허브 컨피그레이션에서 IOS CA를 사용하는 Cisco IOS 라우터 간 동적 LAN-to-LAN VPN 예

다운로드 옵션

  • PDF     (371.6 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (101.2 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (96.4 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2007년 1월 11일
문서 ID:81552

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 IOS CA(Certificate Authority) 기능을 활용하면서 디지털 인증서를 사용하는 Cisco IOS® 라우터 간의 동적 LAN-LAN VPN에 대한 샘플 컨피그레이션을 제공합니다.이 문서에서는 자동 등록을 통해 ID 인증서를 얻기 위해 Cisco IOS 라우터를 구성하는 것과 함께 IOS CA 서버를 구성하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

  • Cisco IOS Software 릴리스 12.4(6) T를 실행하는 Cisco 2851 Router

  • Cisco IOS Software 릴리스 12.3(14)YT1을 실행하는 Cisco 871 Router

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

구성

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 섹션에 사용된 명령에 대한 자세한 내용을 확인하십시오.

네트워크 다이어그램

이 문서에서는 다음 네트워크 설정을 사용합니다.

../81552/iosca.gif

구성

이 문서에서는 다음 구성을 사용합니다.

라우터에서 IOS CA 서버 구성

라우터에서 IOS CA 서버를 구성하려면 다음 단계를 완료합니다.

  1. IOS CA 서버 컨피그레이션의 매개변수를 입력하려면 crypto pki server 명령을 실행합니다.

    이 경우 IOS CA 서버 컨피그레이션에 지정된 레이블은 cisco입니다.원하는 라벨이 될 수 있습니다. 

    HubIOSCA(config)#crypto pki server cisco

  2. 인증서 정보를 정의하려면 issuer-name 하위 명령을 실행합니다.

    이 경우 CN(common name), Locality(L), ST(state) 및 C(country code) 는 다음과 같이 정의됩니다.

    HubIOSCA(cs-server)#issuer-name CN=iosca.cisco.com L=RTP ST=NC C=US

  3. grant 명령을 실행합니다.

    이 경우 IOS 서버는 클라이언트에 인증서를 자동으로 부여합니다.

    HubIOSCA(cs-server)#grant auto

  4. IOS CA 서버를 활성화하려면 no shut 명령을 실행합니다.

    HubIOSCA(cs-server)#no shut

    이 명령을 입력하면 개인 키를 보호하기 위한 암호를 입력하라는 메시지가 표시됩니다.

    CA 인증서를 생성한 후에는 일부 서버 설정을 변경할 수 없습니다.개인 키를 보호할 암호를 입력하거나 Return to exit를 입력합니다.

    Password:
Re-enter password: 
 Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
 Exporting Certificate Server signing certificate and keys...
 Certificate Server enabled.

IOS CA 서버 인증 및 등록

인증서 서버에도 동일한 이름의 자동으로 생성된 신뢰 지점이 있습니다.신뢰 지점은 인증서 서버의 인증서를 저장합니다.라우터가 인증서 서버의 인증서를 저장하는 데 신뢰 지점이 사용되고 있음을 감지하면, 신뢰 지점은 수정할 수 없도록 잠깁니다.

  1. 인증서 서버를 구성하기 전에 수동으로 이 신뢰 지점을 생성하고 설정하기 위해 crypto pki trustpoint 명령을 실행할 수 있습니다.

    이렇게 하면 대체 RSA 키 쌍을 지정할 수 있습니다(rsakeypair 명령 사용).

    참고: 자동으로 생성된 신뢰 지점 및 인증서 서버 인증서는 인증서 서버 장치 ID에 사용할 수 없습니다.따라서 인증서를 얻고 클라이언트의 연결 인증서를 인증하기 위해 CA 신뢰 지점을 지정하는 데 사용되는 ip http secure-trustpoint 명령과 같은 CLI(Command-Line Interface)는 인증서 서버 디바이스에 구성된 추가 신뢰 지점을 가리켜야 합니다.

    서버가 루트 인증서 서버인 경우 RSA 키 쌍 및 기타 여러 특성을 사용하여 자체 서명 인증서를 생성합니다.연결된 CA 인증서에는 다음과 같은 키 사용 확장이 있습니다.

