Transcript ezvpn

internet
ezvpn
인터넷망을 이용해서
외부 어디서든
회사 내부의 pc에 접속할
수 있도록 함
(내부에서 pc가 연결되었다
가상으로 만듬)
회사내부(사설망)
가상 pc연결
192.168.1.0/24
(사설ip 서버컴퓨터)
접속방법
1. 외부 라우터에서 접속
(설정필요)
2. 외부 pc에서 접속
(접속프로그램 필요)
ezvpn 소스 설명 (p111~p112의 내용 : server)
username admin privilege 15 password cisco
-----------------------------------------------------------------------------------------username (user이름 설정)
privileage (권한 설정)
password (암호 설정)
-----------------------------------------------------------------------------------------aaa new-model (aaa 새로 설정함)
aaa authentication login EZVPN_Client local
aaa authorization network EZVPN_Group local
-----------------------------------------------------------------------------------------authentication (인증설정) -> login(로그인 설정) -> EZVPN_Client(로그인 설정에 대한
이름을 설정) -> local(local DB의 정보를 참조하여 인증)
authorization (권한부여) -> network (Network Service 권한 설정, network 접속허가)
-> EZVPN_Group (권한 설정에 대한 이름을 설정)
-> local(local DB의 정보를 참조하여 권한부여)
-------------------------------------------------------------------------------------------crypto isakmp policy 10
authentication pre-share
hash md5
encryption 3des
group 2
ezvpn 소스 설명
ip local pool EZ_POOL 150.1.13.100 150.1.13.110
------------------------------------------------------------------------------------------local pool (접속이 허락되면 허락할 ip주소를 설정하겠음)
EZ_POOL (local pool의 이름 설정)
150.1.13.100 150.1.13.110 (150.1.13.100 ~ 150.1.13.110 사이의 ip주소를 할당함)
------------------------------------------------------------------------------------------crypto isakmp client configuration address-pool local EZ_POOL
------------------------------------------------------------------------------------------isakmp (crypto의 phase1 설정)
client configuration (접속이 허락된 client에 대한 설정)
address-pool (주소를 설정하는 pool설정)
local EZ_POOL (local에 있는 EZ_POOL을 설정적용)
------------------------------------------------------------------------------------------crypto isakmp client configuration group EZ_Group
------------------------------------------------------------------------------------------group (그룹인증을 설정)
EZ_Group (그룹인증에 대한 이름설정)
------------------------------------------------------------------------------------------key cisco1234 (그룹에 대한 인증을 위한 암호(키)를 설정)
pool EZ_POOL (그룹에 위에서 설정한 EZ_POOL적용)
acl 113 (access-list 113을 적용, split 터널링 설정(터널기법을 사용함))
ezvpn 소스 설명
crypto isakmp xauth timeout 45
-------------------------------------------------------------------------------------------isakmp xauth (1.5phase로 ipsec를 이용하기 위해서 id와 password를
물어보도록 설정)
time out (45초 이후에는 자동으로 id와 password 묻는 것을 종료, 접속끊음)
-------------------------------------------------------------------------------------------access-list 113 permit ip 150.1.13.0 0.0.0.255 any
-------------------------------------------------------------------------------------------가상으로 터널을 뚫도록 하기위해서 설정
-------------------------------------------------------------------------------------------crypto ipsec transform-set TEST esp-3des esp-md5-hmac
crypto dynamec-map EZVPN 10
-------------------------------------------------------------------------------------------crypto map (정해져 있는 장비 연결)
crypto dynamic-map (정해지지 않은 장비 연결)
?
?
어디서에서 무슨 장비가 연결이 될 지 모름
--------------------------------------------------------------------------------------------
ezvpn 소스 설명
set transform-set TEST (phase2의 내용 crypto dynamic-map에 적용)
reverse-route (원래는 정보가 전달 될때 회사의 라우터까지 정보가 왔다가 가야 되지만
이 설정을 통해서 자신의 위치에 가까운 라우터의 라우팅정보를 보고 정보가 전달 됨)
internet
회사내부(사설망)
가상 pc연결
ezvpn 소스 설명
crypto map EZVPN client authentication list EZVPN_Client
crypto map EZVPN isakmp authorization list EZVPN_Group
crypto map EZVPN client configuration address respond
crypto map EZVPN 10 ipsec-isakmp dynamic EZVPN
------------------------------------------------------------------------------------------위의 2개는 aaa내용, 아래 2개는 vpn내용
인터페이스에는 crypto map만 적용 가능하므로 aaa와 vpn을 crypto map으로 변환시킴
respond (설정한 내용으로 반응을 함)
----------------------------------------------------------------------------------------------int s1/1
crypto map EZVPN (인터페이스에 crypto map을 적용)
ezvpn 소스 설명 (p112~p113의 내용 : client)
crypto isakmp policy 10
authentication pre-share
hash md5
encryption 3des
group 2
crypto ipsec client ezvpn VPN_Connection (ezvpn의 client에 대한 crypto 설정)
connect auto (자동으로 연결함)
group EZ_Group key cisco1234 (이용할 수 있는 권한을 받기위한 그룹에 대한 내용을
mode network-extension (외부에서 접속을 가능하게 함)
peer 13.13.10.1 (상대방 ip주소)
int s1/1
crypto ipsec client ezvpn VPN_Connection outside (ezvpn을 연결할 라우터 쪽의 인터
임을 나타냄)
int f0/1
crypto ipsec client ezvpn VPN_Connection inside (자신의 내부망을 연결하는 인터페이
나타냄)
alias exec ezvpn crypto ipsec client ezvpn xauth
(exec명령어창에서 crypto ipsec client ezvpn xauth을 ezvpn명령어로 축약하여 사용)
alias exec bye clear ipsec client ezvpn VPN_Connection