IPSec 구성 - Cisco Secure VPN Client-to-Central 라우터 액세스 제어

다운로드 옵션

PDF (200.3 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (94.0 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (124.8 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2008년 1월 14일

문서 ID:14141

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

다음 컨피그레이션은 일반적으로 사용되지 않지만 중앙 라우터에서 Cisco Secure VPN Client IPSec 터널 종료를 허용하도록 설계되었습니다. 터널이 나타나면 PC는 중앙 라우터의 IP 주소 풀에서 IP 주소를 수신합니다(이 예에서는 라우터가 "moss"라고 함). 그러면 풀 트래픽이 moss 뒤에 있는 로컬 네트워크에 도달하거나 외부 라우터 뒤에 있는 네트워크로 라우팅되고 암호화될 수 있습니다(이 예에서 라우터는 "carter"라고 함). 또한 프라이빗 네트워크 10.13.1.X에서 10.1.1.X로의 트래픽도 암호화됩니다. 라우터에서 NAT 오버로드를 수행합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Cisco IOS^® 소프트웨어 릴리스 12.1.5.T(c3640-io3s56i-mz.121-5.T)
Cisco Secure VPN Client 1.1

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

모스 컨피그레이션
카터 구성

모스 컨피그레이션
Version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname moss ! logging rate-limit console 10 except errors enable password ww ! ip subnet-zero ! no ip finger ! ip audit notify log ip audit po max-events 100 ! crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 99.99.99.1 crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0 crypto isakmp client configuration address-pool local RTP-POOL ! crypto ipsec transform-set rtpset esp-des esp-md5-hmac ! crypto dynamic-map rtp-dynamic 20 set transform-set rtpset ! crypto map rtp client configuration address initiate crypto map rtp client configuration address respond !crypto map sequence for network to network traffic crypto map rtp 1 ipsec-isakmp set peer 99.99.99.1 set transform-set rtpset match address 115 !--- crypto map sequence for VPN Client network traffic. crypto map rtp 10 ipsec-isakmp dynamic rtp-dynamic ! call rsvp-sync ! interface Ethernet2/0 ip address 172.18.124.154 255.255.255.0 ip nat outside no ip route-cache no ip mroute-cache half-duplex crypto map rtp ! interface Serial2/0 no ip address shutdown ! interface Ethernet2/1 ip address 10.13.1.19 255.255.255.0 ip nat inside half-duplex ! ip local pool RTP-POOL 192.168.1.1 192.168.1.254 ip nat pool ETH20 172.18.124.154 172.18.124.154 netmask 255.255.255.0 ip nat inside source route-map nonat pool ETH20 overload ip classless ip route 0.0.0.0 0.0.0.0 172.18.124.1 ip route 10.1.1.0 255.255.255.0 172.18.124.158 ip route 99.99.99.0 255.255.255.0 172.18.124.158 no ip http server ! !--- Exclude traffic from NAT process. access-list 110 deny ip 10.13.1.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 110 deny ip 10.13.1.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 110 permit ip 10.13.1.0 0.0.0.255 any !--- Include traffic in encryption process. access-list 115 permit ip 10.13.1.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 115 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255 route-map nonat permit 10 match ip address 110 ! dial-peer cor custom ! line con 0 transport input none line aux 0 line vty 0 4 login ! end

모스 컨피그레이션

Version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname moss
!
logging rate-limit console 10 except errors
enable password ww
!
ip subnet-zero
!
no ip finger
!
ip audit notify log
ip audit po max-events 100
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 99.99.99.1
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
crypto isakmp client configuration address-pool local RTP-POOL
!
crypto ipsec transform-set rtpset esp-des esp-md5-hmac 
!
crypto dynamic-map rtp-dynamic 20
set transform-set rtpset 
!
crypto map rtp client configuration address initiate
crypto map rtp client configuration address respond
!crypto map sequence for network to network traffic
crypto map rtp 1 ipsec-isakmp 
set peer 99.99.99.1
set transform-set rtpset 
match address 115

!--- crypto map sequence for VPN Client network traffic.

