EdgeRouter - EdgeRouter와 Cisco ASA 사이의 IPsec 경로 기반 (VTI) 사이트 투 사이트 VPN ==================================================================== download at 2017-09-01T16:30:19Z `origin `_  Overview -------------- 이 문서는 EdgeRouter와 Cisco ASA 사이에서 고정 라우팅을 사용하여 경로 기반 사이트 투 사이트 VPN을 구성하는 방법에 대하여 서술합니다. 경로 기반 VPN은 가상 터널 인터페이스와 라우팅 엔트리의 사용에 따라서 특징지을 수 있습니다. 경로 기반 VPN과 달리 정책 기반 VPN은 로컬, 원격 서브넷 정의에 따라서 달라기재 됩니다. 이 문서의 예제는 고정 라우팅에 집중하며, OPSF를 터널에 사용하여 동적 라우팅 프로토콜을 사용할 수도 있습니다. |book_25x25.png| **NOTES & REQUIREMENTS:** EdgeOS 1.9.7 이상의 펌웨어가 설치된 모든 EdgeRouter 모델에서 적용 가능합니다. 커맨드라인 인터페이스와 Cisco IOS, 고급 네트워킹에 대한 지식이 요구됩니다. 해당 주제에 대한 내용은 `관련 문서 <#related%20articles>`__ 섹션의 문서를 확인하시기 바랍니다. 이 문서에서 사용한 장비: - `EdgeRouter-X (ER-X) `__ - Cisco ASA - 피어의 테스트 클라이언트 (Host1 and Server1) Table of Contents -------------- #. `네트워크 다이어그램 <#diagram>`__ #. `Steps: 경로기반 VPN <#policy%20vpn>`__ #. `Steps: Cisco ASA VPN <#juniper%20vpn>`__ #. `Steps: 테스팅 및 검증 <#testing%20verification>`__ #. `관련 문서 <#related%20articles>`__ -------------- 네트워크 다이어그램 -------------- `맨위로 가기 <#top>`__ EdgeRouter와 Cisco ASA에서 사용하는 인터페이스와 네트워크 토폴로지 정보는 아래와 같습니다: **ER-X** - eth0 (WAN) - 203.0.113.1 - eth1 (LAN) - 192.168.1.1/24 - vti0 - 10.255.12.1/30  **Cisco ASA** - gi0/0 (WAN) - 192.0.2.1 - gi0/1 (LAN) - 172.16.1.1/24 - tun0 - 10.255.12.2/30 |image1| -------------- Steps: 경로 기반 VPN -------------- `맨위로 가기 <#top>`__ 라우팅과 인터페이스 설정은 이미 완료했으며, 서로 통신이 가능하다고 가정합니다. IPsec과 관련있는 UDP 포트와 프로토콜은 다음과 같습니다: #. UDP 500 (IKE) #. ESP (프로토콜 50) #. UDP 4500 (NAT-T) 생성하는 VPN 타입은 IPsec 터널의 고정 VTI (IPIP 캡슐화)으로 명명합니다. VTI 인터페이스 (vti0)을 통해 패킷은 라우팅 되며, 이후에 IPsec을 사용하여 암호화 하는 것을 의미합니다. 고정 경로는 사이트간 라우팅을 원활하게 할 것입니다. ER 환경설정을 수행하고 ASA 환경설정을 진행합니다. |CLI_circle.png| **CLI STEPS:** 커맨드라인 인터페이스에 접속합니다. GUI의 CLI 버튼을 사용하거나 PuTTY와 같은 프로그램을 사용합니다. 1. 환경설정 모드로 진입합니다. :: configure 2. 방화벽 룰 자동생성을 허용하고, NAT에서 발생한 IPsec 트래픽을 제외합니다. :: set vpn ipsec auto-firewall-nat-exclude enable 3. IKE 프로포절 (P1)과 보안 설정을 생성합니다. :: set vpn ipsec ike-group FOO0 lifetime 86400 set vpn ipsec ike-group FOO0 proposal 1 dh-group 14 set vpn ipsec ike-group FOO0 proposal 1 encryption aes256 set vpn ipsec ike-group FOO0 proposal 1 hash sha256 4. ESP 프로포절 (P2)과 보안 설정을 생성합니다. :: set vpn ipsec esp-group FOO0 lifetime 43200 set vpn ipsec esp-group FOO0 pfs disable set vpn ipsec esp-group FOO0 proposal 1 encryption aes128 set vpn ipsec esp-group FOO0 proposal 1 hash md5 |info_i_25x25.png| .. Note:: 이 예제에서 보안 설정은 VPN 성능, 지속성, 보안을 극대화하기위해 선택하였습니다. IKE 프로포절은 보안 (AES256 + SHA256)에 주안점을 두고, ESP 프로포절은 성능 (AES128 + MD5)에 주안점을 두었습니다. 