본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 Cisco ISE(Identity Service Engine) 2.2 - NAD(Network Access Device) 통신을 보호하기 위해 TACACS IPSEC을 구성하고 문제를 해결하는 방법에 대해 설명합니다. TACACS 트래픽은 라우터와 ISE 간의 사이트 간(LAN-to-LAN) IPSec IKEv2(Internet Key Exchange Version 2) 터널로 암호화할 수 있습니다. 이 문서에서는 TACACS 컨피그레이션 부분을 다루지 않습니다.
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
목표는 안전하지 않은 MD5 해시, Radius 및 TACACS를 IPSec과 함께 사용하는 프로토콜을 보호하는 것입니다. 고려해야 할 몇 가지 사실:
GE-1 ISE 인터페이스에서 암호화된 패킷을 수신하면 ESR(Embedded Services Router)이 Eth0/0 인터페이스에서 패킷을 인터셉트합니다.
interface Ethernet0/0
description e0/0->connection to external NAD
ip address 10.48.17.87 255.255.255.0
ip nat outside
ip virtual-reassembly in
no ip route-cache
crypto map radius
ESR은 이를 해독하며 사전 구성된 NAT 규칙에 따라 주소 변환을 수행합니다. 발신(NAD 방향) RADIUS/TACACS 패킷이 Ethernet0/0 인터페이스 주소로 변환되고 이후에 암호화됩니다.
ip nat inside source list 1 interface Ethernet0/0 overload
ip nat inside source static udp 10.1.1.2 1645 interface Ethernet0/0 1645
ip nat inside source static udp 10.1.1.2 1646 interface Ethernet0/0 1646
ip nat inside source static udp 10.1.1.2 1812 interface Ethernet0/0 1812
ip nat inside source static udp 10.1.1.2 1813 interface Ethernet0/0 1813
ip nat inside source static tcp 10.1.1.2 49 interface Ethernet0/0 49
access-list 1 permit 10.1.1.0 0.0.0.3
RADIUS/TACACS 포트의 Eth0/0 인터페이스로 향하는 패킷은 Eth0/1 인터페이스를 통해 ISE의 내부 주소인 10.1.1.2 ip 주소로 전달되어야 합니다. Eth0/1의 ESR 컨피그레이션
interface Ethernet0/1
description e0/1->tap0 internal connection to ISE
ip address 10.1.1.1 255.255.255.252
ip nat inside
ip virtual-reassembly in
no ip route-cache
내부 Tap-0 인터페이스의 ISE 구성:
ISE22-1ek/admin# show interface | b tap0
tap0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.1.1.2 netmask 255.255.255.252 broadcast 10.1.1.3
inet6 fe80::6c2e:37ff:fe5f:b609 prefixlen 64 scopeid 0x20<link>
ether 6e:2e:37:5f:b6:09 txqueuelen 500 (Ethernet)
RX packets 81462 bytes 8927953 (8.5 MiB)
RX errors 0 dropped 68798 overruns 0 frame 0
TX packets 105 bytes 8405 (8.2 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
이 문서의 정보는 다음 네트워크 설정을 사용합니다.
이 섹션에서는 IOS CLI 및 ISE 컨피그레이션을 완료하는 방법에 대해 설명합니다.
IOS 라우터 인터페이스가 아직 구성되지 않은 경우, 적어도 WAN 인터페이스를 구성해야 합니다. 예를 들면 다음과 같습니다.
interface GigabitEthernet0/0/0
ip address 10.48.23.68 255.255.255.0
negotiation auto
no shutdown
!
Site-to-Site VPN 터널을 설정하기 위해 사용해야 하는 원격 피어에 대한 연결이 있는지 확인합니다. 기본 연결을 확인하려면 ping을 사용할 수 있습니다.
