ASA와 IOS 라우터 간의 동적 사이트 대 사이트 IKEv2 VPN 터널 컨피그레이션 예

다운로드 옵션

  • PDF     (344.3 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (142.1 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (133.4 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2015년 2월 25일
문서 ID:118743

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 ASA(Adaptive Security Appliance)와 라우터에 동적 IP 주소가 있고 ASA에 공용 인터페이스에 고정 IP 주소가 있는 Cisco 라우터 간에 사이트 대 사이트 IKEv2(Internet Key Exchange Version 2) VPN 터널을 구성하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

  • Cisco IOS® 버전 15.1(1)T 이상
  • Cisco ASA 버전 8.4(1) 이상

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

이 문서에서는 다음 시나리오에 대해 설명합니다.

  • 시나리오 1:ASA는 명명된 터널 그룹을 사용하는 고정 IP 주소로 구성되고 라우터는 동적 IP 주소로 구성됩니다.

  • 시나리오 2:ASA는 동적 IP 주소로 구성되고 라우터는 동적 IP 주소로 구성됩니다.

  • 시나리오 3:이 시나리오는 여기에서 설명하지 않습니다. 이 시나리오에서 ASA는 고정 IP 주소로 구성되지만 DefaultL2LGroup 터널 그룹을 사용합니다.이 컨피그레이션은 두 ASAs 컨피그레이션 예제 기사 간 동적 사이트 대 사이트 IKEv2 VPN 터널에 설명된 것과 유사합니다.

시나리오 1과 3의 가장 큰 구성 차이는 원격 라우터에서 사용하는 ISAKMP(Internet Security Association and Key Management Protocol) ID입니다.고정 ASA에서 DefaultL2LGroup을 사용하는 경우 라우터의 피어의 ISAKMP ID가 ASA의 주소여야 합니다.그러나 명명된 터널 그룹을 사용하는 경우 라우터의 피어의 ISAKMP ID는 ASA에 구성된 터널 그룹 이름과 동일해야 합니다.이는 라우터에서 다음 명령을 사용하여 수행됩니다.

identity local key-id

고정 ASA에서 명명된 터널 그룹을 사용할 때의 장점은 DefaultL2LGroup을 사용할 때 사전 공유 키를 포함하는 원격 동적 ASA/라우터의 컨피그레이션이 동일해야 하며 정책 설정을 훨씬 세부적으로 조정할 수 없다는 것입니다.

구성 

시나리오 1

네트워크 다이어그램

구성

이 섹션에서는 명명된 터널 그룹 컨피그레이션을 기반으로 ASA 및 라우터의 컨피그레이션에 대해 설명합니다. 

고정 ASA 컨피그레이션
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 201.1.1.2 255.255.255.0
!
crypto ipsec ikev2 ipsec-proposal ESP-AES-SHA
 protocol esp encryption aes
 protocol esp integrity sha-1
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map dmap 1 set ikev2 ipsec-proposal ESP-AES-SHA
crypto map vpn 1 ipsec-isakmp dynamic dmap
crypto map vpn interface outside
crypto ca trustpool policy
crypto ikev2 policy 1
 encryption 3des
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 enable outside

group-policy Site-to-Site internal
group-policy Site-to-Site attributes
 vpn-tunnel-protocol ikev2
tunnel-group S2S-IKEv2 type ipsec-l2l
tunnel-group S2S-IKEv2 general-attributes
 default-group-policy Site-to-Site
tunnel-group S2S-IKEv2 ipsec-attributes
 ikev2 remote-authentication pre-shared-key cisco321
 ikev2 local-authentication pre-shared-key cisco123

동적 라우터 컨피그레이션

동적 라우터는 IKEv2 L2L 터널을 위한 동적 사이트이며 여기에 표시된 명령 하나를 추가하는 경우 일반적으로 구성하는 것과 거의 동일한 방식으로 구성됩니다. 

