반응형
📌 Site to Site
참고자료
- https://www.cisco.com/c/en/us/td/docs/ios/12_2/security/command/reference/srfipsec.html#wp1017619
ISAKMP (Internet Key Exchange = IKEv1)
- 1️⃣ 설정 장비#1 (정적 IP 설정)
참고자료
1. 인터페이스 구성(Lan, Wan)
- 내부 및 외부 네트워크 peer 장비에 모두 연결되어 있는지 확인
- 보통 Loopback 인터페이스를 만들어서 터널 사용
interface GigabitEthernet0/0
description ## 외부 및 터널 IP ##
ip address 172.17.1.1 255.255.255.252
no shutdown
!
interface GigabitEthernet0/1
description ## 내부 서버 IP ##
ip address 10.20.10.1 255.255.255.0
no shutdown
2. ISAKMP(IKEv1) 정책 구성
- crypto isakmp policy <priority> : 우선순위
- encr aes 192 : 고급 암호화 192 bits.
- authentication pre-share : 사전 공유키 [default]
- group 2 : Group 2 (1024-bit)
- hash : sha (default)
- lifetime : (86400 seconds = default)
crypto isakmp policy 10
encr aes 192
authentication pre-share
group 2
3. 암호화 ISAKMP 키 구성
- crypto isakmp key <key 값> address <상대방 IP>
crypto isakmp key auhjinsu123 address 172.17.1.2
4. VPN 트래픽에 대한 ACL 구성
- 터널을 위한 ACL 설정
access-list 100 remark tunnel ACL
access-list 100 permit gre host 172.17.1.1 host 172.17.1.2
5. transform-set 구성
- 보안 프로토콜과 알고리즘 설정
- crypto ipsec transform-set <Set-Name>
crypto ipsec transform-set auhjinsu esp-aes 192 esp-sha-hmac
mode tunnel
6. Crypto map 구성 후 인터페이스에 적용
- crypto map <Map Name> <Number> ipsec-isakmp
- set peer <상대방 IP>
- set transform-set <transform-set Name>
- match address <ACL Number>
crypto map jinsu_map 10 ipsec-isakmp
set peer 172.17.1.2
set transform-set auhjinsu
match address 100- 터널 맺을 외부 인터페이스에 Map 설정
- crypto map <Map Name>
interface GigabitEthernet0/0
crypto map jinsu_map
7. 터널 인터페이스 설정
- interface Tunnel<Number>
- ip address <Tunnel IP>
- tunnel source <외부 IP>
- tunnel destination <상대방 source IP>
interface Tunnel12345
ip address 10.255.100.1 255.255.255.252
no ip redirects
ip mtu 1400
keepalive 3 3
tunnel source 172.17.1.1
tunnel destination 172.17.1.2
- 2️⃣ 설정 장비#2 (동적 IP 설정)
참고자료
1. 인터페이스 구성(Lan, Wan)
- 외부 인터페이스는 보통 공인IP를 사용합니다.
- 보통 Loopback 인터페이스를 만들어서 터널 사용
interface GigabitEthernet0/0
description ## 외부 및 터널 IP ##
ip address 172.17.1.2 255.255.255.252
no shutdown
!
interface GigabitEthernet0/1
description ## 내부 서버 IP ##
ip address 192.168.1.1 255.255.255.0
no shutdown
2. ISAKMP(IKEv1) 정책 구성
- crypto isakmp policy <priority> : 우선순위
- encr aes 192 : 고급 암호화 192 bits.
- authentication pre-share : 사전 공유키 [default]
- group 2 : Group 2 (1024-bit)
- hash : sha (default)
- lifetime : (86400 seconds = default)
crypto isakmp policy 10
encr aes 192
authentication pre-share
group 2
3. 암호화 ISAKMP 키 구성
- crypto isakmp key <key 값> address <모든대역 IP>
crypto isakmp key auhjinsu123 address 0.0.0.0
4. VPN 트래픽에 대한 ACL 구성
- 터널을 위한 ACL 설정
access-list 100 remark tunnel ACL
access-list 100 permit gre host 172.17.1.2 host 172.17.1.1
5. transform-set 구성
- 보안 프로토콜과 알고리즘 설정
- crypto ipsec transform-set <Set-Name>
crypto ipsec transform-set auhjinsu esp-aes 192 esp-sha-hmac
mode tunnel
6. Crypto Dynamic-map 생성, crypto map 생성 후 인터페이스 설정
- crypto dynamic-map <Map Name> <Number>
- set transform-set <transform-set Name>
crypto dynamic-map jinsu 10
set transform-set auhjinsu- crypto map <Map Name> <Number> ipsec-isakmp dynamic <dynamic-map Name>
crypto map jinsu_map 10 ipsec-isakmp dynamic jinsu- 터널 맺을 외부 인터페이스에 Map 설정
- crypto map <Map Name>
interface GigabitEthernet0/0
crypto map jinsu_map
7. 터널 인터페이스 설정
- interface Tunnel<Number>
- ip address <Tunnel IP>
- tunnel source <외부 IP>
- tunnel destination <상대방 source IP>
interface Tunnel12345
ip address 10.255.100.2 255.255.255.252
no ip redirects
ip mtu 1400
keepalive 3 3
tunnel source 172.17.1.2
tunnel destination 172.17.1.1
반응형
'Network > CISCO' 카테고리의 다른 글
| [Network] CISCO - Switch MAC차단 설정 (1) | 2023.10.08 |
|---|---|
| [Network] CISCO - IPSEC (IKEv2) 설정 (0) | 2023.10.08 |
| [Network] CISCO - MTU 설정 (0) | 2022.07.24 |
| [Network] CISCO - EtherChannel 설정 (0) | 2022.07.24 |
| [Network] CISCO - 기능 설정 (0) | 2022.02.18 |