IKEv1 연결에 대한 ISAKMP 정책을 구성하려면 글로벌 컨피그레이션 모드에서 crypto isakmp policy <priority> 명령을 입력합니다. 예를 들면 다음과 같습니다.
crypto isakmp policy 10
encr aes
hash sha256
authentication pre-share
group 16
참고: IPSec에 참여하는 각 피어에서 여러 IKE 정책을 구성할 수 있습니다. IKE 협상이 시작되면 두 피어 모두에 구성된 공통 정책을 찾으려고 시도하며, 원격 피어에 지정된 우선순위가 가장 높은 정책으로 시작합니다.
사전 공유 인증 키를 구성하려면 전역 컨피그레이션 모드에서 crypto isakmp key 명령을 입력합니다.
crypto isakmp key Krakow123 address 10.48.17.87
암호화로 보호해야 하는 트래픽을 지정하려면 확장 또는 명명된 액세스 목록을 사용합니다. 예를 들면 다음과 같습니다.
access-list 101 permit ip 10.48.23.68 0.0.0.0 10.48.17.87 0.0.0.0
참고: VPN 트래픽에 대한 ACL은 NAT 뒤에 소스 및 목적지 IP 주소를 사용합니다.
IPSec 변형 집합(보안 프로토콜과 알고리즘의 적절한 조합)을 정의하려면 글로벌 컨피그레이션 모드에서 crypto ipsec transform-set 명령을 입력합니다. 예를 들면 다음과 같습니다.
crypto ipsec transform-set SET esp-aes esp-sha256-hmac
mode transport
암호화 맵 엔트리를 생성하거나 수정하고 암호화 맵 컨피그레이션 모드로 들어가려면 crypto map 글로벌 컨피그레이션 명령을 입력합니다. 암호화 맵 엔트리를 완료하려면 몇 가지 측면을 정의해야 합니다.
예를 들면 다음과 같습니다.
crypto map MAP 10 ipsec-isakmp
set peer 10.48.17.87
set transform-set SET
match address 101
마지막 단계는 이전에 정의된 암호화 맵 세트를 인터페이스에 적용하는 것입니다. 이를 적용하려면 crypto map interface configuration 명령을 입력합니다.
interface GigabitEthernet0/0
crypto map MAP
다음은 최종 IOS 라우터 CLI 컨피그레이션입니다.
aaa group server tacacs+ ISE_TACACS
server name ISE22
!
aaa authentication login default group ISE_TACACS
aaa authorization exec default group ISE_TACACS
!
crypto isakmp policy 10
encr aes
hash sha256
authentication pre-share
group 16
!
crypto isakmp key Krakow123 address 10.48.17.87
!
crypto ipsec transform-set SET esp-aes esp-sha256-hmac
mode transport
!
crypto map MAP 10 ipsec-isakmp
set peer 10.48.17.87
set transform-set SET
match address 101
!
access-list 101 permit ip 10.48.23.68 0.0.0.0 10.48.17.87 0.0.0.0
!
interface GigabitEthernet0/0/0
ip address 10.48.23.68 255.255.255.0
negotiation auto
no shutdown
!
crypto map MAP 10 ipsec-isakmp
set peer 10.48.17.87
set transform-set SET
match address 101
!
tacacs server ISE22
address ipv4 10.48.17.87
key cisco
CLI에서 인터페이스 GE1-GE5에 주소를 구성해야 합니다. GE0은 지원되지 않습니다.
interface GigabitEthernet 1
ip address 10.48.17.87 255.255.255.0
ipv6 address autoconfig
ipv6 enable
참고: 인터페이스에 IP 주소가 구성된 후 애플리케이션이 다시 시작됩니다.
IP 주소를 변경하면 ISE 서비스가 다시 시작될 수 있습니다.
IP 주소 변경을 계속하시겠습니까? Y/N [N]: Y
Administration(관리) > Network Resources(네트워크 리소스) > Network Devices(네트워크 디바이스)로 이동합니다. Add(추가)를 클릭합니다. Name(이름), IP Address(IP 주소), Shared Secret(공유 암호)를 구성해야 합니다. NAD에서 IPSec 터널을 종료하려면 IPSEC Network Device Group(IPSEC 네트워크 디바이스 그룹)에 대해 YES(예)를 선택합니다.