보안 설정으로 어떤 설정을 선택하던지, 단계 1 (P1)와 단계 2 (P2)는 양쪽 커넥션에 동일하게 설정해야 합니다. 5. 피어 주소와 미리 공유할 키를 정의합니다. (은 원하는 패스워드로 변경합니다.) :: set vpn ipsec site-to-site peer 192.0.2.1 authentication mode pre-shared-secret set vpn ipsec site-to-site peer 192.0.2.1 authentication pre-shared-secret set vpn ipsec site-to-site peer 192.0.2.1 description IPsec 6. 사이트 투 사이트 VPN 커넥션의 로컬 소스 주소 (퍼블릭 IP)를 정의합니다. :: set vpn ipsec site-to-site peer 192.0.2.1 local-address 203.0.113.1 |info_i_25x25.png| .. Note:: 현재 경로 기반 VTI 환경설정은 동적 피어 주소와 전체 주소 도메인 네임을 지원하지 않습니다. VTI 종단은 알고 있는 주소로 연결해야 합니다. \ **local-address any**\ 혹은 \ **peer 0.0.0.0**\ 는 동작하지 않습니다. 7. IKE 프로포절을 사이트 투 사이트 커넥션에 연결합니다. :: set vpn ipsec site-to-site peer 192.0.2.1 ike-group FOO0 8. 터널을 생성하여 원격지와 로컬 서브넷을 정의하고, ESP 프로포절과 연결합니다. :: set vpn ipsec site-to-site peer 192.0.2.1 vti bind vti0 set vpn ipsec site-to-site peer 192.0.2.1 vti esp-group FOO0 9. (선택사항) IPsec 오프로딩 기능을 활성화 하여 ESP 성능을 향상시킵니다. :: set system offload ipsec enable (this requires a reboot to become active) 10. VPN이 사용할 VTI를 생성하고 IP 주소를 부여합니다. :: set interfaces vti vti0 address 10.255.12.1/30 |info_i_25x25.png| .. Note:: RFC1918 IP 주소를 터널 인터페이스에 사용하는 것을 권장합니다. IP 주소는 라우터나 라우팅 테이블에 존재하면 안됩니다. 11. (선택사항) VTI 인터페이스의 MTU 세팅을 낮춥니다. :: set interfaces vti vti0 mtu 1400 |info_i_25x25.png| .. Note:: GRE 터널과 달리 VTI 인터페이스는 24 바이트의 오버헤드를 요구하지 않습니다. MTU 값은 IPsec 오버헤드에 따라서 자동적으로 낮아질 수 있습니다. 몇 경우에서는 커넥션 (HTTPS 와 SSH)이 실패할 수도 있습니다. 이 경우에는 터널의 MTU 값을 낮추어서 조정할 수 있습니다. 1400은 단편화를 예방하는 좋은 기준점입니다. 상황에 따라서 MTU 값을 조정해야합니다. 12. VTI를 향하는 원격 서브넷 라우팅 엔트리를 생성합니다. :: set protocols static interface-route 172.16.1.0/24 next-hop-interface vti0 13. IPsec 터널을 제거합니다. :: delete vpn ipsec site-to-site peer 192.0.2.1 tunnel 1 14. 생성한 VTI 인터페이스와 IPsec 피어 설정을 연결합니다. :: set vpn ipsec site-to-site peer 192.0.2.1 vti bind vti0 set vpn ipsec site-to-site peer 192.0.2.1 vti esp-group FOO0 15. (선택사항) IPsec 오프로딩 기능을 활성화 하여 ESP 성능을 향상시킵니다. :: set system offload ipsec enable (this requires a reboot to become active) 16. 변경사항을 커밋합니다. :: commit 17. 환경설정을 저장합니다. -------------- Steps: Cisco ASA VPN -------------- `맨위로 가기 <#top>`__ Cisco Adaptive Security Appliance (ASA)의 최신 버전과 장비에 인터넷이 연결되어있음을 확인하십시오. Cisco의 사이트 투 사이트 VPN 커넥션은 다음 IPsec 문서를 기준으로 합니다. `Configure a Site-to-Site IPSec IKEv1 Tunnel `__ |CLI_circle.png|  **CLI STEPS:** IOS의 커맨드라인 인터페이스에 접속합니다. 1. 환경설정 모드로 진입합니다. :: configure terminal 2. 인터페이스 이름을 정의하고 보안 수준과 라우팅을 설정합니다. :: interface gi0/0 nameif outside security-level 0 ip address 192.0.2.1 255.255.255.252 interface gi0/1 nameif inside security-level 100 ip address 172.16.1.1 255.255.255.0 route outside 0.0.0.0 0.0.0.0 192.0.2.2 3. 