (1.3 MB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2006년 9월 7일

문서 ID:1497078562502137

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Cisco SDM(Security Device Manager)을 사용하여 Easy VPN Server 역할을 하도록 Cisco 라우터를 구성하는 방법에 대해 설명합니다.Cisco SDM에서는 사용이 간편한 웹 기반 관리 인터페이스를 사용하여 라우터를 Cisco VPN Client용 VPN 서버로 구성할 수 있습니다.Cisco 라우터 컨피그레이션이 완료되면 Cisco VPN 클라이언트를 사용하여 확인할 수 있습니다.

사전 요구 사항

요구 사항

이 문서에서는 Cisco 라우터가 완전히 작동하고 Cisco SDM이 컨피그레이션을 변경할 수 있도록 구성되어 있다고 가정합니다.

참고: SDM이 라우터를 구성하도록 허용하려면 SDM에 대한 HTTPS 액세스 허용을 참조하십시오.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Cisco 3640 Router with Cisco IOS® Software 릴리스 12.3(14T)
Security Device Manager 버전 2.31
Cisco VPN Client 버전 4.8

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

홈 창에서 Configure > VPN > Easy VPN Server를 선택하고 Launch Easy VPN Server Wizard를 클릭합니다.
Easy VPN Server 컨피그레이션이 시작되기 전에 라우터에서 AAA를 활성화해야 합니다.예를 클릭하여 구성을 계속합니다.

창에 'AAA가 라우터에서 성공적으로 활성화되었습니다.' 메시지가 표시됩니다.OK(확인)를 클릭하여 Easy VPN Server 컨피그레이션을 시작합니다.
Next(다음)를 클릭하여 Easy VPN Server Wizard(Easy VPN 서버 마법사)를 시작합니다.
클라이언트 연결이 종료되는 인터페이스 및 인증 유형을 선택합니다.
Next(다음)를 클릭하여 IKE(Internet Key Exchange) 정책을 구성하고 Add(추가) 버튼을 사용하여 새 정책을 생성합니다.

터널의 양쪽에 있는 컨피그레이션은 정확히 일치해야 합니다.그러나 Cisco VPN Client는 자동으로 자신에게 적합한 컨피그레이션을 선택합니다.따라서 클라이언트 PC에는 IKE 컨피그레이션이 필요하지 않습니다.
Next(다음)를 클릭하여 기본 변형 집합을 선택하거나 새 변형 집합을 추가하여 암호화 및 인증 알고리즘을 지정합니다.이 경우 기본 변형 집합이 사용됩니다.
그룹 정책 조회에 대한 새 AAA(Authentication, Authorization, and Accounting) 권한 부여 네트워크 방법 목록을 생성하거나 그룹 권한 부여에 사용되는 기존 네트워크 방법 목록을 선택하려면 Next를 클릭합니다.
Easy VPN 서버에서 사용자 인증을 구성합니다.

RADIUS 서버나 로컬 데이터베이스 같은 외부 서버 또는 둘 다에 사용자 인증 세부 정보를 저장할 수 있습니다.AAA 로그인 인증 방법 목록은 사용자 인증 세부 정보를 검색할 순서를 결정하는 데 사용됩니다.
이 창에서는 로컬 데이터베이스에서 사용자 그룹 정책을 추가, 수정, 복제 또는 삭제할 수 있습니다.
터널 그룹 이름의 이름을 입력합니다.인증 정보에 사용되는 사전 공유 키를 제공합니다.

새 풀을 생성하거나 VPN 클라이언트에 IP 주소를 할당하는 데 사용되는 기존 풀을 선택합니다.
이 창에는 수행한 작업의 요약이 표시됩니다.구성에 만족하면 마침을 클릭합니다.
SDM은 실행 중인 컨피그레이션을 업데이트하기 위해 라우터로 컨피그레이션을 전송합니다.OK(확인)를 클릭하여 완료합니다.

완료되면 필요한 경우 컨피그레이션의 변경 사항을 수정하고 수정할 수 있습니다.