NAD가 추가되면 RADIUS 트래픽이 ESR을 통과하여 암호화되도록 ISE에 추가 경로를 생성해야 합니다.
ip route 10.48.23.68 255.255.255.255 gateway 10.1.1.1
Administration(관리) > System(시스템) > Settings(설정)로 이동합니다. Radius를 클릭하고 IPSEC을 클릭합니다. PSN (Single/Multiple/All)(PSN(단일/다중/모두)) Select Enable(활성화) 옵션을 선택하고 Interface(인터페이스)를 선택한 후 Select Authentication Method(인증 방법 선택)를 선택합니다. 저장을 클릭합니다. 이 시점에서 선택한 노드에서 서비스가 다시 시작됩니다.
서비스가 다시 시작된 후 ISE CLI 컨피그레이션은 IP 주소가 없고 종료 상태에서 구성된 인터페이스를 표시하며, ESR(Embedded Services Router)이 ISE 인터페이스를 제어하므로 예상됩니다.
interface GigabitEthernet 1
shutdown
ipv6 address autoconfig
ipv6 enable
서비스가 다시 시작되면 ESR 기능이 활성화됩니다. ESR에 로그인하려면 명령줄에 esr을 입력합니다.
ISE22-1ek/admin# esr
% Entering ESR 5921 shell
% Cisco IOS Software, C5921 Software (C5921_I86-UNIVERSALK9-M), Version 15.5(2)T2, RELEASE SOFTWARE (fc3)
% Technical Support: http://www.cisco.com/techsupport
% Copyright (c) 1986-2015 Cisco Systems, Inc.
Press RETURN to get started, <CTRL-C> to exit
ise-esr5921>en
ise-esr5921#
ESR은 다음과 같은 암호화 컨피그레이션과 함께 제공되며, 이는 사전 공유 키로 ipsec 터널을 종료할 수 있는 용량입니다.
crypto keyring MVPN-spokes
pre-shared-key address 0.0.0.0 0.0.0.0 key Krakow123
!
crypto isakmp policy 10
encr aes
hash sha256
authentication pre-share
group 16
!
crypto isakmp policy 20
encr aes
hash sha256
authentication pre-share
group 14
!
crypto isakmp key Krakow123 address 0.0.0.0
!
crypto isakmp profile MVPN-profile
description LAN-to-LAN for spoke router(s) connection
keyring MVPN-spokes
match identity address 0.0.0.0
!
crypto ipsec transform-set radius esp-aes esp-sha256-hmac
mode tunnel
crypto ipsec transform-set radius-2 esp-aes esp-sha256-hmac
mode transport
!
crypto dynamic-map MVPN-dynmap 10
set transform-set radius radius-2
!
crypto map radius 10 ipsec-isakmp dynamic MVPN-dynmap
ESR에 암호화된 패킷을 전송할 경로가 있는지 확인합니다.
ip route 0.0.0.0 0.0.0.0 10.48.26.1
라우터에 대한 ssh 세션이 시작되기 전에는 활성 VPN 연결이 없습니다.
ISR4451#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
IPv6 Crypto ISAKMP SA
인증 소스 ISE 2.2가 사용되므로 클라이언트는 라우터에 연결됩니다.
EKORNEYC-M-K04E:~ ekorneyc$ ssh alice@10.48.23.68
Password:
ISR4451#
IOS에서 TACACS 패킷을 전송하면 VPN 세션 설정이 트리거됩니다. 터널이 가동되면 이 출력이 라우터에 표시됩니다. 터널의 1단계가 작동 중임을 확인합니다.
ISR4451#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
10.48.17.87 10.48.23.68 QM_IDLE 1962 ACTIVE
IPv6 Crypto ISAKMP SA
ISR4451#
2단계가 시작되고 패킷이 암호화 및 해독됩니다.
