두 라우터와 Cisco VPN 클라이언트 4.x 간 IPsec 구성

소개

이 문서에서는 두 Cisco 라우터와 Cisco VPN Client 4.x 간에 IPsec을 구성하는 방법을 보여 줍니다. Cisco IOS® Software 릴리스 12.2(8)T 이상에서는 Cisco VPN Client 3.x 이상에서 연결을 지원합니다.

L2L 터널의 한쪽 끝에 다른 쪽 끝에 의해 동적으로 IP 주소가 할당되는 시나리오에 대한 자세한 내용은 IPsec 라우터 동적 LAN-to-LAN 피어 및 VPN 클라이언트 구성을 참조하십시오.

사전 요구 사항

요구 사항

이 구성을 시도하기 전에 다음 요구 사항을 충족해야 합니다.

• IPsec에 할당할 주소 풀

• VPN 클라이언트를 위한 cisco123의 사전 공유 키를 가진 3000clients라는 그룹

• 그룹 및 사용자 인증은 VPN 클라이언트의 라우터에서 로컬로 수행됩니다.

• no-xauth 매개 변수는 LAN-to-LAN 터널에 대한 ISAKMP key 명령에서 사용됩니다.

사용되는 구성 요소

이 문서의 정보는 이러한 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco IOS Software 릴리스 12.2(8)T를 실행하는 라우터

  참고: 이 문서는 최근 Cisco IOS Software 릴리스 12.3(1)에서 테스트되었습니다. 변경할 필요가 없습니다.

• Windows 버전 4.x용 Cisco VPN Client(모든 VPN Client 3.x 이상이 작동함).

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

라우터의 show version 명령의 출력이 이 출력에 표시됩니다.

vpn2611#show version
Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-JK9O3S-M), Version 12.2(8)T,
   RELEASE SOFTWARE (fc2)
TAC Support: http://www.cisco.com/tac
Copyright (c) 1986-2002 by cisco Systems, Inc.
Compiled Thu 14-Feb-02 16:50 by ccai
Image text-base: 0x80008070, data-base: 0x81816184

ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)

vpn2611 uptime is 1 hour, 15 minutes
System returned to ROM by reload
System image file is "flash:c2600-jk9o3s-mz.122-8.T"

cisco 2611 (MPC860) processor (revision 0x203) 
   with 61440K/4096K bytes of memory.
Processor board ID JAD04370EEG (2285146560)
M860 processor: part number 0, mask 49
Bridging software.
X.25 software, Version 3.0.0.
SuperLAT software (copyright 1990 by Meridian Technology Corp).
TN3270 Emulation software.
2 Ethernet/IEEE 802.3 interface(s)
1 Serial network interface(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read/Write)

Configuration register is 0x2102

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

구성

이 섹션에서는 이 문서에 설명된 기능을 구성하는 데 사용되는 정보를 제공합니다.

네트워크 다이어그램

이 문서에서는 이 네트워크 설정을 사용합니다.

참고: 이 예의 IP 주소는 랩 네트워크의 전용 IP 주소이므로 전역 인터넷에서 라우팅할 수 없습니다.

구성

Cisco 2611 라우터 구성

vpn2611#show run
Building configuration...

Current configuration : 2265 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn2611
!

!--- Enable AAA for user authentication !--- and group authorization.

aaa new-model
!
!

!--- In order to enable X-Auth for user authentication, !--- enable the aaa authentication commands.

aaa authentication login userauthen local


!--- In order to enable group authorization, enable !--- the aaa authorization commands.

aaa authorization network groupauthor local 
aaa session-id common
!


!--- For local authentication of the IPSec user, !--- create the user with a password.

username cisco password 0 cisco
ip subnet-zero
!
!
!
ip audit notify log
ip audit po max-events 100
!


!--- Create an Internet Security Association and !--- Key Management Protocol (ISAKMP) !--- policy for Phase 1 negotiations for the VPN 3.x Clients.

crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!


!--- Create an ISAKMP policy for Phase 1 !--- negotiations for the LAN-to-LAN tunnels.

crypto isakmp policy 10
hash md5
authentication pre-share


!--- Specify the PreShared key for the LAN-to-LAN tunnel. !--- Make sure that you use the !--- no-xauth parameter with your ISAKMP key.

crypto isakmp key cisco123 address 172.18.124.199 no-xauth
!