라우터 컨피그레이션(VPN 서버)
Building configuration... Current configuration : 3336 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! enable password cisco ! aaa new-model ! !--- In order to set AAA authentication at login, use the aaa authentication login* !--- command in global configuration mode* . aaa authentication login default local !--- Here, list name "sdm_vpn_xauth_ml_1" is specified for !--- the authentication of the clients. aaa authentication login sdm_vpn_xauth_ml_1 local aaa authorization exec default local aaa authorization network sdm_vpn_group_ml_1 local ! aaa session-id common ! resource policy ! ! ! ip cef ! ! ! ! !--- The RSA certificate generates after the !--- ip http secure-server* command is enabled.* crypto pki trustpoint TP-self-signed-392370502 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-392370502 revocation-check none rsakeypair TP-self-signed-392370502 ! ! crypto pki certificate chain TP-self-signed-392370502 certificate self-signed 01 3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 33393233 37303530 32301E17 0D303530 39323130 30323135 375A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3339 32333730 35303230 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 ED61BD43 0AD90559 2C7D7DB1 BB3147AA 784F3B46 9E63E63C 5CD61976 6BC46596 DB1AEB44 46644B18 8A890604 489B0447 B4B5C702 98272464 FFFD5511 A4BA79EC 239BCEA2 823F94EE 438B2E0A 5D90E9ED 8158BC8D 04F67C21 AEE1DB6F 046A0EF3 4C8798BE 0A171421 3FD5A690 7C735751 E7C58AA3 FB4CCE4F 5930212D 90EB4A33 02030100 01A36630 64300F06 03551D13 0101FF04 05300301 01FF3011 0603551D 11040A30 08820652 6F757465 72301F06 03551D23 04183016 8014B278 183F02DF 5000A124 124FEF08 8B704656 15CD301D 0603551D 0E041604 14B27818 3F02DF50 00A12412 4FEF088B 70465615 CD300D06 092A8648 86F70D01 01040500 03818100 C12AB266 0E85DAF6 264AC86F 27761351 E31DF628 BE7792B2 991725ED AAB3BABE B1F1C6CA 7E5C0D19 B9793439 E5AECC78 C5ECBE56 871EB4D3 39B60AD1 AB0B97FE 515B4CC6 81BEE802 DC02BD1B A0D10EE9 0FD79D72 B44C0143 6E39C06B D9178590 57D02A8F 750DA100 ABEEB1F1 B02A8B1F B746942B 892D1514 B2CC9D58 A28F08E2 quit ! ! ! ! ! ! ! ! ! ! !--- Creates a user account with all privileges. username sdmsdm privilege 15 password 0 sdmsdm ! ! !--- Creates an isakmp policy 1 with parameters like !--- 3des encryption, pre-share key authentication, and DH group 2. crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp client configuration group vpn !--- Defines the pre-shared key as sdmsdm. key sdmsdm pool SDM_POOL_1 netmask 255.255.255.0 ! !--- Defines transform set parameters. crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac ! crypto dynamic-map SDM_DYNMAP_1 1 set transform-set ESP-3DES-SHA reverse-route ! !--- Specifies the crypto map parameters. crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1 crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 ! ! ! ! interface Ethernet0/0 no ip address shutdown half-duplex ! interface FastEthernet1/0 ip address 10.77.241.157 255.255.255.192 duplex auto speed auto ! interface Serial2/0 ip address 10.1.1.1 255.255.255.0 no fair-queue !--- Applies the crypto map SDM_CMAP1 to the interface. crypto map SDM_CMAP_1 ! interface Serial2/1 no ip address shutdown ! interface Serial2/2 no ip address shutdown ! interface Serial2/3 no ip address shutdown !--- Creates a local pool named SDM_POOL_1 for issuing IP !--- addresses to clients. ip local pool SDM_POOL_1 192.168.2.1 192.168.2.5 !--- Commands for enabling http and https required to launch SDM. ip http server ip http secure-server ! ! ! ! ! control-plane ! ! ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 password cisco ! ! end

라우터 컨피그레이션(VPN 서버)

Building configuration...

Current configuration : 3336 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
aaa new-model
!

!--- In order to set AAA authentication at login, use the aaa authentication login !--- command in global configuration mode
.
aaa authentication login default local

!--- Here, list name "sdm_vpn_xauth_ml_1" is specified for !--- the authentication of the clients.

aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization exec default local 
aaa authorization network sdm_vpn_group_ml_1 local 
!
aaa session-id common
!
resource policy
!
!
!
ip cef
!
!
!
!
!--- The RSA certificate generates after the !--- ip http secure-server command is enabled.