crypto map rtp 10 ipsec-isakmp dynamic rtp-dynamic 
!
call rsvp-sync
!
interface Ethernet2/0
ip address 172.18.124.154 255.255.255.0
ip nat outside
no ip route-cache
no ip mroute-cache
half-duplex
crypto map rtp
!
interface Serial2/0
no ip address
shutdown
!
interface Ethernet2/1
ip address 10.13.1.19 255.255.255.0
ip nat inside
half-duplex
!
ip local pool RTP-POOL 192.168.1.1 192.168.1.254
ip nat pool ETH20 172.18.124.154 172.18.124.154 netmask 255.255.255.0
ip nat inside source route-map nonat pool ETH20 overload
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.124.1
ip route 10.1.1.0 255.255.255.0 172.18.124.158
ip route 99.99.99.0 255.255.255.0 172.18.124.158
no ip http server
!

!--- Exclude traffic from NAT process.

access-list 110 deny ip 10.13.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 110 deny ip 10.13.1.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 110 permit ip 10.13.1.0 0.0.0.255 any

!--- Include traffic in encryption process.

access-list 115 permit ip 10.13.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 115 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255
route-map nonat permit 10
match ip address 110
!
dial-peer cor custom
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end

카터 구성
Current configuration : 2059 bytes ! version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname carter ! logging rate-limit console 10 except errors ! ip subnet-zero ! no ip finger ! ip audit notify log ip audit po max-events 100 ! crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 172.18.124.154 ! crypto ipsec transform-set rtpset esp-des esp-md5-hmac ! !--- crypto map sequence for network-to-network traffic. crypto map rtp 1 ipsec-isakmp set peer 172.18.124.154 set transform-set rtpset match address 115 ! call rsvp-sync ! interface Ethernet0/0 ip address 99.99.99.1 255.255.255.0 ip nat outside half-duplex crypto map rtp ! interface FastEthernet3/0 ip address 10.1.1.1 255.255.255.0 ip nat inside duplex auto speed 10 ! ip nat pool ETH00 99.99.99.1 99.99.99.1 netmask 255.255.255.0 ip nat inside source route-map nonat pool ETH00 overload ip classless ip route 0.0.0.0 0.0.0.0 99.99.99.2 no ip http server ! !--- Exclude traffic from NAT process. access-list 110 deny ip 10.1.1.0 0.0.0.255 10.13.1.0 0.0.0.255 access-list 110 deny ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 110 permit ip 10.1.1.0 0.0.0.255 any !--- Include traffic in encryption process. access-list 115 permit ip 10.1.1.0 0.0.0.255 10.13.1.0 0.0.0.255 access-list 115 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 route-map nonat permit 10 match ip address 110 ! line con 0 transport input none line aux 0 line vty 0 4 password ww login ! end

카터 구성

Current configuration : 2059 bytes
!
version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname carter
!
logging rate-limit console 10 except errors
!
ip subnet-zero
!
no ip finger
!
ip audit notify log
ip audit po max-events 100
!
crypto isakmp policy 1
hash md5 
authentication pre-share
crypto isakmp key cisco123 address 172.18.124.154
!
crypto ipsec transform-set rtpset esp-des esp-md5-hmac 
!

!--- crypto map sequence for network-to-network traffic.

crypto map rtp 1 ipsec-isakmp 
set peer 172.18.124.154
set transform-set rtpset 
match address 115
!
call rsvp-sync
!
interface Ethernet0/0
ip address 99.99.99.1 255.255.255.0
ip nat outside
half-duplex
crypto map rtp
!
interface FastEthernet3/0
ip address 10.1.1.1 255.255.255.0
ip nat inside
duplex auto
speed 10
!
ip nat pool ETH00 99.99.99.1 99.99.99.1 netmask 255.255.255.0
ip nat inside source route-map nonat pool ETH00 overload
ip classless
ip route 0.0.0.0 0.0.0.0 99.99.99.2
no ip http server
!

!--- Exclude traffic from NAT process.

access-list 110 deny ip 10.1.1.0 0.0.0.255 10.13.1.0 0.0.0.255
access-list 110 deny ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 110 permit ip 10.1.1.0 0.0.0.255 any

!--- Include traffic in encryption process.

access-list 115 permit ip 10.1.1.0 0.0.0.255 10.13.1.0 0.0.0.255
access-list 115 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255
route-map nonat permit 10
match ip address 110
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end