네트워크 객체를 설정하여 원격지, 로컬 서브넷과 일치하도록 합니다. :: object network obj-local subnet 172.16.1.0 255.255.255.0 object network obj-remote subnet 192.168.1.0 255.255.255.0 4. EdgeRouter에 IKE 정책을 생성하여 보안 설정을 매칭합니다. :: crypto ikev1 policy 100 authentication pre-share encryption aes-256 hash sha group 5 lifetime 86400 5. EdgeRouter의 보안 설정과 일치하도는 IPsec 트랜스폼 셋(IPsec\_TS)를 생성합니다. :: crypto ipsec ikev1 transform-set IPsec_TS esp-aes esp-md5-hmac 6. 터널 그룹과 미리 공유할 키를 생성합니다. (을 원하는 비밀번호로 변경합니다.) :: tunnel-group 203.0.113.1 type ipsec-l2l tunnel-group 203.0.113.1 ipsec-attributes ikev1 pre-shared-key 7. IPsec 프로파일 (IPsec\_PF)을 생성하고 IPsec 트랜스폼셋과 P2 기간동안 연결합니다. :: crypto ipsec profile IPsec_PF set ikev1 transform-set IPsec_TS set security-association lifetime seconds 43200 8. 터널 인터페이스 (tun)을 생성하고, IPsec 프로파일과 연결하여 터널모드와 소스/목적지 주소를 정의합니다. :: interface tun0 nameif vti ip address 10.255.12.2 255.255.255.252 tunnel source interface outside tunnel destination 203.0.113.1 tunnel mode ipsec ipv4 tunnel protection ipsec profile IPsec_PF 9. (선택사항) tun0 인터페이스의 MTU 세팅값을 낮춥니다. :: interface tun0 ip mtu 1400 :: crypto ikev1 enable outside 10. IKE 프로세스를 활성화 합니다. :: crypto ikev1 enable outside 11. 스타트업 설정에 변경내역을 작성합니다. :: copy running-config startup-config -------------- Steps: 테스팅 및 검증 -------------- `맨위로 가기 <#top>`__ IPsec VPN을 설정하고 난 이후에는 커넥션/상태를 다음 명령어를 통해서 검증할 수 있습니다. 1. IPsec 보안 옵션을 검증하고 ER의 상태를 확인합니다: :: show vpn ipsec sa peer-192.0.2.1-tunnel-vti: #4, ESTABLISHED, IKEv1, 24d45792c4976ca4:f4b8de413b632a7c  local  '203.0.113.1' @ 203.0.113.1  remote '192.0.2.1' @ 192.0.2.1  AES_CBC-256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048  established 13s ago, reauth in 85578s  peer-192.0.2.1-tunnel-vti: #1, INSTALLED, TUNNEL, ESP:AES_CBC-128/HMAC_MD5_96    installed 13 ago, rekeying in 42249s, expires in 43187s    in  cf09bc59,    500 bytes,     5 packets,     5s ago    out 769b07da,    500 bytes,     5 packets,     5s ago    local  0.0.0.0/0    remote 0.0.0.0/0 sudo ipsec statusall Status of IKE charon daemon (strongSwan 5.2.2, Linux 3.10.14-UBNT, mips):  uptime: 22 minutes, since Mar 12 09:34:36 2017  malloc: sbrk 376832, mmap 0, used 272632, free 104200  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 8 Listening IP addresses:  203.0.113.1  192.168.1.1  10.255.12.1 Connections: peer-192.0.2.1-tunnel-vti:  203.0.113.1...192.0.2.1  IKEv1 peer-192.0.2.1-tunnel-vti:   local:  [203.0.113.1] uses pre-shared