ip access-list extended vpn
 permit ip host 10.10.10.1 host 201.1.1.2

crypto ikev2 proposal L2L-Prop
 encryption 3des
 integrity sha1
 group 2 5
!
crypto ikev2 policy L2L-Pol
 proposal L2L-Prop
!
crypto ikev2 keyring L2L-Keyring
 peer vpn
  address 201.1.1.2
  pre-shared-key local cisco321
  pre-shared-key remote cisco123
!
crypto ikev2 profile L2L-Prof
 match identity remote address 201.1.1.2 255.255.255.255
 identity local key-id S2S-IKEv2
 authentication remote pre-share
 authentication local pre-share
 keyring local L2L-Keyring

crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac
 mode tunnel
!
crypto map vpn 10 ipsec-isakmp
 set peer 201.1.1.2
 set transform-set ESP-AES-SHA
 set ikev2-profile L2L-Prof
 match address vpn
!
interface GigabitEthernet0/0
 ip address 192.168.1.2 255.255.255.0
 duplex auto
 speed auto
 crypto map vpn

따라서 모든 동적 피어에서 key-id는 다르며 적절한 이름을 사용하여 Static ASA에 해당 터널 그룹을 생성해야 합니다. 이는 ASA에서 구현되는 정책의 세분성도 증가시킵니다.

시나리오 2

참고: 이 컨피그레이션은 하나 이상의 면이 라우터인 경우에만 가능합니다.양쪽이 모두 ASA인 경우 이 설정은 현재 작동하지 않습니다.버전 8.4에서 ASA는 set peer 명령과 함께 FQDN(Fully Qualified Domain Name)을 사용할 수 없지만 CSCus37350의 향상된 기능이 향후 릴리스에 대해 요청되었습니다.

원격 ASA의 IP 주소가 동적이기는 하지만 VPN 인터페이스에 대해 Fully Qualified Domain Name이 할당된 경우 원격 ASA의 IP 주소를 정의하지 않고 원격 ASA의 FQDN을 라우터에서 이 명령으로 정의합니다.

C1941(config)#do show run | sec crypto map

crypto map vpn 10 ipsec-isakmp
 set peer <FQDN> dynamic

:dynamic 키워드는 선택 사항입니다. set peer 명령을 통해 원격 IPsec 피어의 호스트 이름을 지정하는 경우 dynamic 키워드를 실행할 수 있습니다. 이 키워드는 IPsec 터널이 설정되기 바로 전까지의 호스트 이름의 DNS(Domain Name Server) 확인을 지연시킵니다.

지연 해결을 통해 Cisco IOS 소프트웨어는 원격 IPsec 피어의 IP 주소가 변경되었는지 여부를 탐지할 수 있습니다.따라서 소프트웨어는 새 IP 주소의 피어에 연결할 수 있습니다. dynamic 키워드가 발급되지 않으면 호스트 이름이 지정된 직후 확인됩니다.따라서 Cisco IOS 소프트웨어는 IP 주소 변경을 탐지할 수 없으므로 이전에 확인한 IP 주소에 연결을 시도합니다.

네트워크 다이어그램

구성

동적 ASA 컨피그레이션

ASA의 컨피그레이션은 물리적 인터페이스의 IP 주소가 정적으로 정의되지 않는다는 한 가지 예외와 함께 Static ASA Configuration과 동일합니다.

라우터 컨피그레이션
crypto ikev2 keyring L2L-Keyring
 peer vpn
  hostname asa5510.test.com
  pre-shared-key local cisco321
  pre-shared-key remote cisco123
 !
crypto ikev2 profile L2L-Prof
 match identity remote fqdn domain test.com
 identity local key-id S2S-IKEv2
 authentication remote pre-share
 authentication local pre-share
 keyring local L2L-Keyring

crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac
 mode tunnel

crypto map vpn 10 ipsec-isakmp
 set peer asa5510.test.com dynamic
 set transform-set ESP-AES-SHA
 set ikev2-profile L2L-Prof
 match address vpn

다음을 확인합니다.

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

고정 ASA 

  • 다음은 show crypto IKEv2 sa det 명령의 결과입니다.

