Network/CCNP

EZVPN

JI12 2020. 5. 19. 18:03

EZVPN - 평상시에는 IPSec VPN이 구성되어 있지 않다가, 외부에서 접속을 실시하면 외부 접속자와 IPSec VPN이 시작되는 서비스이다.

 

동작 과정

1. 클라이언트가 EZVPN 서버로 접속한다.

2. 클라이언트가 EZVPN 서버에게 IKE 1단계 정책을 전송한다.

3. EZVPN 서버는 수신한 IKE 1단계 내용을 검색하여 정보를 생성한다.

4. XAUTH기능을 수행하여 사용자 인증을 수행한다.

5. IKE 모드 설정을 이용해 클라이언트에게 정책내용을 전송한다.

6. RRI 기능을 이용해 정적경로를 생성하여 라우팅 테이블에 등록한다.

7. IKE 2단계 SA정보를 교환한다.

 

EZVPN 구성

구성방법(1~7 R1에서)

1. 사용자 인증을 위한 AAA설정

2. IKE 1단계 설정

3. EVC에게 할당할 IP 주소 범위 설정 ( 범위 : 150.1.13.100 ~ 150.1.13.110 )

4. EVS로 접속될 그룹 생성

5. IKE 2단계 설정, RRI 기능 실시

6. crypto-map 을 이용한 EZVPN 구성 요소 통합

7. crypto map 인터페이스 적용

8. R3에서 EVC 구성

 

RRI 기능 = 접속한 클라이언트로 패킷 응답이 가능하게 자동으로 정적 경로를 생성하는 기능

 

 

1. AAA 설정

 

R1

username admin privilege 15 password cisco                   admin 관리자계정 생성

aaa new-model                                                         사용자 인증위한 aaa생성

aaa authentication login EZVPN-L local                           라우터로 접속하는 콘솔, VTY 라인 구현

aaa authorization network EZVPN-A local                        인증된 사용자에게 라우터 접근 권한 할당

 

2. IKE 1단계 설정

 

R1

crypto isakmp policy 10

authentication pre-share

group 2

hash md5

encryption 3des

 

3. EVS로 할당할 IP 주소 범위 설정

 

R1

ip local pool EZ 150.1.13.100 150.1.13.110                    할당할 IP 범위 설정

crypto isakmp client configuration address-pool local EZ-P

 

4. EVS로 접속될 그룹 생성

 

R1

access-list 113 permit ip 150.1.13.0 0.0.0.255 any            150.1번대 허용

crypto isakmp client configuration group EZ-G               EVC 그룹 정책 설정

key cisco

pool EZ-P

dns 168.126.63.1 168.126.63.2

domain cisco.com

acl 113

 

5. IKE 2단계 설정 & RRI 기능 실시

 

R1

crypto ipsec transform-set TEST esp-3des esp-md5-hmac

crypto dynamic-map EZVPN 10

set transform-set TEST

reverse-route                                                             RRI기능 실시 = 자동으로 정적경로를 생성하는 기능

 

6. crypto-map 을 이용한 EZVPN 구성 요소 통합

 

R1

crypto map EVS client authentication list EZVPN-L

crypto map EVS isakmp authorization list EZVPN-A

crypto map EVS client configuration address respond

crypto map EVS 10 ipsec-isakmp dynamic EZVPN

 

7. crypto map 적용

 

R1

int s1/0.12

crypto map EVS

 

 

8. R3에 EVC 구성

 

R3

crypto isakmp policy 10

authentication pre-share

hash md5

encryption 3des

group 2

exit

 

crypto ipsec client ezvpn EZVPN

connect auto

group EZ-G key cisco

mode network-extension

peer 13.13.9.1

exit

 

int s1/0.23

crypto ipsec client ezvpn EZVPN outside

 

int f0/0

crypto ipsec client ezvpn EZVPN inside