key authentication peer-192.0.2.1-tunnel-vti:   remote: [192.0.2.1] uses pre-shared key authentication peer-192.0.2.1-tunnel-vti:   child:  0.0.0.0/0 === 0.0.0.0/0 TUNNEL Routed Connections: peer-192.0.2.1-tunnel-vti{1}:  ROUTED, TUNNEL peer-192.0.2.1-tunnel-vti{1}:   0.0.0.0/0 === 0.0.0.0/0 Security Associations (1 up, 0 connecting): peer-192.0.2.1-tunnel-vti[4]: ESTABLISHED 74 seconds ago, 203.0.113.1[203.0.113.1]...192.0.2.1[192.0.2.1] peer-192.0.2.1-tunnel-vti[4]: IKEv1 SPIs: 24d45792c4976ca4_i f4b8de413b632a7c_r*, pre-shared key reauthentication in 23 hours peer-192.0.2.1-tunnel-vti[4]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048 peer-192.0.2.1-tunnel-vti{1}:  INSTALLED, TUNNEL, ESP SPIs: cf09bc59_i 769b07da_o peer-192.0.2.1-tunnel-vti{1}:  AES_CBC_128/HMAC_MD5_96, 500 bytes_i (5 pkts, 66s ago), 500 bytes_o (5 pkts, 66s ago) peer-192.0.2.1-tunnel-vti{1}:   0.0.0.0/0 === 0.0.0.0/0 2. ER IPsec strongSwan 환경설정을 검증합니다: :: sudo cat /etc/ipsec.conf # generated by /opt/vyatta/sbin/vpn-config.pl config setup conn %default        keyexchange=ikev1 conn peer-192.0.2.1-tunnel-vti        left=203.0.113.1        right=192.0.2.1        leftsubnet=0.0.0.0/0        rightsubnet=0.0.0.0/0        ike=aes256-sha256-modp2048!        keyexchange=ikev1        ikelifetime=86400s        esp=aes128-md5!        keylife=43200s        rekeymargin=540s        type=tunnel        compress=no        authby=secret        mark=9437185        auto=route        keyingtries=%forever #conn peer-192.0.2.1-tunnel-vti 3. ER 외부 WAN 인터페이스를 통해서 수신하는 IKE 트래픽을 캡쳐합니다: :: sudo tcpdump -i eth0 -n udp dst port 500    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes IP 203.0.113.1.500 > 192.0.2.1.500: isakmp: phase 1 I ident IP 192.0.2.1.500 > 203.0.113.1.500: isakmp: phase 1 R ident IP 203.0.113.1.500 > 192.0.2.1.500: isakmp: phase 1 I ident[E] IP 192.0.2.1.500 > 203.0.113.1.500: isakmp: phase 1 R ident[E] IP 203.0.113.1.500 > 192.0.2.1.500: isakmp: phase 2/others I oakley-quick[E] IP 192.0.2.1.500 > 203.0.113.1.500: isakmp: phase 2/others R oakley-quick[E] |info_i_25x25.png| .. Note:: 실시간 캡쳐의 결과이므로 아무런 결과가 발견되지 않는다면 클라이언트가 트래픽을 생성하지 않거나 트래픽 업스트림이 차단당한 것일수도 있습니다. 4. ER IPsec VPN 로그를 확인합니다: :: sudo swanctl --log [IKE] initiating Main Mode IKE_SA peer-192.0.2.1-tunnel-1[1] to 192.0.2.1 [ENC] generating ID_PROT request 0 [ SA V V V V ] [NET] sending packet: from 203.0.113.1[500] to 192.0.2.1[500] (160 bytes) [NET] received packet: from 192.0.2.1[500] to 203.0.113.1[500] (108 bytes) [ENC] parsed ID_PROT response 0 [ SA V ] [IKE] received NAT-T (RFC 3947) vendor ID [ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ] [ENC] parsed ID_PROT response 0 [ KE No V V V V NAT-D NAT-D ] [ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ] [ENC] parsed ID_PROT response 0 [ ID HASH ] [IKE] IKE_SA peer-192.0.2.1-tunnel-1[1] established between 203.0.113.1[203.0.113.1]...192.0.2.1[192.0.2.1] [ENC] generating QUICK_MODE request 561157166 [ HASH SA No ID ID ] [ENC] parsed QUICK_MODE response 561157166 [ HASH SA No ID ID N((24576)) ] [IKE] CHILD_SA peer-192.0.2.1-tunnel-vti{1} established with SPIs cad56e88_i 86968a35_o and TS 0.0.0.0/0 === 0.0.0.0/0 |info_i_25x25.png| .. Note:: 실시간 캡쳐 결과이므로 출력이 보이지 않는다면, 트래픽이 방화벽을 통해서 허용되었는지 확인하십시오. 다른 방법으로는 \ **show vpn log \| no-more**\ 명령어를 통해서 전체 IPsec 로그 히스토리를 확인할 수 있습니다. 5. 터널의 ER 상태를 확인하고 터널로 전송하는 트래픽을 캡쳐합니다: :: show interfaces vti vti0 vti0: mtu 1400 qdisc noqueue state UNKNOWN group default    link/ipip 203.0.113.1 peer 192.0.2.1    inet 10.255.12.1/30 scope global vti0       valid_lft forever preferred_lft forever    RX:  bytes    packets     errors    dropped    overrun      mcast          1600         19          0          0          0          0    TX:  bytes    packets     errors    dropped    carrier collisions          1332         14          0          0          0          0 show interfaces vti vti0 capture IP 172.16.1.10 > 192.168.1.10: ICMP echo request, id 12993, seq 18, length 64 IP 192.168.1.10 > 172.16.1.10: ICMP echo reply, id 12993, seq 18, length 64 IP 172.16.1.10 > 192.168.1.10: ICMP echo request, id 12993, seq 19, length 64 IP 192.168.1.10 > 172.16.1.10: ICMP echo reply, id 12993, seq 19, length 64 6. IPsec 보안 설정을 확인하고 ASA의 통계치를 확인합니다: :: show crypto ikev1 sa IKEv1 SAs: Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 203.0.113.1 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE show crypto ikev1 sa detail IKEv1 SAs: Active SA: 1 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey) Total IKE SA: 1 1 IKE Peer: 203.0.113.1 Type : L2L Role : initiator Rekey : no State : MM_ACTIVE Encrypt : aes-256 Hash : SHA Auth : preshared Lifetime: 86400 Lifetime Remaining: 85618 show vpn-sessiondb detail l2l Session Type: LAN-to-LAN Detailed Connection : 203.0.113.1 Index : 11 IP Addr : 203.0.113.1 Protocol : IKEv1 IPsec Encryption : IKEv1: (1)AES256 IPsec: (1)AES128 Hashing : IKEv1: (1)SHA1 IPsec: (1)MD5 Bytes Tx : 4948 Bytes Rx : 6504 Login Time : 02:06:09 UTC Tue Jul 18 2017 Duration : 0h:13m:26s IKEv1 Tunnels: 1 IPsec Tunnels: 1 IKEv1: Tunnel