IPsec Easy VPN

Ipsec EASY VPN

   

   

위의 랩 구성을 한다

   

환경 설정:

1. Pc에는 vpn client 프로그램을 설치 함으로써 server 구축 시 client에서 gui 배경으로 쉽게 구성할 수 있어야 한다. 이유는, vpn client에 해당하느느 당사자 들은 컴퓨터를 잘 모른다는 가정하에 있기 때문이다!

      

2. 라우터는 총 세대로 구성된다. HQ, ISP, BR 이다.

      

3. HQ와 ISP는 서로 ETHERNET 으로 연결이 되어 있고 BR과 ISP는 서로 시리얼로 구성이 되어 있다.

      

4. 사용자가 인터넷을 사용하고자 할 때에는 회사를 거치지 않고 바로 ISP를 타고 나갈 수 있도록 설정 해야 한다.

      

5. SDM으로 서버를 구성 후 CLIENT를 구성하도록 한다.

기본설정

[localhost]

   

[[3640]]

image = d:\ios\c3640-jk9s-m.124-8.bin

ram = 96

slot0 = NM-4E

slot1 = NM-4T

idlepc = 0x604248b0

   

[[router HQ]]

model = 3640

console = 2001

e0/0 = NIO_gen_eth:\Device\NPF_{15D63E74-FBE6-47F6-9824-DE508CE1CC9B} # Tap0 Connection

e0/1 = ISP e0/0

   

[[router ISP]]

model = 3640

console = 2002

s1/0 = BR s1/0

   

[[router BR]]

model = 3640

console = 2003

#e0/0 = NIO_gen_eth:\Device\NPF_{CFE4E12E-F80E-4FA0-88F5-5283662717E0} # VMnet1 Connection

   

   

! -- Headquarters Router Configuration

!

hostname HQ

!

no logging buffered

!

interface Ethernet0/0

 ip address 100.10.0.1 255.255.255.0

 no shutdown

!

interface Ethernet 0/1

 ip address 100.10.1.2 255.255.255.0

 no shutdown

!

ip route 0.0.0.0 0.0.0.0 100.10.1.1

!

ip dhcp pool vpn_pool

 network 100.10.0.0 /24

 default-router 100.10.0.1

 dns-server 168.126.63.1

 exit

!

ip dhcp excluded-address 100.10.0.1 100.10.0.100

!

line con 0

 logging synchronous

 exec-timeout 0

line vty 0 4

 no login

!

end

   

   

! -- ISP Router Basic IP configuration

hostname ISP

!

enable password cisco

!

ip subnet-zero

no ip domain-lookup

!

interface ethernet 0/0

 ip address 100.10.1.1 255.255.255.0

 no shutdown

!

interface serial 1/0

 ip address 100.10.2.1 255.255.255.0

 encapsulation ppp

 bandwidth 2048

 no shutdown

!

ip classless

!

ip route 100.10.0.0 255.255.255.0 100.10.1.2

!

line con 0

 exec-timeout 0 0

 logging synchronous

line vty 0 4

 no login

!

end

   

   

! -- Branch Router Configuration

!

hostname BR

!

no logging buffered

!

!

interface serial 1/0

 ip address 100.10.2.2 255.255.255.0

 encapsulation ppp

 bandwidth 2048

 no shutdown

!

interface ethernet 0/0

 ip address 172.16.3.1 255.255.255.0

 no shutdown

!

interface loopback 0

 ip address 172.16.2.1 255.255.255.0

!

ip route 0.0.0.0 0.0.0.0 100.10.2.1

!

line con 0

 logging synchronous

 exec-timeout 0

line vty 0 4

 no login

!

end

   

   

   

! -- SDM_Config_C36xx Router

!  The default startup configuration file for Cisco Router and Security Device Manager (SDM)

!  DO NOT modify this file; it is required by SDM as is for factory defaults

!  Version 1.0

!

logging buffered 51200 warnings 로깅 버퍼를 설정 해 준다

!

username cisco privilege 15 secret 0 cisco cisco/cisco로 접속하는 telnet유저는 15번의 권한을

! 갖는다. 15번은 모두 설정 가능

!

! 

ip domain-name it10pro.com 도메인 네임 설정

!

ip http server http 서버 구동

ip http secure-server secure 모드로 동작

ip http authentication local 인증은 로칼만 가능하게

ip http timeout-policy idle 60 life 86400 requests 10000 라이프 타임 설정

!

banner login ^ 배너 설정

-----------------------------------------------------------------------

Cisco Router and Security Device Manager (SDM) is installed on this device.

This feature requires the one-time use of the username "cisco"

with the password "cisco". The default username and password have a privilege level of 15.

Please change these publicly known initial credentials using SDM or the IOS CLI.

Here are the Cisco IOS commands.

username <myuser>  privilege 15 secret 0 <mypassword>

no username cisco

Replace <myuser> and <mypassword> with the username and password you want to use.

For more information about SDM please follow the instructions in the QUICK START

GUIDE for your router or go to http://www.cisco.com/go/sdm

-----------------------------------------------------------------------

^

!

line con 0

 login local 로칼에서만 로그 인 가능하게

line vty 0 4

 privilege level 15 telnet 접속시 15번 권한

 login local 텔넷도 로컬만 로그인

 transport input telnet

 transport input telnet ssh

line vty 5 15

 privilege level 15

 login local

 transport input telnet

 transport input telnet ssh

!

!  End of SDM default config file

end

이 화면은 IKE를 설정 한 후 추가된 값이다.

즉, IKE의 policy를 세워준 것이다.

Authentication 방식, D-H 그룹, Life-time, Hash, Encryption 알고리즘을 선택 할 수 있다.

   

위와 같은 설정을 모두 마치게 되면 test를 할 수 있게 되는데 그 결과물이다.

   

이렇게 해서 server의 구성은 끝 마쳤다. 이제는 client의 설정을 하도록 하겠다.

그러면 다음과 같이 작업표시줄에 황금 열쇠가 나타난다. 접속 됐다는 표시 이다. 다음은 라우팅 테이블과 ip를 확인해 보겠다.

   

패킷을 잡은 것이다. BR라우터에서 잡은 패킷인데 보는 것과 같이 SSLv3로 통신이 이루어지고 있다.

   

위의 패킷과 같이 이제는 VPN이 설정이 되는 과정이다 보면 Aggressive, Transaction, Quick Mode등의 패킷을 확인 할 수 있다!

   

Microsoft Office OneNote 2007을 사용하여 작성했습니다.
모든 노트 및 정보를 한 곳에서 볼 수 있습니다.