IPV6를 사용하는 IKEv1 Route Based Site to Site VPN

다운로드 옵션

  • PDF     (361.4 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (171.5 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (101.4 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2024년 12월 12일
문서 ID:222692

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 IKEv1/ISAKMP(Internet Key Exchange version 1) 프로토콜을 사용하여 두 Cisco 라우터 간에 IPv6 라우팅 기반 사이트 대 사이트 터널을 설정하기 위한 구성에 대해 설명합니다.

    사전 요구 사항

    요구 사항

    다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

    • Cisco IOS®/Cisco IOS® XE CLI 구성에 대한 기본 지식
    • ISAKMP(Internet Security Association and Key Management Protocol) 및 IPsec 프로토콜에 대한 기본 지식
    • IPv6 주소 지정 및 라우팅에 대한 이해

    사용되는 구성 요소

    이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.

    • 로컬 라우터로 17.03.04a를 실행하는 Cisco IOS XE
    • 17.03.04a를 원격 라우터로 실행하는 Cisco IOS

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    구성

    네트워크 다이어그램

    Two IOS-XE Routers Connected through Internet

    설정

    로컬 라우터

    1단계. IPv6 유니캐스트 라우팅을 활성화합니다.

    ipv6 unicast-routing

    2단계. 라우터 인터페이스를 구성합니다.

    interface GigabitEthernet1
ipv6 address 2001:DB8:0:A::1/64
no shutdown

interface GigabitEthernet2
ipv6 address FC00::1/64
no shutdown

    3단계. IPv6 기본 경로를 설정합니다.

    ipv6 route ::/0 GigabitEthernet1

    4단계. 1단계 정책을 구성합니다.

    crypto isakmp policy 10
encryption aes
authentication pre-share
group 14

    5단계. 사전 공유 키로 키링을 구성합니다.

    crypto keyring IPV6_KEY 
pre-shared-key address ipv6 2001:DB8:0:B::1/128 key cisco123

    6단계. ISAKMP 프로필을 구성합니다.

    crypto isakmp profile ISAKMP_PROFILE_LAB
keyring IPV6_KEY
match identity address ipv6 2001:DB8:0:B::1/128

    7단계. 2단계 정책을 구성합니다.

    crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac 
mode tunnel

    8단계. IPsec 프로필을 구성합니다.

    crypto ipsec profile Prof1
 set transform-set ESP-AES-SHA

    9단계. 터널 인터페이스를 구성합니다.

    interface Tunnel0
 no ip address
 ipv6 address 2012::1/64
 ipv6 enable
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv6
 tunnel destination 2001:DB8:0:B::1
 tunnel protection ipsec profile Prof1
end

    10단계. 관심 트래픽에 대한 경로를 구성합니다.

    ipv6 route FC00::/64 2012::1

    로컬 라우터 최종 컨피그레이션

    ipv6 unicast-routing
!
interface GigabitEthernet1
ipv6 address 2001:DB8:0:A::1/64
no shutdown

!

interface GigabitEthernet2
ipv6 address FC00::1/64
no shutdown

!

ipv6 route ::/0 GigabitEthernet1

!

crypto isakmp policy 10
encryption aes
authentication pre-share
group 14

!

crypto keyring IPV6_KEY 
pre-shared-key address ipv6 2001:DB8:0:B::1/128 key cisco123

!

crypto isakmp profile ISAKMP_PROFILE_LAB
keyring IPV6_KEY
match identity address ipv6 2001:DB8:0:B::1/128 

!

crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac 
mode tunnel

!

crypto ipsec profile Prof1
 set transform-set ESP-AES-SHA

!

interface Tunnel0
 no ip address
 ipv6 address 2012::1/64
 ipv6 enable
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv6
 tunnel destination 2001:DB8:0:B::1
 tunnel protection ipsec profile Prof1
end

!

ipv6 route FC00::/64 2012::1

    원격 라우터 최종 컨피그레이션

    ipv6 unicast-routing
!
interface GigabitEthernet1
ipv6 address 2001:DB8:0:B::1/64
no shutdown

!

interface GigabitEthernet2
ipv6 address FC01::1/64
no shutdown

!

ipv6 route ::/0 GigabitEthernet1

!

crypto isakmp policy 10
encryption aes
authentication pre-share
group 14

!

crypto keyring IPV6_KEY 
pre-shared-key address ipv6 2001:DB8:0:A::1/128 key cisco123

!

crypto isakmp profile ISAKMP_PROFILE_LAB
keyring IPV6_KEY
match identity address ipv6 2001:DB8:0:A::1/128 

!

crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac 
mode tunnel

!

crypto ipsec profile Prof1
 set transform-set ESP-AES-SHA

!

interface Tunnel0
 no ip address
 ipv6 address 2012::2/64
 ipv6 enable
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv6
 tunnel destination 2001:DB8:0:A::1
 tunnel protection ipsec profile Prof1
end

!

ipv6 route FC00::/64 2012::1

    문제 해결

    터널 문제를 해결하려면 debug 명령을 사용합니다.

    • 암호화 isakmp 디버그
    • 디버그 crypto isakmp 오류
    • 암호화 ipsec 디버그
    • 디버그 암호화 ipsec 오류

    개정 이력

    개정 게시 날짜 의견
    1.0
    15-Jan-2025
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 에칸트 라이
      Cisco TAC 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품