Classic 환경에서 이용 가능합니다.
IPsec VPN Tunnel 생성을 위해 고객 VPN 게이트웨이에서 리소스를 구성하는 방법을 설명합니다. VPN 게이트웨이 장비가 Cisco 사의 ASA 계열 제품이라면 다음의 내용을 참고해 주십시오.
참고
여기서는 로컬 네트워크가 고객 네트워크, 원격 네트워크가 네이버 클라우드 플랫폼 Private Subnet이 됩니다. Peer IP 또한 네이버 클라우드 플랫폼의 VPN 게이트웨이 공인 IP가 됩니다.
인터페이스 IP 설정
인터페이스 IP를 설정하는 방법은 다음과 같습니다.
hostname(config)# interface ethernet0/0
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address <공인 IP> <서브넷 마스크>
hostname(config-if)# no shutdown
hostname(config)# interface ethernet0/1
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address <내부 사설 IP> <서브넷 마스크>
hostname(config-if)# no shutdown
라우팅 설정
라우팅을 설정하는 방법은 다음과 같습니다.
hostname(config)# route outside 0 0 <VPN 게이트웨이 공인 IP>
네트워크 오브젝트 그룹 설정
로컬 네트워크와 원격 네트워크 각각의 오브젝트 그룹을 생성해 주십시오. 생성하는 방법은 다음과 같습니다.
hostname(config)# object-group network <그룹 이름 정의>
hostname(config-network)# network-object host <호스트 IP>
hostname(config-network)# network-object <네트워크 IP> <서브넷 마스크>
접근 설정
네트워크의 접근을 설정하는 방법은 다음과 같습니다.
-
특정 IP의 접근 허용
hostname(config)# access-list outside_20_cryptomap extended permit ip <내부 사설 IP> <내부 서브넷 마스크> <원격 네트워크의 사설 IP> <원격 네트워크 내부 서브넷 마스크> -
네트워크 오브젝트 그룹의 접근 허용
hostname(config)# access-list <access-list 이름 정의> extended permit ip object-group <로컬 오브젝트 그룹 이름> object-group <원격 오브젝트 그룹 이름>
IKE 설정
IKE를 설정하려면 IKEv1과 IKEv2를 구성한 후 IKEv1, IKEv2 각각 트래픽 보호를 위한 암호화 방식을 설정해야 합니다.
참고
암호와 및 인증 알고리즘 설정값이 네이버 클라우드 플랫폼 콘솔에서 생성한 IPsec VPN Gateway의 설정값과 동일해야 합니다.
IKEv1 구성
IKEv1을 구성하는 방법은 다음과 같습니다.
hostname(config)# crypto ikev1 policy 1
hostname(config-ikev1-policy)# authentication pre-share
hostname(config-ikev1-policy)# encryption 3des
hostname(config-ikev1-policy)# hash sha
hostname(config-ikev1-policy)# group 2
hostname(config-ikev1-policy)# lifetime 43200
hostname(config)# crypto ikev1 enable outside
- D-H 그룹: 2
- 인증 방식: pre-share
- 암호화 알고리즘: 3des
- 해시 알고리즘: sha-1
- lifetime: 43200
IKEv2 구성
IKEv2를 구성하는 방법은 다음과 같습니다.
hostname(config)# crypto ikev2 policy 1
hostname(config-ikev2-policy)# encryption 3des
hostname(config-ikev2-policy)# group 2
hostname(config-ikev2-policy)# prf sha
hostname(config-ikev2-policy)# lifetime 43200
hostname(config)# crypto ikev2 enable outside
- D-H 그룹: 2
- PRF(Pseudo Random Function) 알고리즘: sha-1
- 암호화 알고리즘: 3des
- lifetime: 43200
IKEv1 변형 집합 생성
트래픽 보호를 위해 IKEv1의 변형 집합을 생성하는 방법은 다음과 같습니다.
hostname(config)# crypto ipsec transform-set FirstSet esp-3des esp-md5-hmac
- 변형 집합 이름 예시: FirstSet
- 암호화 알고리즘: esp-3des
- 해시 알고리즘: esp-md5-hmac
IKEv2 제안서 생성
트래픽 보호를 위해 IKEv2의 제안서를 생성하는 방법은 다음과 같습니다.
hostname(config)# crypto ipsec ikev2 ipsec-proposal secure
hostname(config-ipsec-proposal)# protocol esp 3des integrity md5
- 제안서 이름 예시: secure
- 암호화 알고리즘: 3des
- 해시 알고리즘: md5
터널 그룹 생성
기존 Group Policy를 이용해 터널 그룹을 생성하는 방법은 다음과 같습니다.