ID : 11.1 UDP Src Port : 500 UDP Dst Port : 500 IKE Neg Mode : Main Auth Mode : preSharedKeys Encryption : AES256 Hashing : SHA1 Rekey Int (T): 86400 Seconds Rekey Left(T): 85594 Seconds D/H Group : 5 Filter Name : IPsec: Tunnel ID : 11.2 Local Addr : 0.0.0.0/0.0.0.0/0/0 Remote Addr : 0.0.0.0/0.0.0.0/0/0 Encryption : AES128 Hashing : MD5 Encapsulation: Tunnel Rekey Int (T): 43200 Seconds Rekey Left(T): 42684 Seconds Rekey Int (D): 4608000 K-Bytes Rekey Left(D): 4607994 K-Bytes Idle Time Out: 30 Minutes Idle TO Left : 27 Minutes Bytes Tx : 4948 Bytes Rx : 6504 Pkts Tx : 57 Pkts Rx : 80 show crypto ipsec sa detail interface: vti Crypto map tag: __vti-crypto-map-4-0-0, seq num: 65280, local addr: 192.0.2.1 access-list __vti-def-acl-0 extended permit ip any any local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer: 203.0.113.1 #pkts encaps: 57, #pkts encrypt: 57, #pkts digest: 57 #pkts decaps: 80, #pkts decrypt: 80, #pkts verify: 80 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 57, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #TFC rcvd: 0, #TFC sent: 0 #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0 #pkts no sa (send): 0, #pkts invalid sa (rcv): 0 #pkts encaps failed (send): 0, #pkts decaps failed (rcv): 0 #pkts invalid prot (rcv): 0, #pkts verify failed: 0 #pkts invalid identity (rcv): 0, #pkts invalid len (rcv): 0 #pkts invalid pad (rcv): 0, #pkts invalid ip version (rcv): 0, #pkts replay rollover (send): 0, #pkts replay rollover (rcv): 0 #pkts replay failed (rcv): 0 #pkts min mtu frag failed (send): 0, #pkts bad frag offset (rcv): 0 #pkts internal err (send): 0, #pkts internal err (rcv): 0 local crypto endpt.: 192.0.2.1/0, remote crypto endpt.: 203.0.113.1/0 path mtu 1500, ipsec overhead 74(44), media mtu 1500 PMTU time remaining (sec): 0, DF policy: copy-df ICMP error validation: disabled, TFC packets: disabled current outbound spi: 4CAD006F current inbound spi : 87786D14 inbound esp sas: spi: 0x87786D14 (2272816404) transform: esp-aes esp-md5-hmac no compression in use settings ={L2L, Tunnel, IKEv1, VTI, } slot: 0, conn_id: 45056, crypto-map: __vti-crypto-map-4-0-0  sa timing: remaining key lifetime (kB/sec): (4373999/42800) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0xFFFFFFFF 0xFFFFFFFF outbound esp sas: spi: 0x4CAD006F (1286406255) transform: esp-aes esp-md5-hmac no compression in use settings ={L2L, Tunnel, IKEv1, VTI, } slot: 0, conn_id: 45056, crypto-map: __vti-crypto-map-4-0-0  sa timing: remaining key lifetime (kB/sec): (4373999/42800) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 7. 