VPN IPSec NAT 오버로딩을 사용하여 PPPoE를 위한 Cisco 827 구성

소개

Cisco 827 라우터는 일반적으로 DSL CPE(customer premises equipment)입니다. 이 샘플 컨피그레이션에서는 Cisco 827이 PPPoE(Point-to-Point Protocol over Ethernet)용으로 구성되고 Cisco 3600 라우터를 사용하는 LAN-to-LAN IPSec 터널에서 피어로 사용됩니다. Cisco 827은 내부 네트워크에 인터넷 연결을 제공하기 위해 NAT(Network Address Translation) 오버로드를 수행하고 있습니다.

시작하기 전에

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

사전 요구 사항

이 구성을 고려할 때 다음 사항을 기억하십시오.

• Cisco 827에서 IPSec VPN에 대한 구성을 추가하기 전에 PPPoE가 작동하는지 확인하십시오. Cisco 827에서 PPPoE 클라이언트를 디버깅하려면 프로토콜 스택을 고려해야 합니다. 아래 순서대로 문제를 해결해야 합니다.

  1. DSL 물리적 레이어

  2. ATM 레이어

  3. 이더넷 레이어

  4. PPP 레이어

• 이 샘플 컨피그레이션에서는 Cisco 827에 고정 IP 주소가 있습니다. Cisco 827에 동적 IP 주소가 있는 경우 이 문서 외에 NAT를 사용하여 라우터 간 동적-라우터 동적-고정 IPSec 구성을 참조하십시오.

사용되는 구성 요소

이 문서의 정보는 아래 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco 827 12.1(5)YB4

• Cisco 3600 12.1(5)T8

• Cisco 6400 12.1(1)DC1

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 라이브 네트워크에서 작업하는 경우, 사용하기 전에 모든 명령의 잠재적인 영향을 이해해야 합니다.

구성

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

네트워크 다이어그램

이 문서에서는 아래 다이어그램에 표시된 네트워크 설정을 사용합니다.

구성

이 문서에서는 아래 표시된 구성을 사용합니다.

• Cisco 827(CPE)

• 라우터 표시등

참고: 이 문서에 사용된 명령에 대한 추가 정보를 찾으려면 명령 조회 도구(등록된 고객만 해당)를 사용합니다.

version 12.1
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 827
!
logging rate-limit console 10 except errors
!
ip subnet-zero
no ip finger
!
no ip dhcp-client network-discovery
vpdn enable
 
no vpdn logging
!
vpdn-group pppoe
 request-dialin
  protocol pppoe
!
!
!
crypto isakmp policy 20
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key sharedkey address 30.30.30.30
!
!
crypto ipsec transform-set dsltest esp-3des esp-md5-hmac 
!
crypto map test 10 ipsec-isakmp   
 set peer 30.30.30.30
 set transform-set dsltest 
 match address 101
!
interface Ethernet0
 ip address 192.168.100.100 255.255.255.0
 ip nat inside
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 bundle-enable
 dsl operating-mode ansi-dmt
!
interface ATM0.1 point-to-point
 pvc 0/33 

!--- This is usually provided by the ISP.

  protocol pppoe
 pppoe-client dial-pool-number 1
!
!
interface Dialer1
 ip address 20.20.20.20 255.255.255.0

!--- This is provided by the ISP. !--- Another variation is ip address negotiated.

 ip mtu 1492
 ip Nat outside
 encapsulation ppp
 no ip route-cache
 no ip mroute-cache
 dialer pool 1
 ppp authentication chap callin
 ppp chap hostname testuser
 ppp chap password 7 00071A1507545A545C
 crypto map test
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
ip Nat inside source route-map nonat interface Dialer1 overload
access-list 1 permit 192.168.100.0 0.0.0.255
access-list 101 permit ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
access-list 105 deny   ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
access-list 105 permit ip 192.168.100.0 0.0.0.255 any
!
route-map nonat permit 10
 match ip address 105
!
!
line con 0
 transport input none
 stopbits 1
line vty 0 4
 login
!
scheduler max-task-time 5000
end

version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
boot system flash:c3660-jk2s-mz.121-5.T8.bin
logging buffered 4096 debugging
logging rate-limit console 10 except errors
!
ip subnet-zero
!
no ip finger
!
ip cef
!
crypto isakmp policy 20
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key sharedkey address 20.20.20.20
!
crypto ipsec transform-set dsltest esp-3des esp-md5-hmac 
!
crypto map test 10 ipsec-isakmp   
 set peer 20.20.20.20
 set transform-set dsltest 
 match address 101
!
call rsvp-sync
cns event-service server
!
!
!
controller E1 2/0
!
!
interface FastEthernet0/0
 ip address 192.168.200.200 255.255.255.0
 ip Nat inside
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 30.30.30.30 255.255.255.0
 ip Nat outside
 duplex auto
 speed auto
 crypto map test
!
interface Serial1/0
 no ip address
 shutdown
!
interface Serial1/1
 no ip address
 shutdown
!         
interface Serial1/2
 no ip address
 shutdown
!
interface Serial1/3
 no ip address
 shutdown
!
interface BRI4/0
 no ip address
 shutdown
!
interface BRI4/1
 no ip address
 shutdown
!
interface BRI4/2
 no ip address
 shutdown
!
interface BRI4/3
 no ip address
 shutdown 
!
ip kerberos source-interface any
ip Nat inside source route-map nonat interface FastEthernet0/1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 30.30.30.1
ip http server
!
access-list 101 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 105 deny   ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 105 permit ip 192.168.200.0 0.0.0.255 any
!
route-map nonat permit 10
 match ip address 105
!
!
dial-peer cor custom
!
!
line con 0
 exec-timeout 0 0
 transport input none
line 97 108
line aux 0
line vty 0 4
 login
!
end

다음을 확인합니다.

