VPN 클라이언트(고정/동적 할당 IP 주소)를 VPN 3000 Concentrator 구성에 대한 IPSec 구성 예

다운로드 옵션

PDF (503.8 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (570.8 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (1.1 MB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2007년 1월 4일

문서 ID:60141

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 샘플 컨피그레이션에서는 Cisco VPN Client(4.x 이상)(Static/Dynamic 할당 IP 주소)를 실행하는 PC에서 Cisco VPN 3000 Concentrator로 IPsec 터널을 형성하여 사용자가 VPN Concentrator 내에서 네트워크에 안전하게 액세스할 수 있도록 하는 방법을 보여 줍니다.

Cisco ACS를 사용한 RADIUS 인증과 동일한 시나리오에 대한 자세한 내용은 Using Cisco Secure ACS for Windows with the VPN 3000 Concentrator - IPSec을 참조하십시오. MS-RADIUS 인증과 동일한 시나리오에 대한 자세한 내용은 Cisco VPN 3000 Concentrator with MS RADIUS를 참조하십시오.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Cisco VPN 3030 Concentrator 버전 4.1.7.A
Cisco VPN Client 버전 4.x 이상

참고: 이 컨피그레이션은 최근 Cisco VPN Concentrator 버전 4.7.2.H를 사용하여 다시 테스트되었습니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

네트워크 다이어그램

이 문서에서는 다음 네트워크 설정을 사용합니다.

참고: 이 구성에 사용된 IP 주소 지정 체계는 인터넷에서 합법적으로 라우팅할 수 없습니다. 실습 환경에서 사용된 RFC 1918 주소입니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

VPN 3000 Concentrator 구성

VPN 3000 Concentrator를 구성하려면 다음 단계를 완료하십시오.

참고: 공간 제한으로 인해 일부 화면 캡처는 부분 화면만 표시합니다.

VPN Concentrator 콘솔 포트에 연결하고 프라이빗(내부) 및 퍼블릭(외부) 인터페이스에 할당된 IP 주소가 있는지 확인합니다.

또한 VPN Concentrator가 모르는 대상에 대한 패킷을 기본 게이트웨이(일반적으로 인터넷 게이트웨이 라우터)로 전달할 수 있도록 기본 게이트웨이가 할당되었는지 확인합니다.

이 표는 현재 IP 주소를 보여줍니다.
공용 인터페이스에 대해 Public 필터 옵션을 선택해야 합니다.
브라우저를 VPN Concentrator의 내부 인터페이스로 가리키고 Configuration > System > Address Management > Address Pools > Add를 선택하여 사용 가능한 IP 주소 범위를 할당합니다.

내부 네트워크의 다른 디바이스와 충돌하지 않는 IP 주소 범위를 지정합니다.

참고: 이러한 화면은 랩 설정에서만 이를 허용하도록 필터가 추가되었기 때문에 외부 공용 인터페이스 관리가 표시됩니다.
Configuration(구성) > System(시스템) > Address Management(주소 관리) > Assignment(할당)를 선택하고 Use Address Pools(주소 풀 사용) 확인란을 선택한 다음 Apply(적용)를 클릭하여 VPN Concentrator가 풀을 사용하도록 지시합니다.
사용자에 대한 IPsec 그룹을 구성하고 그룹 이름과 암호를 정의하려면 Configuration > User Management > Groups > Add Group을 선택합니다.

다음 예에서는 password/verify="cisco123"과 함께 group="ipsecgroup"을 사용합니다.
그룹의 General(일반) 탭에서 IPSec이 선택되었는지 확인합니다.
그룹의 IPSec 탭에서 인증이 Internal(내부)로 설정되어 있는지 확인합니다. Configuration(구성) > User Management(사용자 관리) > Groups(그룹) > Modify Group(그룹 수정)을 선택하고 Current Groups(현재 그룹) 옵션에서 ipsecgroup을 선택합니다.
Configuration(구성) > User Management(사용자 관리) > Users(사용자) > Add(추가)를 선택하고 이전에 정의한 그룹에 사용자를 추가합니다.

이 예에서 사용자는 "ipsecgroup" 그룹에서 "xyz12345" 암호를 가진 "ipsecuser"입니다.

사용자에게 고정 IP 주소 할당

원격 VPN 사용자가 VPN 3000 Series Concentrator에 연결할 때마다 고정 IP 주소를 할당하려면 Configuration(구성) > User Management(사용자 관리) > Users(사용자) > Modify ipsecuser2 > identity를 선택합니다. 사용자(ipsecuser2)에 대한 이 컨피그레이션에서는 사용자가 연결할 때마다 고정 IP 주소 10.2.2.1/24이 할당됩니다.