!--- Create a group that is used to !--- specify the WINS, DNS servers' address !--- to the client, along with the pre-shared !--- key for authentication.

crypto isakmp client configuration group 3000client
key cisco123
dns 10.10.10.10
wins 10.10.10.20
domain cisco.com
pool ippool
!
!


!--- Create the Phase 2 Policy for actual data encryption.

crypto ipsec transform-set myset esp-3des esp-md5-hmac 
!


!--- Create a dynamic map and apply !--- the transform set that was created earlier.

crypto dynamic-map dynmap 10
set transform-set myset 
!
!


!--- Create the actual crypto map, and !--- apply the AAA lists that were created !--- earlier. Also create a new instance for your !--- LAN-to-LAN tunnel. Specify the peer IP address, !--- transform set, and an Access Control List (ACL) for this !--- instance.

crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 1 ipsec-isakmp 
set peer 172.18.124.199
set transform-set myset 
match address 100
crypto map clientmap 10 ipsec-isakmp dynamic dynmap 
!
!
fax interface-type fax-mail
mta receive maximum-recipients 0
!
!


!--- Apply the crypto map on the outside interface.

interface Ethernet0/0
ip address 172.18.124.159 255.255.255.0
half-duplex
crypto map clientmap
!
interface Serial0/0
no ip address
shutdown
!
interface Ethernet0/1
ip address 10.10.10.1 255.255.255.0
no keepalive
half-duplex
!
!

!--- Create a pool of addresses to be !--- assigned to the VPN Clients.

ip local pool ippool 14.1.1.100 14.1.1.200
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.124.1
ip http server
ip pim bidir-enable
!
!


!--- Create an ACL for the traffic !--- to be encrypted. In this example, !--- the traffic from 10.10.10.0/24 to 10.10.20.0/24 !--- is encrypted.

access-list 100 permit ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255
!
!
snmp-server community foobar RO
call rsvp-sync
!
!
mgcp profile default
!
dial-peer cor custom
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
!
!
end

3640 라우터 구성

vpn3640#show run
Building configuration...

Current configuration : 1287 bytes
!
! Last configuration change at 13:47:37 UTC Wed Mar 6 2002
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname vpn3640
!
!
ip subnet-zero
ip cef
!

!--- Create an ISAKMP policy for Phase 1 !--- negotiations for the LAN-to-LAN tunnels.

crypto isakmp policy 10
hash md5
authentication pre-share


!--- Specify the PreShared key for the LAN-to-LAN !--- tunnel. You do not have to add the !--- X-Auth parameter, as this !--- router does not do Cisco Unity Client IPsec !--- authentication.

crypto isakmp key cisco123 address 172.18.124.159
!
!


!--- Create the Phase 2 Policy for actual data encryption.

crypto ipsec transform-set myset esp-3des esp-md5-hmac 
!


!--- Create the actual crypto map. Specify !--- the peer IP address, transform !--- set, and an ACL for this instance.

crypto map mymap 10 ipsec-isakmp 
set peer 172.18.124.159
set transform-set myset 
match address 100
!
call RSVP-sync
!
!
!


!--- Apply the crypto map on the outside interface.

interface Ethernet0/0
ip address 172.18.124.199 255.255.255.0
half-duplex
crypto map mymap
!
interface Ethernet0/1
ip address 10.10.20.1 255.255.255.0
half-duplex
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.18.124.1
ip http server
ip pim bidir-enable
!


!--- Create an ACL for the traffic to !--- be encrypted. In this example, !--- the traffic from 10.10.20.0/24 to 10.10.10.0/24 !--- is encrypted.

access-list 100 permit ip 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255
snmp-server community foobar RO
!
dial-peer cor custom
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
end

VPN 클라이언트 4.x 구성

Cisco VPN Client 4.x를 구성하려면 다음 단계를 수행합니다.

1. VPN Client를 시작한 다음 New(새로 만들기)를 클릭하여 새 연결을 생성합니다.

   

2. 필요한 정보를 입력하고 저장을 클릭합니다.

   

3. 새로 생성된 연결 항목을 마우스 오른쪽 버튼으로 클릭하고 연결을 클릭하여 라우터에 연결합니다.