    IKEv2 SAs:

    Session-id:23, Status:UP-ACTIVE, IKE count:1, CHILD count:1

    Tunnel-id                 Local                Remote     Status         Role
    120434199        201.1.1.2/4500        201.1.1.1/4500      READY    RESPONDER
          Encr: 3DES, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
          Life/Active Time: 86400/915 sec
          Session-id: 23
          Status Description: Negotiation done
          Local spi: 97272A4B4DED4A5C       Remote spi: 67E01CB8E8619AF1
          Local id: 201.1.1.2
          Remote id: S2S-IKEv2
          Local req mess id: 43             Remote req mess id: 2
          Local next mess id: 43            Remote next mess id: 2
          Local req queued: 43              Remote req queued: 2
          Local window: 1                   Remote window: 5
          DPD configured for 10 seconds, retry 2
          NAT-T is detected  outside
    Child sa: local selector  201.1.1.2/0 - 201.1.1.2/65535
              remote selector 10.10.10.1/0 - 10.10.10.1/65535
              ESP spi in/out: 0x853c02/0x41aa84f4
              AH spi in/out: 0x0/0x0
              CPI in/out: 0x0/0x0
              Encr: AES-CBC, keysize: 128, esp_hmac: SHA96
              ah_hmac: None, comp: IPCOMP_NONE, mode tunnel


  • 다음은 show crypto ipsec sa 명령의 결과입니다.

    interface: outside
        Crypto map tag: dmap, seq num: 1, local addr: 201.1.1.2

          local ident (addr/mask/prot/port): (201.1.1.2/255.255.255.255/0/0)
          remote ident (addr/mask/prot/port): (10.10.10.1/255.255.255.255/0/0)
          current_peer: 201.1.1.1


          #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
          #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #TFC rcvd: 0, #TFC sent: 0
          #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
          #send errors: 0, #recv errors: 0

          local crypto endpt.: 201.1.1.2/4500, remote crypto endpt.: 201.1.1.1/4500
          path mtu 1500, ipsec overhead 82(52), media mtu 1500
          PMTU time remaining (sec): 0, DF policy: copy-df
          ICMP error validation: disabled, TFC packets: disabled
          current outbound spi: 41AA84F4
          current inbound spi : 00853C02

        inbound esp sas:
          spi: 0x00853C02 (8731650)
             transform: esp-aes esp-sha-hmac no compression
             in use settings ={L2L, Tunnel,  NAT-T-Encaps, IKEv2, }
             slot: 0, conn_id: 94208, crypto-map: dmap
             sa timing: remaining key lifetime (kB/sec): (4101119/27843)
             IV size: 16 bytes
             replay detection support: Y
             Anti replay bitmap:
              0x00000000 0x0000001F
        outbound esp sas:
          spi: 0x41AA84F4 (1101694196)
             transform: esp-aes esp-sha-hmac no compression
             in use settings ={L2L, Tunnel,  NAT-T-Encaps, IKEv2, }
             slot: 0, conn_id: 94208, crypto-map: dmap
             sa timing: remaining key lifetime (kB/sec): (4055039/27843)
             IV size: 16 bytes
             replay detection support: Y
             Anti replay bitmap:
              0x00000000 0x00000001

동적 라우터

  • 다음은 show crypto IKEv2 sa detail 명령의 결과입니다.

     IPv4 Crypto IKEv2  SA

    Tunnel-id Local                 Remote                fvrf/ivrf            Status
    1         192.168.1.2/4500      201.1.1.2/4500        none/none            READY
          Encr: 3DES, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
          Life/Active Time: 86400/1013 sec
          CE id: 1023, Session-id: 23
          Status Description: Negotiation done
          Local spi: 67E01CB8E8619AF1       Remote spi: 97272A4B4DED4A5C
          Local id: S2S-IKEv2
          Remote id: 201.1.1.2
          Local req msg id:  2              Remote req msg id:  48
          Local next msg id: 2              Remote next msg id: 48
          Local req queued:  2              Remote req queued:  48
          Local window:      5              Remote window:      1
          DPD configured for 0 seconds, retry 0
          Fragmentation not configured.
          Extended Authentication not configured.
          NAT-T is detected inside
          Cisco Trust Security SGT is disabled
          Initiator of SA : Yes