crypto pki trustpoint TP-self-signed-392370502
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-392370502
 revocation-check none
 rsakeypair TP-self-signed-392370502
!
!
crypto pki certificate chain TP-self-signed-392370502
 certificate self-signed 01
  3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 33393233 37303530 32301E17 0D303530 39323130 30323135 
  375A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3339 32333730 
  35303230 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 
  ED61BD43 0AD90559 2C7D7DB1 BB3147AA 784F3B46 9E63E63C 5CD61976 6BC46596 
  DB1AEB44 46644B18 8A890604 489B0447 B4B5C702 98272464 FFFD5511 A4BA79EC 
  239BCEA2 823F94EE 438B2E0A 5D90E9ED 8158BC8D 04F67C21 AEE1DB6F 046A0EF3 
  4C8798BE 0A171421 3FD5A690 7C735751 E7C58AA3 FB4CCE4F 5930212D 90EB4A33 
  02030100 01A36630 64300F06 03551D13 0101FF04 05300301 01FF3011 0603551D 
  11040A30 08820652 6F757465 72301F06 03551D23 04183016 8014B278 183F02DF 
  5000A124 124FEF08 8B704656 15CD301D 0603551D 0E041604 14B27818 3F02DF50 
  00A12412 4FEF088B 70465615 CD300D06 092A8648 86F70D01 01040500 03818100 
  C12AB266 0E85DAF6 264AC86F 27761351 E31DF628 BE7792B2 991725ED AAB3BABE 
  B1F1C6CA 7E5C0D19 B9793439 E5AECC78 C5ECBE56 871EB4D3 39B60AD1 AB0B97FE 
  515B4CC6 81BEE802 DC02BD1B A0D10EE9 0FD79D72 B44C0143 6E39C06B D9178590 
  57D02A8F 750DA100 ABEEB1F1 B02A8B1F B746942B 892D1514 B2CC9D58 A28F08E2
  quit
!
!
!
!
!
!
!
!
!
!

!--- Creates a user account with all privileges.

username sdmsdm privilege 15 password 0 sdmsdm
!
! 

!--- Creates an isakmp policy 1 with parameters like !--- 3des encryption, pre-share key authentication, and DH group 2.

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2

crypto isakmp client configuration group vpn

!--- Defines the pre-shared key as sdmsdm.

key sdmsdm
 pool SDM_POOL_1
 netmask 255.255.255.0
!

!--- Defines transform set parameters.

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
!
crypto dynamic-map SDM_DYNMAP_1 1
 set transform-set ESP-3DES-SHA 
 reverse-route
!

!--- Specifies the crypto map parameters.

crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 
!
!
!
!
interface Ethernet0/0
 no ip address
 shutdown
 half-duplex
!
interface FastEthernet1/0
 ip address 10.77.241.157 255.255.255.192
 duplex auto
 speed auto
!
interface Serial2/0
 ip address 10.1.1.1 255.255.255.0
 no fair-queue

!--- Applies the crypto map SDM_CMAP1 to the interface.

crypto map SDM_CMAP_1
!
interface Serial2/1
 no ip address
 shutdown
!
interface Serial2/2
 no ip address
 shutdown
!
interface Serial2/3
 no ip address
 shutdown

!--- Creates a local pool named SDM_POOL_1 for issuing IP !--- addresses to clients.

ip local pool SDM_POOL_1 192.168.2.1 192.168.2.5

!--- Commands for enabling http and https required to launch SDM. 

ip http server
ip http secure-server
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
 password cisco
!
!
end

다음을 확인합니다.

Cisco VPN Client를 사용하여 Cisco 라우터에 연결하여 Cisco 라우터가 성공적으로 구성되었는지 확인합니다.

Connection Entries(연결 항목) > New(새로 만들기)를 선택합니다.
새 연결의 세부 정보를 입력합니다.

Host 필드에는 Easy VPN Server(Cisco 라우터)의 터널 엔드포인트의 IP 주소 또는 호스트 이름이 포함되어야 합니다. 그룹 인증 정보는 9단계에서 사용한 것과 일치해야 합니다. 완료되면 저장을 클릭합니다.
새로 생성된 연결을 선택하고 연결을 클릭합니다.
확장 인증(Xauth)을 위한 사용자 이름 및 비밀번호를 입력합니다. 이 정보는 7단계의 Xauth 매개변수에 의해 결정됩니다.
연결이 성공적으로 설정되면 Status 메뉴에서 Statistics를 선택하여 터널의 세부 정보를 확인합니다.

이 창에는 트래픽 및 암호화 정보가 표시됩니다.

이 창에는 다음과 같이 구성된 경우 스플릿 터널링 정보가 표시됩니다.
Cisco VPN Client에서 로그 레벨을 활성화하려면 Log(로그) > Log Settings(로그 설정)를 선택합니다.
Cisco VPN Client의 로그 항목을 보려면 Log(로그) > Log Windows(로그 창)를 선택합니다.

SDM 컨피그레이션을 사용하는 원격 VPN 서버로서의 Cisco 라우터

다운로드 옵션

편견 없는 언어

이 번역에 관하여

목차

소개

사전 요구 사항

요구 사항

사용되는 구성 요소

표기 규칙

구성

네트워크 다이어그램

구성 절차

다음을 확인합니다.

관련 정보

이 문서가 도움이 되셨습니까?

지원 문의

이 문서가 적용되는 제품