    • 디지털 서명

    • 인증서 서명

    • CRL(Certificate Revocation List) 서명

    이 경우 HubIOSCA 라우터는 스포크 라우터로 VPN 터널을 설정할 수 있도록 다른 신뢰 지점을 사용하는 인증서로 등록됩니다.다음과 같이 신뢰 지점을 정의합니다(iosca는 이 새 신뢰 지점에 지정된 이름입니다).

    HubIOSCA(config)#crypto pki trustpoint iosca

  2. 다음과 같이 등록 URL을 입력합니다.

    HubIOSCA(ca-trustpoint)#enrollment url http://1.1.1.1:80

    이 경우 CRL 폐기 검사가 수행되지 않습니다.

    HubIOSCA(ca-trustpoint)#revocation-check none

  3. 루트 인증서를 수신하려면 crypto ca authenticate iosca 명령을 실행합니다.

    HubIOSCA(config)#crypto ca authenticate iosca

    인증서에는 다음 특성이 있습니다.

    Fingerprint MD5: 441446A1 CA3C32B6 3B680204 452A00B2
      Fingerprint SHA1: 6C09E064 E4B09087 DDFFADCD 2E9C6853 1669BF39

Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.

  4. ID 인증서를 얻으려면 crypto ca enroll iosca 명령을 실행합니다.

    Start certificate enrollment...
 Create a challenge password. You need to verbally provide this
   password to the CA Administrator in order to revoke your certificate.
   For security reasons, your password is not saved in the configuration.
   Please make a note of it.

Password:
Re-enter password:

   The subject name in the certificate includes: HubIOSCA.cisco.com
   Include the router serial number in the subject name? [yes/no]: no
   Include an IP address in the subject name? [no]: no
   Request certificate from CA? [yes/no]: yes
   Certificate request sent to Certificate Authority
   The show crypto ca certificate iosca verbose command shows the fingerprint.

  5. 인증서가 설치되었는지 확인하려면 show crypto pki cert 명령을 실행합니다.

    HubIOSCA#show crypto pki cert

Certificate
  Status: Available
  Certificate Serial Number: 02
  Certificate Usage: General Purpose
  Issuer:
    cn=iosca.cisco.com L\=RTP ST\=NC C\=US
  Subject:
    Name: HubIOSCA.cisco.com
    hostname=HubIOSCA.cisco.com
  Validity Date:
    start date: 19:11:55 UTC Aug 11 2006
    end   date: 19:11:55 UTC Aug 11 2007
  Associated Trustpoints: iosca

 CA Certificate
  Status: Available
  Certificate Serial Number: 01
  Certificate Usage: Signature
  Issuer:
    cn=iosca.cisco.com L\=RTP ST\=NC C\=US
  Subject:
    cn=iosca.cisco.com L\=RTP ST\=NC C\=US
  Validity Date:
    start date: 19:01:54 UTC Aug 11 2006
    end   date: 19:01:54 UTC Aug 10 2009
  Associated Trustpoints: iosca cisco

    참고: CA 서버는 IPSec 피어이므로 허브 라우터는 동일한 라우터에 있는 CA 서버를 인증하고 등록해야 합니다.

허브 구성

허브 구성 
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HubIOSCA
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
!
no aaa new-model
!
resource policy
!
ip cef
!
no ip domain lookup
ip domain name cisco.com
!
voice-card 0
 no dspfarm
!
! crypto pki server cisco
 issuer-name CN=iosca.cisco.com L=RTP ST=NC C=US
 grant auto
! crypto pki trustpoint cisco
 revocation-check crl
 rsakeypair cisco
!
! crypto pki trustpoint iosca
 enrollment url http://1.1.1.1:80
 revocation-check none
!

!--- Configure a certificate map that will be used !--- in the ISAKMP profile.

crypto pki certificate map certmap 1
 issuer-name co cisco.com
!
crypto pki certificate chain cisco
 certificate ca 01 

!--- Root certificate created when the IOS CA Server !--- is enabled.

  3082022F 30820198 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  2B312930 27060355 04031320 696F7363 612E6369 73636F2E 636F6D20 4C3D5254 
  ……
  0B1DAECA FE7388B8 D2B1EFF9 B1269F90 C418BCD1 C45A1B64 99C1A400 99897C7D 
  9720A789 A374E8D1 E117CEE5 CD90F678 98ECFD46 7DF3C029 58B85899 74D34A52 
  B489A610 8DED6FA7 7012D13B 1B822EB9 7F65BA
  quit
crypto pki certificate chain iosca
 certificate 02 

!--- Identity certificate received from the IOS CA !--- after trustpoint enrollment.