   

4. IPsec 협상 중에 사용자 이름과 비밀번호를 입력하라는 프롬프트가 표시됩니다.

   

5. 창에 "보안 프로필 협상" 및 "링크가 이제 안전해졌습니다."라는 메시지가 표시됩니다.

다음을 확인합니다.

이 섹션에서는 컨피그레이션이 제대로 작동하는지 확인하는 데 도움이 되는 정보를 제공합니다.

일부 show 명령은 출력 인터프리터 툴 에서 지원되는데(등록된 고객만), 이 툴을 사용하면 show 명령 출력의 분석 결과를 볼 수 있습니다.

Cisco VPN 2611

vpn2611#show crypto isakmp sa
dst src state conn-id slot
172.18.124.159 172.18.124.199 QM_IDLE 5 0    

!--- For the LAN-to-LAN tunnel peer.

172.18.124.159 64.102.55.142 QM_IDLE 6 0     

!--- For the Cisco Unity Client tunnel peer.



vpn2611#show crypto ipsec sa

interface: Ethernet0/0
Crypto map tag: clientmap, local addr. 172.18.124.159

protected vrf:
local ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.10.20.0/255.255.255.0/0/0)
current_peer: 172.18.124.199:500		

!--- For the LAN-to-LAN tunnel peer.

PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress 
failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.18.124.159, remote crypto endpt.: 
172.18.124.199
path mtu 1500, media mtu 1500
current outbound spi: 892741BC

inbound esp sas:
spi: 0x7B7B2015(2071666709)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607999/1182)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound pcp sas:

outbound ESP sas:
spi: 0x892741BC(2301051324)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 2, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607999/1182)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound PCP sas:

protected vrf:
local ident (addr/mask/prot/port): (172.18.124.159/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (14.1.1.106/255.255.255.255/0/0)
current_peer: 64.102.55.142:500		

!--- For the Cisco Unity Client tunnel peer.

PERMIT, flags={}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress 
failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.18.124.159, remote crypto endpt.: 
64.102.55.142
path mtu 1500, media mtu 1500
current outbound spi: 81F39EFA

inbound ESP sas:
spi: 0xC4483102(3293065474)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2002, flow_id: 3, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4608000/3484)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound PCP sas:

outbound ESP sas:
spi: 0x81F39EFA(2180226810)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2003, flow_id: 4, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4608000/3484)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound PCP sas:

protected vrf:
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (14.1.1.106/255.255.255.255/0/0)
current_peer: 64.102.55.142:500		

!--- For the Cisco Unity Client tunnel peer.

PERMIT, flags={}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
#pkts decaps: 20, #pkts decrypt: 20, #pkts verify 20
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress 
failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.18.124.159, remote crypto endpt.: 
64.102.55.142
path mtu 1500, media mtu 1500
current outbound spi: B7F84138

inbound ESP sas:
spi: 0x5209917C(1376358780)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2004, flow_id: 5, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607998/3474)
IV size: 8 bytes
replay detection support: Y
spi: 0xDE6C99C0(3731659200)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2006, flow_id: 7, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607998/3493)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound PCP sas:

outbound ESP sas:
spi: 0x58886878(1485334648)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2005, flow_id: 6, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4608000/3474)
IV size: 8 bytes
replay detection support: Y
spi: 0xB7F84138(3086500152)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2007, flow_id: 8, crypto map: clientmap
sa timing: remaining key lifetime (k/sec): (4607999/3486)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound PCP sas:



vpn2611#show crypto engine connection active
ID Interface IP-Address State Algorithm Encrypt Decrypt
5 Ethernet0/0 172.18.124.159 set HMAC_MD5+DES_56_CB 0 0
6 Ethernet0/0 172.18.124.159 set HMAC_SHA+3DES_56_C 0 0
2000 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 4
2001 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 4 0
2002 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 0
2003 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 0
2004 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 9
2005 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 0
2006 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 0 79
2007 Ethernet0/0 172.18.124.159 set HMAC_MD5+3DES_56_C 4 0
vpn2611#

Cisco VPN 3640

vpn3640#show crypto isakmp sa
 DST src state conn-id slot
 172.18.124.159 172.18.124.199 QM_IDLE 4 0        

 !--- For the LAN-to-LAN tunnel peer.

 
 vpn3640#show crypto ipsec sa
 
 interface: Ethernet0/0
 Crypto map tag: mymap, local addr. 172.18.124.199
 
protected vrf:
 local ident (addr/mask/prot/port): (10.10.20.0/255.255.255.0/0/0)
 remote ident (addr/mask/prot/port): (10.10.10.0/255.255.255.0/0/0)
 current_peer: 172.18.124.159:500            
 
!--- For the LAN-to-LAN tunnel peer.