ISR4451#sh cry ipsec sa
interface: GigabitEthernet0/0/0
Crypto map tag: MAP, local addr 10.48.23.68
protected vrf: (none)
local ident (addr/mask/prot/port): (10.48.23.68/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (10.48.17.87/255.255.255.255/0/0)
current_peer 10.48.17.87 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 48, #pkts encrypt: 48, #pkts digest: 48
#pkts decaps: 48, #pkts decrypt: 48, #pkts verify: 48
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.48.23.68, remote crypto endpt.: 10.48.17.87
plaintext mtu 1458, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/0
current outbound spi: 0x64BD51B8(1690128824)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0xFAE51DF8(4209319416)
transform: esp-aes esp-sha256-hmac ,
in use settings ={Transport, }
conn id: 2681, flow_id: ESG:681, sibling_flags FFFFFFFF80004008, crypto map: MAP
sa timing: remaining key lifetime (k/sec): (4607998/3127)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x64BD51B8(1690128824)
transform: esp-aes esp-sha256-hmac ,
in use settings ={Transport, }
conn id: 2682, flow_id: ESG:682, sibling_flags FFFFFFFF80004008, crypto map: MAP
sa timing: remaining key lifetime (k/sec): (4607997/3127)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
ISR4451#
ESR에서 동일한 출력을 확인할 수 있습니다. 1단계가 작동 중입니다.
ise-esr5921#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
10.48.17.87 10.48.23.68 QM_IDLE 1002 ACTIVE
IPv6 Crypto ISAKMP SA
ise-esr5921#
2단계가 작동하면 패킷이 성공적으로 암호화 및 해독됩니다.
ise-esr5921#sh cry ipsec sa
interface: Ethernet0/0
Crypto map tag: radius, local addr 10.48.17.87
protected vrf: (none)
local ident (addr/mask/prot/port): (10.48.17.87/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (10.48.23.68/255.255.255.255/0/0)
current_peer 10.48.23.68 port 500
PERMIT, flags={}
#pkts encaps: 48, #pkts encrypt: 48, #pkts digest: 48
#pkts decaps: 48, #pkts decrypt: 48, #pkts verify: 48
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.48.17.87, remote crypto endpt.: 10.48.23.68
plaintext mtu 1458, path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0
current outbound spi: 0xFAE51DF8(4209319416)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0x64BD51B8(1690128824)
transform: esp-aes esp-sha256-hmac ,
in use settings ={Transport, }
conn id: 3, flow_id: SW:3, sibling_flags 80000000, crypto map: radius
sa timing: remaining key lifetime (k/sec): (4242722/3056)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xFAE51DF8(4209319416)
transform: esp-aes esp-sha256-hmac ,
in use settings ={Transport, }
conn id: 4, flow_id: SW:4, sibling_flags 80000000, crypto map: radius
sa timing: remaining key lifetime (k/sec): (4242722/3056)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
ise-esr5921#
라이브 인증은 일반 PAP_ASCII 인증을 나타냅니다.
ISE의 GE1 인터페이스에서 캡처하고 ESP 또는 Tacacs로 필터링한 다음 일반 텍스트에 Tacacs가 없음을 확인하고 모든 트래픽이 암호화됩니다.
IPSEC과 관련된 문제를 트러블슈팅하는 데 일반적인 VPN 트러블슈팅 기술을 적용할 수 있습니다. 아래에서 유용한 문서를 찾을 수 있습니다.
PSK를 사용하는 사이트 간 VPN에 대한 IOS IKEv2 디버깅 문제 해결 기술참고
PSK를 사용하는 사이트 간 VPN에 대한 ASA IKEv2 디버깅
FlexVPN을 사용하여 RADIUS 트래픽을 보호할 수도 있습니다. 아래 예에서는 다음 토폴로지가 사용됩니다.
FlexVPN 구성은 간단합니다. 자세한 내용은 여기를 참조하십시오.
http://www.cisco.com/c/en/us/support/docs/security/flexvpn/115782-flexvpn-site-to-site-00.html
aaa new-model
!
!
aaa group server tacacs+ ISE_TACACS
server name ISE22_VRF
ip vrf forwarding TACACS
!
aaa authentication login default group ISE_TACACS
aaa authorization exec default group ISE_TACACS
aaa authorization network default local
!
crypto ikev2 authorization policy default
route set interface Loopback0
no route set interface
!