  30820213 3082017C A0030201 02020102 300D0609 2A864886 F70D0101 04050030 
  2B312930 27060355 04031320 696F7363 612E6369 73636F2E 636F6D20 4C3D5254 
  50205354 3D4E4320 433D5553 301E170D 30363038 31313139 31313535 5A170D30 
  37303831 31313931 3135355A 30233121 301F0609 2A864886 F70D0109 02161248 
  7562494F 5343412E 63697363 6F2E636F 6D30819F 300D0609 2A864886 F70D0101 
  01050003 818D0030 81890281 8100B811 AD3AABA8 3EC63A04 40E4B3ED 1C783C22 
  20C65122 6E560D22 2731CAD5 2CC56CBD 554C69FF 4AE3EA1B CAB25918 B249D32A 
  A7861362 7E4257F3 855BD60F FBA8D33D 15F925C5 746B9144 97DCFFEE 4CD81070 
  43C9343F 92C645BC 37E0EF26 5E04394B 67CC536E BFD920DE 52DC977D 830B3C60 
  D3CB7003 578BB681 D307FF4F 629F0203 010001A3 4F304D30 0B060355 1D0F0404 
  030205A0 301F0603 551D2304 18301680 14AC041C 685BDA03 4E71B7FB 59BAE0A3 
  5422F759 1E301D06 03551D0E 04160414 6A60490F 5CC612A3 EA661102 9D645413 
  41F9236F 300D0609 2A864886 F70D0101 04050003 818100BA 2DDC2D0A 5F7B4B3D 
  8C8C770D 34AC1A17 EE91A89A 46FD5B9B 8550B2C5 8B8D31EC 29D8AC3A 8F4B1A96 
  4C733B9D FD98BF42 2FDFC6B1 E1D762E1 3D4470BD CFC73DF8 E55D7C0A 871159C5 
  544319B9 1DEC6563 75403B97 7567A81D 27F2688C E955CED7 6E9BC90F 7D3C4C94 
  81EDA619 835AF696 8E4A8BF3 C54A242D 8DB5DE59 E5B37E
  quit
 
certificate ca 01

!--- Root certificate received from the IOS CA !--- after trustpoint authentication.

  3082022F 30820198 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  2B312930 27060355 04031320 696F7363 612E6369 73636F2E 636F6D20 4C3D5254 
  50205354 3D4E4320 433D5553 301E170D 30363038 31313139 30313534 5A170D30 
  39303831 30313930 3135345A 302B3129 30270603 55040313 20696F73 63612E63 
  6973636F 2E636F6D 204C3D52 54502053 543D4E43 20433D55 5330819F 300D0609 
  2A864886 F70D0101 01050003 818D0030 81890281 8100C368 246CFD63 86BA2F7C 
  626160C6 37EDC62F 3293B6B3 A006ED81 9038D4F3 2A20577D C8D88BEF FD5E427A 
  5D5B3471 E4D3EDF9 9EBC51C7 1768BD45 7D2E90B0 059F72AE 35F7E4E5 15AE3233 
  A50F2A8E 950A34D4 1620C98C 20FFB14B DF446F5E 4612F6EC 5B457D9B AB9BD937 
  B29691F9 FDBCBF21 860323FF 1A1C9D7B 39A41C4B 13310203 010001A3 63306130 
  0F060355 1D130101 FF040530 030101FF 300E0603 551D0F01 01FF0404 03020186 
  301F0603 551D2304 18301680 14AC041C 685BDA03 4E71B7FB 59BAE0A3 5422F759 
  1E301D06 03551D0E 04160414 AC041C68 5BDA034E 71B7FB59 BAE0A354 22F7591E 
  300D0609 2A864886 F70D0101 04050003 81810099 256FCF71 084766ED BDE8F6D8 
  F158BDF0 D1875B0A 57A3FBB8 DD8EF9AD E5BB3E95 3A65893B B11DBE9A 6E593701 
  0B1DAECA FE7388B8 D2B1EFF9 B1269F90 C418BCD1 C45A1B64 99C1A400 99897C7D 
  9720A789 A374E8D1 E117CEE5 CD90F678 98ECFD46 7DF3C029 58B85899 74D34A52 
  B489A610 8DED6FA7 7012D13B 1B822EB9 7F65BA
  quit

!--- Configure IPSEC phase 1 parameters.

crypto isakmp policy 10
 hash md5
!

