Cisco IOS/CCP - Cisco CP로 DMVPN 구성

다운로드 옵션

PDF (1.7 MB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (2.0 MB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (2.2 MB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2011년 9월 27일

문서 ID:113265

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Cisco CP(Configuration Professional)를 사용하여 허브와 스포크 라우터 간 DMVPN(Dynamic Multipoint VPN) 터널의 샘플 컨피그레이션을 제공합니다. Dynamic Multipoint VPN은 GRE, IPSec 암호화, NHRP 및 라우팅과 같은 다양한 개념을 통합하여 최종 사용자가 동적으로 생성된 스포크 투 스포크 IPSec 터널을 통해 효과적으로 통신할 수 있는 정교한 솔루션을 제공하는 기술입니다.

사전 요구 사항

요구 사항

최상의 DMVPN 기능을 위해서는 Cisco IOS® Software Release 12.4 메인라인 12.4T 이상을 실행하는 것이 좋습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Cisco IOS Router 3800 Series with Software 릴리스 12.4(22)
Cisco IOS Router 1800 Series with Software 릴리스 12.3(8)
Cisco Configuration Professional 버전 2.5

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

배경 정보

이 문서에서는 Cisco CP를 사용하여 라우터를 스포크로 구성하고 다른 라우터를 허브로 구성하는 방법에 대해 설명합니다. 초기 스포크 컨피그레이션이 표시되지만, 이 문서의 뒷부분에는 허브 관련 컨피그레이션이 자세히 표시되어 더 잘 이해할 수 있습니다. 허브에 연결하기 위해 유사한 접근 방식을 사용하여 다른 스포크를 구성할 수도 있습니다. 현재 시나리오는 다음 매개변수를 사용합니다.

허브 라우터 공용 네트워크 - 209.165.201.0
터널 네트워크 - 192.168.10.0
사용된 라우팅 프로토콜 - OSPF

구성

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 섹션에 사용된 명령에 대한 자세한 내용을 확인하십시오.

네트워크 다이어그램

이 문서에서는 다음 네트워크 설정을 사용합니다.

Cisco CP를 사용한 스포크 구성

이 섹션에서는 Cisco Configuration Professional에서 단계별 DMVPN 마법사를 사용하여 라우터를 스포크로 구성하는 방법을 보여줍니다.

Cisco CP 애플리케이션을 시작하고 DMVPN 마법사를 시작하려면 Configure(구성) > Security(보안) > VPN > Dynamic Multipoint VPN(동적 멀티포인트 VPN)으로 이동합니다. 그런 다음 DMVPN에서 스포크 생성 옵션을 선택하고 선택한 작업 시작 을 클릭합니다.
Next(다음)를 클릭하여 시작합니다.
Hub and Spoke 네트워크 옵션을 선택하고 Next를 클릭합니다.
허브 라우터의 공용 인터페이스 및 허브 라우터의 터널 인터페이스와 같은 허브 관련 정보를 지정합니다.
스포크의 터널 인터페이스 세부 정보 및 스포크의 공용 인터페이스를 지정합니다. 그런 다음 Advanced(고급)를 클릭합니다.
터널 매개변수 및 NHRP 매개변수를 확인하고 허브 매개변수와 완벽하게 일치하는지 확인합니다.
사전 공유 키를 지정하고 Next(다음)를 클릭합니다.
별도의 IKE 제안을 추가하려면 Add를 클릭합니다.
암호화, 인증 및 해시 매개변수를 지정합니다. 그런 다음 확인을 클릭합니다.
새로 생성된 IKE 정책은 여기에서 확인할 수 있습니다. Next(다음)를 클릭합니다.
Next(다음)를 클릭하여 기본 변형 집합을 계속 진행합니다.
필요한 라우팅 프로토콜을 선택합니다. 여기서 OSPF가 선택됩니다.
OSPF 프로세스 ID 및 영역 ID를 지정합니다. OSPF에서 알릴 네트워크를 추가하려면 Add를 클릭합니다.
터널 네트워크를 추가하고 OK(확인)를 클릭합니다.
스포크 라우터 뒤에 사설 네트워크를 추가합니다. 그런 다음 다음을 클릭합니다.
마침을 클릭하여 마법사 구성을 완료합니다.
Deliver(전달)를 클릭하여 명령을 실행합니다. 컨피그레이션을 저장하려면 Save running config to device's startup config 확인란을 선택합니다.