참고: VPN Concentrator가 할당된 IP 주소를 프로비저닝하려면 Configuration(컨피그레이션) > System(시스템) > Address Management(주소 관리) > Assignment(할당)로 이동해야 합니다. Use Address from Authentication Server(인증 서버에서 주소 사용)를 선택하여 인증 서버에서 검색된 IP 주소를 사용자별로 할당합니다. User Management > Users > Add or Modify 창의 Identity Parameters 탭에 입력된 IP 주소 및 서브넷 마스크는 내부 인증 서버에 있는 것으로 간주됩니다.

VPN 클라이언트 구성

VPN 클라이언트를 구성하려면 다음 단계를 완료합니다.

새 연결 항목을 생성하려면 New를 클릭합니다.
연결의 이름을 지정하고 VPN Concentrator의 공용 인터페이스의 IP 주소를 입력하고 그룹 자격 증명을 제공합니다. 이 경우 이름은 ipsecgroup이고 비밀번호는 cisco123입니다. 완료되면 저장을 클릭합니다.
목록에서 연결 항목을 선택하고 연결을 클릭합니다. 사용자 이름/비밀번호를 입력하라는 프롬프트가 표시되면 사용자 이름/비밀번호를 입력합니다.

다음을 확인합니다.

현재 이 구성에 대해 사용 가능한 확인 절차가 없습니다.

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

Output Interpreter 도구(등록된 고객만 해당)(OIT)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력의 분석을 봅니다.

참고: 디버그 명령을 실행하기 전에 디버그 명령에 대한 중요 정보를 참조하십시오.

문제가 될 수 있는 부분

이러한 오류는 발생할 수 있는 잠재적인 오류입니다. 이러한 오류에 대한 해결 방법은 VPN 클라이언트 및 VPN Concentrator 섹션을 참조하십시오.

사용자는 Unable to negotiate IPSec or host did not response(IPSec을 협상할 수 없거나 호스트가 응답하지 않음) 메시지를 수신합니다.

VPN 3000 디버그는 다음을 표시합니다.
```
14 02/20/2001 08:59:29.100 SEV=4 IKE/22 RPT=5 10.102.55.139
No Group found matching badgroup for Pre-shared key peer 10.102.55.139
```
일반적인 원인: 사용자가 구성되지 않은 그룹 이름으로 연결을 시도합니다.
사용자가 연결할 수 없으며 VPN 3000 디버그가 표시됩니다.
```
Filter missing on interface 2, IKE data from Peer x.x.x.x dropped
```
일반적인 원인: 공용 인터페이스에 필터가 없습니다. 일반적으로 "공용" 필터이지만 전용 필터일 수 있습니다. "none"이 잘못되었습니다. Configuration(구성) > Interfaces > Ethernet 2 > Filter(필터)를 선택하고 필터를 "public" 또는 다른 값(즉, "none"이 아님)으로 설정합니다. 필터 구성 방법에 대한 자세한 내용은 이 문서의 구성 섹션을 참조하십시오.
사용자가 연결할 수 없으며 Unable to negotiate IPSec or host did not respected(IPSec을 협상할 수 없거나 호스트가 응답하지 않음)로 표시됩니다.

VPN 3000 디버그는 다음을 표시합니다.
```
Terminating connection attempt: IPSEC not permitted for group >group<
```
일반적인 원인: 그룹에서 IPsec을 선택하지 않았습니다. Configuration(구성) > User Management(사용자 관리) > Groups(그룹) > <group> > Modify(수정) > General(일반)을 선택하고 Tunneling Protocols(터널링 프로토콜)에서 IPSec이 선택되었는지 확인합니다.
사용자가 여러 번 시도한 후에는 연결할 수 없으며 사용자 인증 실패가 표시됩니다.

VPN 3000 디버그는 다음을 표시합니다.
```
Authentication rejected: Reason = User was not found handle = 14, server = Internal, 
user = <user>
```
일반적인 원인: 사용자가 사용자 데이터베이스에 없습니다. 사용자 인증 창이 표시될 때 올바른 사용자 이름을 입력해야 합니다.
사용자가 연결할 수 없으며 VPN 3000 디버그가 표시됩니다.
```
Filter missing on interface 0, IKE data from Peer x.x.x.x dropped
```
일반적인 원인: 기본 경로가 없습니다. 컨피그레이션에 기본 경로가 있는지 확인합니다. Configuration(컨피그레이션) > System(시스템) > IP 라우팅 > Default Gateway(기본 게이트웨이)를 선택하고 기본 게이트웨이를 지정합니다.
사용자가 연결할 수 없으며 원격 피어에 의해 IPSec 연결이 종료된 것으로 표시됩니다.