!--- Configure ISAKMP profile for the dynamic !--- LAN to LAN tunnel.
 
crypto isakmp profile l2lvpn
   ca trust-point iosca
   match certificate certmap
!
crypto ipsec transform-set strong ah-md5-hmac esp-des 
!

!--- Configure dynamic crypto map.

crypto dynamic-map dynmap 10
 set transform-set strong 
 set isakmp-profile l2lvpn

!--- Configure crypto map that will be applied on !--- the physical interface.
        
crypto map mymap 10 ipsec-isakmp dynamic dynmap 
!
interface GigabitEthernet0/0
 ip address 14.1.21.199 255.255.252.0
 duplex auto
 speed auto
 no keepalive

!--- Apply crypto map to the physical interface.

interface GigabitEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
 crypto map mymap
!
interface FastEthernet0/2/0
!
interface FastEthernet0/2/1
!         
interface FastEthernet0/2/2
!
interface FastEthernet0/2/3
!
interface Vlan1
 ip address 10.1.1.254 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1
!
ip http server
no ip http secure-server
!
control-plane
!
line con 0
line aux 0
line vty 0 4
 login
!
scheduler allocate 20000 1000
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
End

스포크 구성

스포크 구성 
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Spoke
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
!
no ip dhcp use vrf connected
!
ip domain name cisco.com
no ip ips deny-action ips-interface

!--- Configure a trustpoint that this router will use !--- to authenticate and enroll to the IOS CA Server.

crypto pki trustpoint iosca
 enrollment url http://1.1.1.1:80
 revocation-check none
! 

!--- Configure a certificate map that will be !--- used in the ISAKMP profile.

crypto pki certificate map certmap 1
 issuer-name co cisco.com
!
crypto pki certificate chain iosca
 certificate 03
  30820210 30820179 A0030201 02020103 300D0609 2A864886 F70D0101 04050030 
  2B312930 27060355 04031320 696F7363 612E6369 73636F2E 636F6D20 4C3D5254 
  50205354 3D4E4320 433D5553 301E170D 30363038 31313139 31373137 5A170D30 
  37303831 31313931 3731375A 3020311E 301C0609 2A864886 F70D0109 02160F53 
  706F6B65 2E636973 636F2E63 6F6D3081 9F300D06 092A8648 86F70D01 01010500 
  03818D00 30818902 818100A3 98320490 640B33E8 85E3920C D0BF30F0 038BCFFF 
  64F1AD1A 7AA1DC92 9D4C160B 905B7FED F468AC3C 32B5F09B 38DC714E 8ADB227F 
  7E779259 CC54EDA1 D3CFDDCC 3EB707E3 E5C44059 2097773C 80011AD3 C65CA3BB 
  82656432 0A305CF4 13D6E3E2 918377EC 0299C91A 87D99287 B44CBDB8 A482F138 
  5FC365FD 0853D869 A9260302 03010001 A34F304D 300B0603 551D0F04 04030205 
  A0301F06 03551D23 04183016 8014AC04 1C685BDA 034E71B7 FB59BAE0 A35422F7 
  591E301D 0603551D 0E041604 14F4DCD0 90A2DB61 7C70F86B 496D3213 592F94D3 
  9D300D06 092A8648 86F70D01 01040500 03818100 300D3A37 94A561E1 CB38C49F 
  BBB0D19B C2AE09E4 7DFA4ABC 53B53DBB CBE39BCB 903262C9 06AEBE90 2DEE15EE 
  F343D93A 77D94A24 4BC1EC72 28CE386B B2D9A124 64031AD5 0C8DC97F 76792024 
  702C849E 13B8CF21 A303FF5B C41EF2B7 77B31117 ED514324 EF8242B7 548E36A6 
  391540C9 2D913570 6D103F49 DE0CC14C 49C404FF
  quit
 certificate ca 01
  3082022F 30820198 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  2B312930 27060355 04031320 696F7363 612E6369 73636F2E 636F6D20 4C3D5254 
  50205354 3D4E4320 433D5553 301E170D 30363038 31313139 30313534 5A170D30 
  39303831 30313930 3135345A 302B3129 30270603 55040313 20696F73 63612E63 
  6973636F 2E636F6D 204C3D52 54502053 543D4E43 20433D55 5330819F 300D0609 
  2A864886 F70D0101 01050003 818D0030 81890281 8100C368 246CFD63 86BA2F7C 
  626160C6 37EDC62F 3293B6B3 A006ED81 9038D4F3 2A20577D C8D88BEF FD5E427A 
  5D5B3471 E4D3EDF9 9EBC51C7 1768BD45 7D2E90B0 059F72AE 35F7E4E5 15AE3233 
  A50F2A8E 950A34D4 1620C98C 20FFB14B DF446F5E 4612F6EC 5B457D9B AB9BD937 
  B29691F9 FDBCBF21 860323FF 1A1C9D7B 39A41C4B 13310203 010001A3 63306130 
  0F060355 1D130101 FF040530 030101FF 300E0603 551D0F01 01FF0404 03020186 
  301F0603 551D2304 18301680 14AC041C 685BDA03 4E71B7FB 59BAE0A3 5422F759 
  1E301D06 03551D0E 04160414 AC041C68 5BDA034E 71B7FB59 BAE0A354 22F7591E 
  300D0609 2A864886 F70D0101 04050003 81810099 256FCF71 084766ED BDE8F6D8 
  F158BDF0 D1875B0A 57A3FBB8 DD8EF9AD E5BB3E95 3A65893B B11DBE9A 6E593701 
  0B1DAECA FE7388B8 D2B1EFF9 B1269F90 C418BCD1 C45A1B64 99C1A400 99897C7D 
  9720A789 A374E8D1 E117CEE5 CD90F678 98ECFD46 7DF3C029 58B85899 74D34A52 
  B489A610 8DED6FA7 7012D13B 1B822EB9 7F65BA
  quit
username cisco password 0 ww