스포크에 대한 CLI 컨피그레이션

관련 CLI 컨피그레이션은 다음과 같습니다.

스포크 라우터
crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des mode transport exit crypto ipsec profile CiscoCP_Profile1 set transform-set ESP-3DES-SHA exit interface Tunnel0 exit default interface Tunnel0 interface Tunnel0 bandwidth 1000 delay 1000 ip nhrp holdtime 360 ip nhrp network-id 100000 ip nhrp authentication DMVPN_NW ip ospf network point-to-multipoint ip mtu 1400 no shutdown ip address 192.168.10.5 255.255.255.0 ip tcp adjust-mss 1360 ip nhrp nhs 192.168.10.2 ip nhrp map 192.168.10.2 209.165.201.2 tunnel source FastEthernet0 tunnel destination 209.165.201.2 tunnel protection ipsec profile CiscoCP_Profile1 tunnel key 100000 exit router ospf 10 network 192.168.10.0 0.0.0.255 area 2 network 172.16.18.0 0.0.0.255 area 2 exit crypto isakmp key ******** address 209.165.201.2 crypto isakmp policy 2 authentication pre-share encr aes 192 hash sha group 1 lifetime 86400 exit crypto isakmp policy 1 authentication pre-share encr 3des hash sha group 2 lifetime 86400 exit

스포크 라우터

crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des
 mode transport
 exit
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
 exit
interface Tunnel0
 exit
default interface Tunnel0
interface Tunnel0
 bandwidth 1000
 delay 1000
 ip nhrp holdtime 360
 ip nhrp network-id 100000
 ip nhrp authentication DMVPN_NW
 ip ospf network point-to-multipoint
 ip mtu 1400
 no shutdown
 ip address 192.168.10.5 255.255.255.0
 ip tcp adjust-mss 1360
 ip nhrp nhs 192.168.10.2
 ip nhrp map 192.168.10.2 209.165.201.2
 tunnel source FastEthernet0
 tunnel destination 209.165.201.2
 tunnel protection ipsec profile CiscoCP_Profile1
 tunnel key 100000
 exit
router ospf 10
 network 192.168.10.0 0.0.0.255 area 2
 network 172.16.18.0 0.0.0.255 area 2
 exit
crypto isakmp key ******** address 209.165.201.2
crypto isakmp policy 2
 authentication pre-share
 encr aes 192
 hash sha
 group 1
 lifetime 86400
 exit
crypto isakmp policy 1
 authentication pre-share
 encr 3des
 hash sha
 group 2
 lifetime 86400
 exit

Cisco CP를 사용한 허브 컨피그레이션

이 섹션에서는 DMVPN에 대한 허브 라우터를 구성하는 방법에 대한 단계별 접근 방식을 보여줍니다.

Configure(구성) > Security(보안) > VPN > Dynamic Multipoint VPN으로 이동하고 Create a hub in a DMVPN 옵션을 선택합니다. 에서 선택한 작업 시작을 클릭합니다.
Next(다음)를 클릭합니다.
Hub and Spoke 네트워크 옵션을 선택하고 Next를 클릭합니다.
기본 허브를 선택합니다. 그런 다음 다음을 클릭합니다.
Tunnel 인터페이스 매개변수를 지정하고 Advanced(고급)를 클릭합니다.
Tunnel(터널) 매개변수 및 NHRP 매개변수를 지정합니다. 그런 다음 확인을 클릭합니다.
네트워크 설정에 따라 옵션을 지정합니다.
사전 공유 키를 선택하고 사전 공유 키를 지정합니다. 그런 다음 다음을 클릭합니다.
별도의 IKE 제안을 추가하려면 Add를 클릭합니다.
암호화, 인증 및 해시 매개변수를 지정합니다. 그런 다음 확인을 클릭합니다.
새로 생성된 IKE 정책은 여기에서 확인할 수 있습니다. Next(다음)를 클릭합니다.
Next(다음)를 클릭하여 기본 변형 집합을 계속 진행합니다.
필요한 라우팅 프로토콜을 선택합니다. 여기서 OSPF가 선택됩니다.
OSPF 프로세스 ID 및 영역 ID를 지정합니다. OSPF에서 알릴 네트워크를 추가하려면 Add를 클릭합니다.
터널 네트워크를 추가하고 OK(확인)를 클릭합니다.
허브 라우터 뒤에 프라이빗 네트워크를 추가하고 Next(다음)를 클릭합니다.
마침을 클릭하여 마법사 구성을 완료합니다.
Deliver(전달)를 클릭하여 명령을 실행합니다.