!
crypto ikev2 keyring mykeys
peer ISE22
address 10.48.17.87
pre-shared-key Krakow123
!
!
!
crypto ikev2 profile default
match identity remote address 10.48.17.87 255.255.255.255
authentication remote pre-share (with the command authentication remote pre-share keyin place keyring is not required)
authentication local pre-share
keyring local mykeys
aaa authorization group psk list default default
!
!
ip tftp source-interface GigabitEthernet0
!
!
!
crypto ipsec profile default
set ikev2-profile default (it is default configuration)
!
!
!
interface Loopback0
ip vrf forwarding TACACS
ip address 100.100.100.100 255.255.255.0
!
interface Tunnel0
ip vrf forwarding TACACS
ip address 10.1.12.1 255.255.255.0
tunnel source GigabitEthernet0/0/0
tunnel mode ipsec ipv4
tunnel destination 10.48.17.87
tunnel protection ipsec profile default
!
interface GigabitEthernet0/0/0
ip address 10.48.23.68 255.255.255.0
negotiation auto
!
!
ip route 0.0.0.0 0.0.0.0 10.48.23.1
ip tacacs source-interface Loopback0
!
!
tacacs server ISE22_VRF
address ipv4 10.1.1.2
key cisco
!
ISR4451#
ise-esr5921#sh run
Building configuration...
Current configuration : 5778 bytes
!
! Last configuration change at 17:32:58 CET Thu Feb 23 2017
!
version 15.5
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service call-home
!
hostname ise-esr5921
!
boot-start-marker
boot host unix:default-config
boot-end-marker
!
!
!
no aaa new-model
bsd-client server url https://cloudsso.cisco.com/as/token.oauth2
clock timezone CET 1 0
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
call-home
! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
contact-email-addr sch-smart-licensing@cisco.com
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email
!
!
!
!
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
crypto pki trustpoint SLA-TrustPoint
enrollment pkcs12
revocation-check crl
!
!
crypto pki certificate chain SLA-TrustPoint
certificate ca 01
30820321 30820209 A0030201 02020101 300D0609 2A864886 F70D0101 0B050030
32310E30 0C060355 040A1305 43697363 6F312030 1E060355 04031317 43697363
6F204C69 63656E73 696E6720 526F6F74 20434130 1E170D31 33303533 30313934
3834375A 170D3338 30353330 31393438 34375A30 32310E30 0C060355 040A1305
43697363 6F312030 1E060355 04031317 43697363 6F204C69 63656E73 696E6720
526F6F74 20434130 82012230 0D06092A 864886F7 0D010101 05000382 010F0030
82010A02 82010100 A6BCBD96 131E05F7 145EA72C 2CD686E6 17222EA1 F1EFF64D
CBB4C798 212AA147 C655D8D7 9471380D 8711441E 1AAF071A 9CAE6388 8A38E520
1C394D78 462EF239 C659F715 B98C0A59 5BBB5CBD 0CFEBEA3 700A8BF7 D8F256EE
4AA4E80D DB6FD1C9 60B1FD18 FFC69C96 6FA68957 A2617DE7 104FDC5F EA2956AC
7390A3EB 2B5436AD C847A2C5 DAB553EB 69A9A535 58E9F3E3 C0BD23CF 58BD7188
68E69491 20F320E7 948E71D7 AE3BCC84 F10684C7 4BC8E00F 539BA42B 42C68BB7
C7479096 B4CB2D62 EA2F505D C7B062A4 6811D95B E8250FC4 5D5D5FB8 8F27D191
C55F0D76 61F9A4CD 3D992327 A8BB03BD 4E6D7069 7CBADF8B DF5F4368 95135E44
DFC7C6CF 04DD7FD1 02030100 01A34230 40300E06 03551D0F 0101FF04 04030201
06300F06 03551D13 0101FF04 05300301 01FF301D 0603551D 0E041604 1449DC85
4B3D31E5 1B3E6A17 606AF333 3D3B4C73 E8300D06 092A8648 86F70D01 010B0500
03820101 00507F24 D3932A66 86025D9F E838AE5C 6D4DF6B0 49631C78 240DA905
604EDCDE FF4FED2B 77FC460E CD636FDB DD44681E 3A5673AB 9093D3B1 6C9E3D8B
D98987BF E40CBD9E 1AECA0C2 2189BB5C 8FA85686 CD98B646 5575B146 8DFC66A8
467A3DF4 4D565700 6ADF0F0D CF835015 3C04FF7C 21E878AC 11BA9CD2 55A9232C
7CA7B7E6 C1AF74F6 152E99B7 B1FCF9BB E973DE7F 5BDDEB86 C71E3B49 1765308B
5FB0DA06 B92AFE7F 494E8A9E 07B85737 F3A58BE1 1A48A229 C37C1E69 39F08678
80DDCD16 D6BACECA EEBC7CF9 8428787B 35202CDC 60E4616A B623CDBD 230E3AFB
418616A9 4093E049 4D10AB75 27E86F73 932E35B5 8862FDAE 0275156F 719BB2F0
D697DF7F 28
quit
license udi pid CISCO5921-K9 sn 98492083R3X
username lab password 0 lab
!