VPN 3000 디버그는 다음을 표시합니다.
```
 User [ <user> ]
IKE rcv'd FAILED IP Addr status!
```
일반적인 원인: VPN 클라이언트에 IP 주소를 제공하기 위해 선택된 옵션이 없습니다. Configuration(컨피그레이션) > System(시스템) > Address Management(주소 관리) > Address Assignment(주소 할당)를 선택하고 옵션을 선택합니다.
사용자가 연결할 수 없으며 사용자 인증 실패가 표시됩니다.

VPN 3000 디버그는 다음을 표시합니다.
```
The calculated HASH doesn't match the received value
```
일반적인 원인: VPN 클라이언트의 그룹 암호가 VPN Concentrator에 구성된 암호와 다릅니다. VPN 클라이언트 및 Concentrator 모두에서 비밀번호를 확인합니다.
VPN Concentrator 뒤의 리소스에 대한 VPN 풀을 설정했습니다. 리소스에 액세스할 수는 있지만 ping할 수는 없습니다.

일반적인 원인: ICMP 패킷을 차단하는 VPN Concentrator 뒤에 PIX가 있습니다. 해당 PIX에 로그인하여 액세스 목록을 적용하여 ICMP 패킷을 활성화합니다.
VPN Concentrator 디버그가 없으며 모든 사용자 또는 일부 사용자가 연결할 수 없습니다.

기본 VPN Concentrator Public 필터에는 이 트래픽을 허용하는 규칙이 포함되어 있습니다.
- 프로토콜 = UDP, 포트 = 500
- 프로토콜 = UDP, 포트 = 10000
- 프로토콜 = ESP
- 프로토콜 = AH
VPN Concentrator의 필터가 이 트래픽을 허용할 경우 VPN 클라이언트와 VPN Concentrator 간의 디바이스가 이러한 포트 중 일부(방화벽일 수 있음)를 차단할 수 있습니다. 확인하려면 VPN Concentrator 외부의 네트워크에서 VPN Concentrator에 연결해 보십시오. 이 경우 VPN 클라이언트 PC와 VPN Concentrator 간의 디바이스가 트래픽을 차단하고 있습니다.
사용자는 연결할 수 없으며 다음 로그를 볼 수 있습니다.
```
07/10/2006 11:48:59.280 SEV=4 IKE/0 RPT=141 10.86.190.92 
Group [NYMVPN]
received an unencrypted packet when crypto active!! Dropping packet
```
일반적인 원인: 잘못 정의된 그룹 이름 또는 암호입니다. VPN 클라이언트에 대한 VPN 3000 Concentrator에서 새 그룹 이름 및 암호를 다시 생성합니다.
사용자는 VPN Concentrator 뒤의 호스트에 ping 또는 텔넷을 할 수 있지만 사용자는 Remote Desktop 9RDP(9RDP) 또는 유사한 애플리케이션을 사용할 수 없습니다.

일반적인 원인: 퍼블릭 인터페이스에서 퍼블릭 필터가 활성화되지 않습니다. 이 문서의 Configure the VPN 3000 Concentrator 섹션에서 2단계를 참조하십시오.
사용자는 연결할 수 있지만 VPN 터널을 통해 전달되는 트래픽은 없습니다.

일반적인 원인: NAT-투명성이 활성화되지 않았습니다. 대부분의 경우 VPN 클라이언트가 PAT 디바이스 뒤에 있습니다. PAT는 TCP 및 UDP 포트 번호를 사용하여 주소 공간을 절약합니다. 그러나 VPN 트래픽을 캡슐화하는 ESP는 TCP 또는 UDP와 별도의 프로토콜입니다. 이는 많은 PAT 디바이스가 ESP 트래픽을 처리할 수 없음을 의미합니다. NAT-T는 ESP 패킷을 UDP 패킷으로 캡슐화하여 PAT 디바이스를 쉽게 통과할 수 있도록 합니다. 따라서 ESP 트래픽이 PAT 디바이스를 통해 흐르도록 허용하려면 Concentrator에서 NAT-T를 활성화해야 합니다. 자세한 내용은 VPN 3000 Concentrator에서 IPSec에 대한 NAT 투명 모드 구성을 참조하십시오.