허브에 대한 CLI 컨피그레이션

관련 CLI 컨피그레이션은 다음과 같습니다.

허브 라우터
! crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! crypto isakmp policy 2 encr aes 192 authentication pre-share crypto isakmp key abcd123 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac mode transport ! crypto ipsec profile CiscoCP_Profile1 set transform-set ESP-3DES-SHA ! interface Tunnel0 bandwidth 1000 ip address 192.168.10.2 255.255.255.0 no ip redirects ip mtu 1400 ip nhrp authentication DMVPN_NW ip nhrp map multicast dynamic ip nhrp network-id 100000 ip nhrp holdtime 360 ip tcp adjust-mss 1360 ip ospf network point-to-multipoint delay 1000 tunnel source GigabitEthernet0/0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile CiscoCP_Profile1 ! router ospf 10 log-adjacency-changes network 172.16.20.0 0.0.0.255 area 2 network 192.168.10.0 0.0.0.255 area 2 !

허브 라우터

!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 192
 authentication pre-share
crypto isakmp key abcd123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
 mode transport
!
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
!
interface Tunnel0
 bandwidth 1000
 ip address 192.168.10.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMVPN_NW
 ip nhrp map multicast dynamic
 ip nhrp network-id 100000
 ip nhrp holdtime 360
 ip tcp adjust-mss 1360
 ip ospf network point-to-multipoint
 delay 1000
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile CiscoCP_Profile1
!
router ospf 10
 log-adjacency-changes
 network 172.16.20.0 0.0.0.255 area 2
 network 192.168.10.0 0.0.0.255 area 2
!

CCP를 사용하여 DMVPN 컨피그레이션 수정

터널 인터페이스를 선택하고 Edit(수정)를 클릭할 때 기존 DMVPN 터널 매개변수를 수동으로 편집할 수 있습니다.

MTU 및 터널 키와 같은 터널 인터페이스 매개변수는 General 탭에서 수정됩니다.

NHRP 관련 매개변수는 NHRP 탭의 요구 사항에 따라 찾아 수정됩니다. 스포크 라우터의 경우 NHS를 허브 라우터의 IP 주소로 볼 수 있어야 합니다. NHRP 매핑을 추가하려면 NHRP Map 섹션에서 Add를 클릭합니다.
네트워크 설정에 따라 NHRP 매핑 매개변수를 다음과 같이 구성할 수 있습니다.

라우팅 관련 매개변수는 라우팅(Routing) 탭 아래에서 보고 수정됩니다.

추가 정보

DMVPN 터널은 다음 두 가지 방법으로 구성됩니다.

허브를 통한 스포크 간 통신
허브가 없는 스포크 간 통신

이 문서에서는 첫 번째 방법만 설명합니다. 스포크 투 스포크(spoke-to-spoke) 동적 IPSec 터널을 설정하기 위해 이 접근 방식을 사용하여 DMVPN 클라우드에 스포크를 추가합니다.

DMVPN 마법사를 시작하고 Spoke 구성 옵션을 선택합니다.
DMVPN Network Topology(DMVPN 네트워크 토폴로지) 창에서 Hub and Spoke 네트워크 옵션 대신 Full meshed network 옵션을 선택합니다.
이 문서의 다른 구성과 동일한 단계를 사용하여 나머지 구성을 완료합니다.

다음을 확인합니다.

현재 이 구성에 대해 사용 가능한 확인 절차가 없습니다.