다음 컨피그레이션은 일반적으로 사용되지 않지만 중앙 라우터에서 Cisco Secure VPN Client IPSec 터널 종료를 허용하도록 설계되었습니다. 터널이 나타나면 PC는 중앙 라우터의 IP 주소 풀에서 IP 주소를 수신합니다(이 예에서는 라우터가 "moss"라고 함). 그러면 풀 트래픽이 moss 뒤에 있는 로컬 네트워크에 도달하거나 외부 라우터 뒤에 있는 네트워크로 라우팅되고 암호화될 수 있습니다(이 예에서 라우터는 "carter"라고 함). 또한 프라이빗 네트워크 10.13.1.X에서 10.1.1.X로의 트래픽도 암호화됩니다. 라우터에서 NAT 오버로드를 수행합니다.
이 문서에 대한 특정 요건이 없습니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
Cisco IOS® 소프트웨어 릴리스 12.1.5.T(c3640-io3s56i-mz.121-5.T)
Cisco Secure VPN Client 1.1
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 표기 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.
이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.
참고: 이 문서에 사용된 명령에 대한 추가 정보를 찾으려면 명령 조회 도구(등록된 고객만 해당)를 사용합니다.
이 문서에서는 다음 네트워크 설정을 사용합니다.
이 문서에서는 다음 구성을 사용합니다.
모스 컨피그레이션 |
---|
Version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname moss ! logging rate-limit console 10 except errors enable password ww ! ip subnet-zero ! no ip finger ! ip audit notify log ip audit po max-events 100 ! crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 99.99.99.1 crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0 crypto isakmp client configuration address-pool local RTP-POOL ! crypto ipsec transform-set rtpset esp-des esp-md5-hmac ! crypto dynamic-map rtp-dynamic 20 set transform-set rtpset ! crypto map rtp client configuration address initiate crypto map rtp client configuration address respond !crypto map sequence for network to network traffic crypto map rtp 1 ipsec-isakmp set peer 99.99.99.1 set transform-set rtpset match address 115 !--- crypto map sequence for VPN Client network traffic. crypto map rtp 10 ipsec-isakmp dynamic rtp-dynamic ! call rsvp-sync ! interface Ethernet2/0 ip address 172.18.124.154 255.255.255.0 ip nat outside no ip route-cache no ip mroute-cache half-duplex crypto map rtp ! interface Serial2/0 no ip address shutdown ! interface Ethernet2/1 ip address 10.13.1.19 255.255.255.0 ip nat inside half-duplex ! ip local pool RTP-POOL 192.168.1.1 192.168.1.254 ip nat pool ETH20 172.18.124.154 172.18.124.154 netmask 255.255.255.0 ip nat inside source route-map nonat pool ETH20 overload ip classless ip route 0.0.0.0 0.0.0.0 172.18.124.1 ip route 10.1.1.0 255.255.255.0 172.18.124.158 ip route 99.99.99.0 255.255.255.0 172.18.124.158 no ip http server ! !--- Exclude traffic from NAT process. access-list 110 deny ip 10.13.1.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 110 deny ip 10.13.1.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 110 permit ip 10.13.1.0 0.0.0.255 any !--- Include traffic in encryption process. access-list 115 permit ip 10.13.1.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 115 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255 route-map nonat permit 10 match ip address 110 ! dial-peer cor custom ! line con 0 transport input none line aux 0 line vty 0 4 login ! end |
카터 구성 |
---|
Current configuration : 2059 bytes ! version 12.1 no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname carter ! logging rate-limit console 10 except errors ! ip subnet-zero ! no ip finger ! ip audit notify log ip audit po max-events 100 ! crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key cisco123 address 172.18.124.154 ! crypto ipsec transform-set rtpset esp-des esp-md5-hmac ! !--- crypto map sequence for network-to-network traffic. crypto map rtp 1 ipsec-isakmp set peer 172.18.124.154 set transform-set rtpset match address 115 ! call rsvp-sync ! interface Ethernet0/0 ip address 99.99.99.1 255.255.255.0 ip nat outside half-duplex crypto map rtp ! interface FastEthernet3/0 ip address 10.1.1.1 255.255.255.0 ip nat inside duplex auto speed 10 ! ip nat pool ETH00 99.99.99.1 99.99.99.1 netmask 255.255.255.0 ip nat inside source route-map nonat pool ETH00 overload ip classless ip route 0.0.0.0 0.0.0.0 99.99.99.2 no ip http server ! !--- Exclude traffic from NAT process. access-list 110 deny ip 10.1.1.0 0.0.0.255 10.13.1.0 0.0.0.255 access-list 110 deny ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 110 permit ip 10.1.1.0 0.0.0.255 any !--- Include traffic in encryption process. access-list 115 permit ip 10.1.1.0 0.0.0.255 10.13.1.0 0.0.0.255 access-list 115 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 route-map nonat permit 10 match ip address 110 ! line con 0 transport input none line aux 0 line vty 0 4 password ww login ! end |
이 섹션에서는 컨피그레이션이 제대로 작동하는지 확인하는 데 사용할 수 있는 정보를 제공합니다.
일부 show 명령은 출력 인터프리터 툴 에서 지원되는데(등록된 고객만), 이 툴을 사용하면 show 명령 출력의 분석 결과를 볼 수 있습니다.
show crypto ipsec sa - 2단계 보안 연결을 표시합니다.
show crypto isakmp sa - 1단계 보안 연결을 표시합니다.
이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.
일부 show 명령은 출력 인터프리터 툴 에서 지원되는데(등록된 고객만), 이 툴을 사용하면 show 명령 출력의 분석 결과를 볼 수 있습니다.
참고: debug 명령을 실행하기 전에 디버그 명령에 대한 중요 정보를 참조하십시오.
debug crypto ipsec - 2단계의 IPSec 협상을 표시합니다.
debug crypto isakmp - 1단계의 ISAKMP 협상을 표시합니다.
debug crypto engine - 암호화된 트래픽을 표시합니다.
clear crypto isakmp - 1단계와 관련된 보안 연결을 지웁니다.
clear crypto sa - 2단계와 관련된 보안 연결을 지웁니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
14-Jan-2008 |
최초 릴리스 |