이 섹션에서는 컨피그레이션이 제대로 작동하는지 확인하는 데 사용할 수 있는 정보를 제공합니다.

일부 show 명령은 출력 인터프리터 툴 에서 지원되는데(등록된 고객만), 이 툴을 사용하면 show 명령 출력의 분석 결과를 볼 수 있습니다.

참고: 다음 show 명령이 나타내는 내용을 정확히 알아보려면 IP 보안 문제 해결 - 디버그 명령 이해 및 사용을 참조하십시오.

• show crypto isakmp sa - 피어 간에 구축된 ISAKMP(Internet Security Association Management Protocol) SA를 표시합니다.

• show crypto ipsec sa - 피어 간에 구축된 IPSec SA를 표시합니다.

• show crypto engine connections active - 각 2단계 SA가 빌드되고 전송된 트래픽의 양을 표시합니다.

라우터 IPSec 정상 표시 명령

• crypto isakmp sa 표시

  Cisco 827(CPE)

  dst	소스	주	conn-id	슬롯
  30.30.30.30	20.20.20.20	QM-유휴	1	0

  라우터 표시등

  dst	소스	주	conn-id	슬롯
  30.30.30.30	20.20.20.20	QM_유휴	1	0

• 활성 암호화 엔진 연결 표시

  Cisco 827(CPE)

  ID	인터페이스	IP 주소	주/도	알고리즘	암호화	암호 해독
  1	<없음>	<없음>	설정	HMAC_SHA+3DES_56_C	0	0
  2000	전화 걸기 1	20.20.20.20	설정	HMAC_MD5+3DES_56_C	0	104
  2001	전화 걸기 1	20.20.20.20	설정	HMAC_MD5+3DES_56_C	104	0

  라우터 표시등

  ID	인터페이스	IP 주소	주/도	알고리즘	암호화	암호 해독
  1	FastEthernet0/1	30.30.30.30	설정	HMAC_SHA+3DES_56	0	0
  1960	FastEthernet0/1	30.30.30.30	설정	HMAC_MD5+3DES_56_C	0	104
  1961	FastEthernet0/1	30.30.30.30	설정	HMAC_MD5+3DES_56_C	104	0

• crypto ipsec sa 표시

827#show crypto ipsec sa

interface: Dialer1
Crypto map tag: test, local addr. 20.20.20.20

local ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.200.0/255.255.255.0/0/0)
current_peer: 30.30.30.30
PERMIT, flags={origin_is_acl,}
#pkts encaps: 208, #pkts encrypt: 208, #pkts digest 208
#pkts decaps: 208, #pkts decrypt: 208, #pkts verify 208
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 2, #recv errors 0

local crypto endpt.: 20.20.20.20, remote crypto endpt.: 30.30.30.30
path mtu 1500, media mtu 1500
current outbound spi: 4FE59EF2

inbound esp sas:
spi: 0x3491ACD6(881962198)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: test
sa timing: remaining key lifetime (k/sec): (4607840/3301)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x4FE59EF2(1340448498)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 2, crypto map: test
sa timing: remaining key lifetime (k/sec): (4607837/3301)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound pcp sas:

interface: Virtual-Access1
Crypto map tag: test, local addr. 20.20.20.20

local ident (addr/mask/prot/port): (192.168.100.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.200.0/255.255.255.0/0/0)
current_peer: 30.30.30.30
PERMIT, flags={origin_is_acl,}
#pkts encaps: 208, #pkts encrypt: 208, #pkts digest 208
#pkts decaps: 208, #pkts decrypt: 208, #pkts verify 208
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 2, #recv errors 0

local crypto endpt.: 20.20.20.20, remote crypto endpt.: 30.30.30.30
path mtu 1500, media mtu 1500
current outbound spi: 4FE59EF2

inbound esp sas:
spi: 0x3491ACD6(881962198)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: test
sa timing: remaining key lifetime (k/sec): (4607840/3301)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x4FE59EF2(1340448498)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 2, crypto map: test
sa timing: remaining key lifetime (k/sec): (4607837/3301)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound pcp sas:

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

문제 해결 명령

참고: debug 명령을 실행하기 전에 디버그 명령 및 IP 보안 문제 해결 - 디버그 명령 이해 및 사용에 대한 중요 정보를 참조하십시오.

• debug crypto ipsec - 2단계의 IPSec 협상을 표시합니다.

• debug crypto isakmp - 1단계의 ISAKMP 협상을 표시합니다.

• debug crypto engine - 암호화된 트래픽을 표시합니다.

• ping - VPN 터널을 통한 연결을 표시하며 debug 및 show 명령과 함께 사용할 수 있습니다.

827#ping 
Protocol [ip]: 
Target IP address: 192.168.200.200
Repeat count [5]: 100
Datagram size [100]: 1600
Timeout in seconds [2]: 
Extended commands [n]: y
Source address or interface: 192.168.100.100
Type of service [0]: 
Set DF bit in IP header? [no]: 
Validate reply data? [no]: 
Data pattern [0xABCD]: 
Loose, Strict, Record, Timestamp, Verbose[none]: 
Sweep range of sizes [n]: 
Type escape sequence to abort.
Sending 100, 1600-byte ICMP Echos to 192.168.200.200, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 264/266/276 ms

관련 정보

• IPSec 지원 페이지
• IP 라우팅 지원 페이지
• IPSec 암호화 소개
• Cisco 827 라우터 트러블슈팅
• Technical Support - Cisco Systems