 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4
 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. Failed: 0, #pkts decompress failed: 0
 #send errors 11, #recv errors 0
 
 local crypto endpt.: 172.18.124.199, remote crypto endpt.: 172.18.124.159
 path mtu 1500, media mtu 1500
 current outbound spi: 7B7B2015
 
 inbound ESP sas:
 spi: 0x892741BC(2301051324)
 transform: esp-3des esp-md5-hmac ,
 in use settings ={Tunnel, }
 slot: 0, conn id: 940, flow_id: 1, crypto map: mymap
 sa timing: remaining key lifetime (k/sec): (4607998/1237)
 IV size: 8 bytes
 replay detection support: Y
 
 inbound ah sas:
 
 inbound PCP sas:
 
 outbound ESP sas:
 spi: 0x7B7B2015(2071666709)
 transform: esp-3des esp-md5-hmac ,
 in use settings ={Tunnel, }
 slot: 0, conn id: 941, flow_id: 2, crypto map: mymap
 sa timing: remaining key lifetime (k/sec): (4607999/1237)
 IV size: 8 bytes
 replay detection support: Y
 
 outbound ah sas:
 
 outbound PCP sas:
 
 
 vpn3640# show crypto engine connection active
 
 ID Interface IP-Address State Algorithm Encrypt Decrypt
 4 
      
       
       
         set HMAC_MD5+DES_56_CB 0 0 
        
      
940 Ethernet0/0 172.18.124.199 set HMAC_MD5+3DES_56_C 0 4
 941 Ethernet0/0 172.18.124.199 set HMAC_MD5+3DES_56_C 4 0

암호화 맵 시퀀스 번호 확인

고정 피어와 동적 피어가 동일한 암호화 맵에서 구성된 경우 암호화 맵 엔트리의 순서가 매우 중요합니다. 동적 암호화 맵 엔트리의 시퀀스 번호는 다른 모든 고정 암호화 맵 엔트리보다 커야 합니다. 정적 엔트리의 번호가 동적 엔트리보다 높으면 해당 피어와의 연결이 실패합니다.

다음은 정적 엔트리와 동적 엔트리를 포함하는 올바른 번호의 암호화 맵의 예입니다. 동적 엔트리는 가장 높은 시퀀스 번호를 가지며 고정 엔트리를 추가할 공간이 남아 있습니다.

crypto dynamic-map dynmap 10
set transform-set myset 
crypto map clientmap 1 ipsec-isakmp 
set peer 172.18.124.199
set transform-set myset 
match address 100
crypto map clientmap 10 ipsec-isakmp dynamic dynmap 

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결하는 데 도움이 되는 정보를 제공합니다.

문제 해결 명령

일부 show 명령은 출력 인터프리터 툴 에서 지원되는데(등록된 고객만), 이 툴을 사용하면 show 명령 출력의 분석 결과를 볼 수 있습니다.

참고: 디버그 명령을 실행하기 전에 디버그 명령에 대한 중요 정보를 참조하십시오.

• debug crypto ipsec - IPsec 이벤트를 표시합니다. 이 명령의 no 형식은 디버깅 출력을 비활성화합니다.

• debug crypto isakmp - IKE 이벤트에 대한 메시지를 표시합니다. 이 명령의 no 형식은 디버깅 출력을 비활성화합니다.

• debug crypto engine—Cisco IOS 소프트웨어가 암호화 또는 암호 해독 작업을 수행하는 경우와 같이 암호화 엔진과 관련된 정보를 표시합니다.

관련 정보

• IPsec 협상/IKE 프로토콜 지원 페이지
• 기술 지원 및 문서 − Cisco Systems