터널의 ASA 상태를 검증합니다: :: show interface tunnel 0 Interface Tunnel0 "vti", is up, line protocol is up Hardware is Virtual Tunnel MAC address N/A, MTU 1400 IP address 10.255.12.2, subnet mask 255.255.255.252 Tunnel Interface Information: Source interface: outside IP address: 192.0.2.1 Destination IP address: 203.0.113.1 Mode: ipsec ipv4 IPsec profile: IPsec_PF 8. ASA의 P1 negotiation을 콘솔에서 디버깅합니다 (디버깅 레벨 2): :: debug crypto ikev1 2 [IKEv1]IP = 203.0.113.1, Connection landed on tunnel_group 203.0.113.1 [IKEv1]IP = 203.0.113.1, Connection landed on tunnel_group 203.0.113.1 [IKEv1]Group = 203.0.113.1, IP = 203.0.113.1, PHASE 1 COMPLETED [IKEv1]Group = 203.0.113.1, IP = 203.0.113.1, Add to IKEv1 Tunnel Table succeeded for SA with logical ID 28672 [IKEv1]Group = 203.0.113.1, IP = 203.0.113.1, Add to IKEv1 MIB Table succeeded for SA with logical ID 28672 [IKEv1]Group = 203.0.113.1, IP = 203.0.113.1, Security negotiation complete for LAN-to-LAN Group (203.0.113.1) Initiator [IKEv1]Group = 203.0.113.1, IP = 203.0.113.1, PHASE 2 COMPLETED (msgid=f4c19c33) 9. Server1 과 Host1사이에 터널을 통해 트래픽을 전송해봅니다: :: sudo traceroute -n 192.168.1.10 traceroute to 192.168.1.10 (192.168.1.10), 30 hops max, 60 byte packets 1  172.16.1.1 (172.16.1.1)  1.846 ms  1.824 ms  1.812 ms 2  10.255.12.1 (10.255.12.1)  49.158 ms  53.873 ms  55.646 ms 3  192.168.1.10 (192.168.1.10)  57.799 ms *  59.623 ms sudo traceroute -n 172.16.1.10 traceroute to 172.16.1.10 (172.16.1.10), 30 hops max, 60 byte packets 1  192.168.1.1 (192.168.1.1)  1.726 ms  1.734 ms  1.712 ms 2  10.255.12.2 (10.255.12.2)  46.268 ms  48.562 ms  49.542 ms 3  172.16.1.10 (172.16.1.10)  56.236 ms *  55.567 ms -------------- 관련 문서 -------------- `맨위로 가기 <#top>`__ - `EdgeRouter - EdgeRouter와 Cisco ASA 사이의 IPsec 정책 기반 사이트 투 사이트 VPN `__ - `EdgeRouter - EdgeRouter와 Cisco ISR 사이의 IPsec 경로 기반 사이트 투 사이트 VPN `__ - `EdgeRouter - EdgeRouter와 Cisco ISR 사이의 IPsec 정책 기반 사이트 투 사이트 VPN `__ - `네트워킹 개론 - SSH를 사용하여 어떻게 커넥션을 생성하는가 `__ - `EdgeRouter - 하드웨어 오프로딩 `__   .. |book_25x25.png| image:: /hc/article_attachments/115018511588/book_25x25.png .. |image1| image:: /hc/article_attachments/115020710888/mceclip0.png .. |CLI_circle.png| image:: /hc/article_attachments/115018681247/CLI_circle.png .. |info_i_25x25.png| image:: /hc/article_attachments/115018681307/info_i_25x25.png .. |CLI_circle.png| image:: /hc/article_attachments/115018511528/CLI_circle.png .. |info_i_25x25.png| image:: /hc/article_attachments/115018511548/info_i_25x25.png