hostname(config)# group-policy DefaultGroupPolicy internal
hostname(config)# group-policy DefaultGroupPolicy attributes
hostname(config)# vpn-tunnel-protocol ikev1 ikev2
hostname(config)# tunnel-group <Peer IP> type ipsec-l2l
hostname(config)# tunnel-group <Peer IP> ipsec-attributes
hostname(config-tunnel-ipsec)# default-group-policy DefaultGroupPolicy
hostname(config-tunnel-ipsec)# ikev1 pre-shared-key <Pre-shared 키 값>
hostname(config-tunnel-ipsec)# ikev2 remote-authentication certificate
참고
Pre-shared 키 값은 1~128자의 영문 또는 숫자로 구성해야 합니다.
암호화 맵 생성 및 인터페이스에 적용
암호화 맵을 생성하고 인터페이스에 적용하는 방법은 다음과 같습니다.
-
암호화 맵 생성
hostname(config)# crypto map <맵 이름 정의> 1 match address <access-list 이름> hostname(config)# crypto map <맵 이름> 1 set peer <Peer IP> hostname(config)# crypto map <맵 이름> 1 set ikev1 transform-set <IKEv1 변형 집합 이름> hostname(config)# crypto map <맵 이름> 1 set ikev2 ipsec-proposal <IKEv2 제안서 이름> -
인터페이스 적용
hostname(config)# crypto map <맵 이름> interface outside
연결 확인
모든 과정을 마친 후 인터페이스와 VPN 터널을 확인할 수 있습니다.
인터페이스 확인
인터페이스를 확인하는 방법은 다음과 같습니다.
hostname(config)# show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
GigabitEthernet0/0 inside 192.168.1.1 255.255.255.0 manual
GigabitEthernet0/1 outside 10.0.0.1 255.255.255.0 manual
VPN 터널 확인
VPN 터널을 확인하는 방법은 다음과 같습니다.
-
show crypto ipsec sa입력hostname(config)# show crypto ipsec sa interface: outside Crypto map tag: MAP, seq num: 10, local addr: 10.0.0.1 access-list VPN extended permit icmp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/1/0) remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/1/0) current_peer: 10.0.0.2 #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 4, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0 local crypto endpt.: 10.0.0.1/0, remote crypto endpt.: 10.0.0.2/0 path mtu 1500, ipsec overhead 74, media mtu 1500 current outbound spi: DB680406 current inbound spi : 1698CAC7 inbound esp sas: spi: 0x1698CAC7 (379112135) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, } slot: 0, conn_id: 16384, crypto-map: MAP sa timing: remaining key lifetime (kB/sec): (3914999/3326) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x0000001F outbound esp sas: spi: 0xDB680406 (3681027078) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, } slot: 0, conn_id: 16384, crypto-map: MAP sa timing: remaining key lifetime (kB/sec): (3914999/3326) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 -
show crypto isakmp sa입력hostname(config)# show crypto isakmp sa IKEv1 SAs: Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 10.0.0.2 Type : L2L Role : responder Rekey : no State : MM_ACTIVE -
show crypto IKEv2 sa det입력hostname(config)# show crypto IKEv2 sa det IKEv2 SAs: Session-id:132, Status:UP-ACTIVE, IKE count:1, CHILD count:1 Tunnel-id Local Remote Status Role 1574208993 198.51.100.1/4500 203.0.113.134/4500 READY RESPONDER Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:24, Auth sign: PSK, Auth verify: PSK Life/Active Time: 86400/352 sec Session-id: 132 Status Description: Negotiation done Local spi: 4FDFF215BDEC73EC Remote spi: 2414BEA1E10E3F70 Local id: 198.51.100.1 Remote id: DynamicSite2Site1 Local req mess id: 13 Remote req mess id: 17 Local next mess id: 13 Remote next mess id: 17 Local req queued: 13 Remote req queued: 17 Local window: 1 Remote window: 1 DPD configured for 10 seconds, retry 2 NAT-T is detected outside Child sa: local selector 172.0.0.0/0 - 172.255.255.255/65535 remote selector 172.16.1.0/0 - 172.16.1.255/65535 ESP spi in/out: 0x9fd5c736/0x6c5b3cc9 AH spi in/out: 0x0/0x0 CPI in/out: 0x0/0x0 Encr: AES-CBC, keysize: 256, esp_hmac: SHA96 ah_hmac: None, comp: IPCOMP_NONE, mode tunnel