     IPv6 Crypto IKEv2  SA


  • 다음은 show crypto ipsec sa 명령의 결과입니다.

    interface: GigabitEthernet0/0
        Crypto map tag: vpn, local addr 192.168.1.2

       protected vrf: (none)
       local  ident (addr/mask/prot/port): (10.10.10.1/255.255.255.255/0/0)
       remote ident (addr/mask/prot/port): (201.1.1.2/255.255.255.255/0/0)
       current_peer 201.1.1.2 port 4500
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
        #pkts decaps: 6, #pkts decrypt: 6, #pkts verify: 6
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 0, #recv errors 0

         local crypto endpt.: 192.168.1.2, remote crypto endpt.: 201.1.1.2
         plaintext mtu 1422, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0
         current outbound spi: 0x853C02(8731650)
         PFS (Y/N): N, DH group: none

         inbound esp sas:
          spi: 0x41AA84F4(1101694196)
            transform: esp-aes esp-sha-hmac ,
            in use settings ={Tunnel UDP-Encaps, }
            conn id: 2006, flow_id: Onboard VPN:6, sibling_flags 80000040, crypto map: vpn
            sa timing: remaining key lifetime (k/sec): (4263591/2510)
            IV size: 16 bytes
            replay detection support: Y
            Status: ACTIVE(ACTIVE)

         inbound ah sas:

         inbound pcp sas:

         outbound esp sas:
          spi: 0x853C02(8731650)
            transform: esp-aes esp-sha-hmac ,
            in use settings ={Tunnel UDP-Encaps, }
            conn id: 2005, flow_id: Onboard VPN:5, sibling_flags 80000040, crypto map: vpn
            sa timing: remaining key lifetime (k/sec): (4263591/2510)
            IV size: 16 bytes
            replay detection support: Y
            Status: ACTIVE(ACTIVE)

         outbound ah sas:

         outbound pcp sas:

동적 라우터(원격 동적 ASA 사용)

  • 다음은 show crypto IKEv2 sa detail 명령의 결과입니다.

    C1941#show cry ikev2 sa detailed
     IPv4 Crypto IKEv2  SA

    Tunnel-id Local                 Remote                fvrf/ivrf            Status
    1         192.168.1.2/4500      201.1.1.2/4500        none/none            READY 
          Encr: 3DES, Hash: SHA96, DH Grp:2, Auth sign: PSK, Auth verify: PSK
          Life/Active Time: 86400/1516 sec
          CE id: 1034, Session-id: 24
          Status Description: Negotiation done
          Local spi: 98322AED6163EE83       Remote spi: 092A1E5620F6AA9C
          Local id: S2S-IKEv2
          Remote id: asa5510.test.com
          Local req msg id:  2              Remote req msg id:  73
          Local next msg id: 2              Remote next msg id: 73
          Local req queued:  2              Remote req queued:  73
          Local window:      5              Remote window:      1
          DPD configured for 0 seconds, retry 0
          Fragmentation not configured.
          Extended Authentication not configured.
          NAT-T is detected inside
          Cisco Trust Security SGT is disabled
          Initiator of SA : Yes

     IPv6 Crypto IKEv2  SA


    참고:이 출력의 원격 및 로컬 ID는 올바른 터널 그룹에 속하는지 확인하기 위해 ASA에 정의한 명명된 터널 그룹입니다.두 끝 중 하나에서 IKEv2를 디버깅하는 경우에도 이를 확인할 수 있습니다.

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

Output Interpreter 도구(등록된 고객만 해당)는 특정 show 명령 지원합니다.show 명령 출력의 분석을 보려면 [출력 인터프리터 도구]를 사용합니다.

참고:debug 명령을 사용하기 전에 디버그 명령에 대한 중요 정보를 참조하십시오.

Cisco IOS 라우터에서 다음을 사용합니다.

deb crypto ikev2 error
deb crypto ikev2 packet
deb crypto ikev2 internal 

ASA에서 다음을 사용합니다.

deb crypto ikev2 protocol
deb crypto ikev2 platform
TAC Authored

Cisco 엔지니어가 작성

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품