!--- Configure IPSEC phase 1 parameters.

crypto isakmp policy 10
 hash md5

!--- Configure ISAKMP profile for the !--- LAN 2 LAN tunnel.

crypto isakmp profile l2lvpn
   ca trust-point iosca
   match certificate certmap
!
crypto ipsec transform-set strong ah-md5-hmac esp-des 

!--- Configure crypto map that will pull !--- the ISAKMP profile created.

crypto map mymap 10 ipsec-isakmp 
 set peer 1.1.1.1
 set transform-set strong 
 set isakmp-profile l2lvpn
 match address 100
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3

!--- Apply LAN to LAN crypto map on the !--- physical interface.

interface FastEthernet4
 ip address 1.1.1.2 255.255.255.0
 no ip proxy-arp
 ip route-cache flow
 duplex auto
 speed auto
 crypto map mymap
!         
interface Dot11Radio0
 no ip address
 shutdown
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 
 24.0 36.0 48.0 54.0
 station-role root
!
interface Vlan1
 ip address 10.1.2.254 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet4
!
no ip http server
no ip http secure-server
!
access-list 100 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
!
control-plane
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 login
!
scheduler max-task-time 5000
end

다음을 확인합니다.

현재 이 구성에 대해 사용 가능한 확인 절차가 없습니다.

문제 해결

L2L 터널에 대한 인증서 인증이 실패합니다.

ISAKMP 인증에 유효한 CA 인증서를 사용할 경우 IPsec 협상이 실패할 수 있습니다.사전 공유 키는 매우 작은 패킷이므로 VPN 터널 협상은 사전 공유 키와 함께 작동합니다.인증서 인증에서 전체 인증서를 전송해야 하는 경우 프래그먼트화된 큰 패킷이 생성됩니다.프래그먼트화는 디바이스 간에 인증서가 제대로 인증되지 않도록 합니다.

이 문제를 해결하려면 MTU를 낮추고 전이중 모드로 전환하십시오.MTU 값을 프래그먼트화할 필요가 없는 크기로 설정합니다.

Router(config)#interface type [slot_#/]port_#
Router(config-if)#ip mtu MTU_size_in_bytes

관련 정보

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품