본문 바로가기
카테고리 없음

Router VPN Sample 설명

지기(ZIGI) 2009. 6. 27. 14:27

<< Center Router 설정 >>
Center# show run
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Center
!
!
###########################################################################
VPN 설정은 Phase 1(ISAKMP), Phase 2(IPsec)의 두개의 단계을 통해서 이루어 집니다. 아래의 설정은 Phase 1에 대한 설정이고요. authentication pre-share라는 명
령어를 통해서 두개의 VPN 라우터간에 사전에 지정된 Key값인 cisco를 통해서
서로를 인정하겠다는 설정입니다.
############################################################################
crypto isakmp policy 1
authentication pre-share
hash md5

############################################################################
key값이 cisco를 설정합니다. 글구 VPN Tunnel을 개통할 상대방 라우터의 주소를 지정
합니다.
###########################################################################
crypto isakmp key cisco address 211.10.10.2

!
###############################################################################
IPSec에는 두개의 프로토콜이 있는데요. AH, ESP가 있거든요. AH같은 경우에는 데이타와 IP 헤더 부분까지 인증을 하구요. ESP는 데이타부분은 암호화 하지만 인증은 데이타 까지만 합니다. 약간의 차이는 있네요.
###############################################################################
crypto ipsec transform-set 4net esp-des esp-md5-hmac
!
!
############################################################################### Phase 2인 IPSec 부분을 설정합니다. 상대방의 주소와 바로 위에서 설정한 transform-
set인 "4net"와 연동되구요. 또한 과연 어떤 주소를 가지고 들어오는 트래픽에 대해서 암호화를 할 건지를 지정합니다.(access-list 105) 즉 인터넷으로 연결은 됬지만
지사와 통신시는 암호화 해서 보내구 인터넷은 사용은 암호화없이 통신합니다.
###############################################################################
crypto map 4netmap 1 ipsec-isakmp
set peer 211.10.10.2
set transform-set 4net
match address 105

!
interface Serial0
ip address 210.100.100.2 255.255.255.252
no ip directed-broadcast
ip nat outside
no ip route-cache
no ip mroute-cache
no fair-queue
no cdp enable
crypto map 4netmap
#### 위에서 IPSec으로 설정한 map을 인터페이스 적용
!
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
no ip directed-broadcast
ip nat inside
no cdp enable
!
###############################################################################
지사와 통신시는 nat를 적용하지 않구 인터넷 통신시만 nat를 적용하겠다는 것입니다.
왜냐하면 인터넷에서는 private 주소에 대해서 인식하지 못하기 떄문에 반드시 nat를
적용해야만 통신이 가능합니다. 글구 PAT를 사용합니다. ADSL로 연결시 주소는 오직 하나만 받을 경우 반드시 PAT를 사용해야 하겠죠. 글구 nat source를 route-map으로
적용해서 nat 받을 트래픽과 no nat를 받을 트래픽을 구분했읍니다.
###############################################################################
ip nat inside source route-map nonat interface Serial0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 210.100.100.1
no ip http server
!
############################################################################### VPN이 적용되는 트래픽은 access-list 105에 적용되구요. NAT 관련 트래픽은 access-
list 150에 적용됩니다.(route-map하구 연관)
###############################################################################
access-list 105 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 105 deny ip 10.1.1.0 0.0.0.255 any
access-list 150 deny ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 150 permit ip 10.1.1.0 0.0.0.255 any

no cdp run

### nat와 no nat를 적용할 트래픽을 구분했읍니다. ###
route-map nonat permit 10
match ip address 150
!
!
line con 0
transport input none
line aux 0
password 7 aaaaaaa
login local
modem InOut
transport input all
speed 38400
flowcontrol hardware
line vty 0 4
exec-timeout 30 0
password aaaaaa
login
!
end

 

<< Node Router 설정 >>
Node# show run
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Node
!
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 210.100.100.2
!
!
crypto ipsec transform-set 4net esp-des esp-md5-hmac
!
!
crypto map 4netmap 1 ipsec-isakmp
set peer 210.100.100.2
set transform-set 4net
match address 105

!
interface Serial0
ip address 211.10.10.2 255.255.255.252
no ip directed-broadcast
ip nat outside
no ip route-cache
no ip mroute-cache
no fair-queue
no cdp enable
crypto map 4netmap
!
interface Ethernet0
ip address 172.16.1.1 255.255.255.0
no ip directed-broadcast
ip nat inside
no cdp enable
!
ip nat inside source route-map nonat interface Serial0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 211.10.10.1
no ip http server
!
access-list 105 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 105 deny ip 172.16.1.0 0.0.0.255 any
access-list 150 deny ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 150 permit ip 172.16.1.0 0.0.0.255 any

no cdp run
route-map nonat permit 10
match ip address 150
!
!
line con 0
transport input none
line aux 0
password 7 aaaaaaa
login local
modem InOut
transport input all
speed 38400
flowcontrol hardware
line vty 0 4
exec-timeout 30 0
password aaaaaa
login
!
end 

티스토리툴바