redundancy
!
!
!
crypto keyring MVPN-spokes
pre-shared-key address 0.0.0.0 0.0.0.0 key Krakow123
crypto ikev2 authorization policy default
route set interface
route set remote ipv4 10.1.1.0 255.255.255.0
!
!
!
crypto ikev2 keyring mykeys
peer ISR4451
address 10.48.23.68
pre-shared-key Krakow123
!
!
!
crypto ikev2 profile default
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local mykeys
aaa authorization group psk list default default local
virtual-template 1
!
!
crypto isakmp policy 10
encr aes
hash sha256
authentication pre-share
group 16
!
crypto isakmp policy 20
encr aes
hash sha256
authentication pre-share
group 14
crypto isakmp key Krakow123 address 0.0.0.0
crypto isakmp profile MVPN-profile
description LAN-to-LAN for spoke router(s) connection
keyring MVPN-spokes
match identity address 0.0.0.0
!
!
crypto ipsec transform-set radius esp-aes esp-sha256-hmac
mode tunnel
crypto ipsec transform-set radius-2 esp-aes esp-sha256-hmac
mode transport
!
!
!
crypto dynamic-map MVPN-dynmap 10
set transform-set radius radius-2
!
!
crypto map radius 10 ipsec-isakmp dynamic MVPN-dynmap
!
!
!
!
!
interface Loopback0
ip address 10.1.12.2 255.255.255.0
!
interface Ethernet0/0
description e0/0->connection to external NAD
ip address 10.48.17.87 255.255.255.0
ip nat outside
ip virtual-reassembly in
no ip route-cache
crypto map radius
!
interface Ethernet0/1
description e0/1->tap0 internal connection to ISE
ip address 10.1.1.1 255.255.255.252
ip nat inside
ip virtual-reassembly in
no ip route-cache
!
interface Ethernet0/2
description e0/2->connection to CSSM backend license server
no ip address
ip virtual-reassembly in
no ip route-cache
!
interface Ethernet0/3
no ip address
shutdown
!
interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile default
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Ethernet0/0 overload
ip nat inside source static udp 10.1.1.2 1645 interface Ethernet0/0 1645
ip nat inside source static udp 10.1.1.2 1646 interface Ethernet0/0 1646
ip nat inside source static udp 10.1.1.2 1812 interface Ethernet0/0 1812
ip nat inside source static udp 10.1.1.2 1813 interface Ethernet0/0 1813
ip nat inside source static tcp 10.1.1.2 49 interface Ethernet0/0 49
ip route 0.0.0.0 0.0.0.0 10.48.17.1
!
!
!
access-list 1 permit 10.1.1.0 0.0.0.3
!
control-plane
!
!
!
!
!
!
!
!
!
!
!
!
line con 0
logging synchronous
line aux 0
line vty 0 4
login
transport input none
!
!
end
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
01-Apr-2017 |
최초 릴리스 |