Mô hình:
Mô hình lab VPN Site to Site [Cisco]
1. Chuẩn bị:
+ Đối với thiết bị thật: 3 router cisco 2800, 2 pc chạy windows xp
+ Đối với thiết bị giả lập:
- Sử dụng chương trình GNS3
- Hyper Terminal
- Ios router 3700
- Chương trình Vmware
- 2 windows xp chạy trên vmware
2. Bước 1: Cấu hình cơ bản:
Đặt địa chỉ IP như hình cho các router ở SAIGON, ISP và BINHPHUOC
Tại router SAIGON:
SAIGON[config]
interface f0/0
SAIGON[config-if]
ip address 192.168.1.1 255.255.255.0
SAIGON[config-if]
no shutdown
SAIGON[config]
interface s0/0
SAIGON[config-if]
ip address 150.1.1.1 255.255.255.0
SAIGON[config-if]
no shutdown
Tại router ISP:
ISP[config]
interface s0/0
ISP[config-if]
ip address 150.1.1.2 255.255.255.0
ISP[config-if]
no shutdown
ISP[config]
interface s0/1
ISP[config-if]
ip address 151.1.1.2 255.255.255.0
ISP[config-if]
no shutdown
Tại router BINHPHUOC:
BINHPHUOC[config]
interface f0/0
BINHPHUOC[config-if]
ip address 192.168.2.1 255.255.255.0
BINHPHUOC[config-if]
no shutdown
BINHPHUOC[config]
interface s0/0
BINHPHUOC[config-if]
ip address 151.1.1.1 255.255.255.0
BINHPHUOC[config-if]
no shutdown
Đặt địa chỉ cho máy Client_Saigon như sau:
Đặt địa chỉ cho máy Client_Binhphuoc như sau:
3. Bước 2: Định tuyến cho hệ thống mạng
Tại router SAIGON:
SAIGON[config]
router rip
SAIGON[config-router]
network 150.1.1.0
SAIGON[config-router]
network 192.168.1.0
Tại router ISP:
ISP[config]
router rip
ISP[config-router]
network 150.1.1.0
ISP[config-router]
network 151.1.1.0
Tại router BINHPHUOC:
BINHPHUOC[config]
router rip
BINHPHUOC[config-router]
network 151.1.1.0
BINHPHUOC[config-router]
network 192.168.2.0
4. Bước 3: Cấu hình chính sách IKE [chính sách pha 1]
Tại router SAIGON:
SAIGON[config]
crypto isakmp policy 10
SAIGON[config-isakmp]
hash md5
SAIGON[config-isakmp]
encryption des
SAIGON[config-isakmp]
group 2
SAIGON[config-isakmp]
authentication pre-share
Tại router BINHPHUOC:
BINHPHUOC[config]
crypto isakmp policy 10
BINHPHUOC[config-isakmp]
hash md5
BINHPHUOC[config-isakmp]
encryption des
BINHPHUOC[config-isakmp]
group 2
BINHPHUOC[config-isakmp]
authentication pre-share
5. Bước 4: Xác định thông tin key và peer
Tại router SAIGON:
SAIGON[config]
crypto isakmp key 0 vnpro123 address 151.1.1.1
Tại router BINHPHUOC:
BINHPHUOC[config]
crypto isakmp key 0 vnpro123 address 150.1.1.1
6.Bước 5: Cấu hình chính sách IPSec [chính sách pha 2] '
Tại router SAIGON:
SAIGON[config]
crypto ipsec transform-set MYSET esp-md5-hmac esp-des
Tại router BINHPHUOC:
BINHPHUOC[config]
crypto ipsec transform-set MYSET esp-md5-hmac esp-des
Trần Huỳnh Hiệp – VnPro
Thông tin khác
- » Dữ liệu ngày 2/11/2017 [03.11.2017]
- » Dữ liệu ngày 3/11/2017 [03.11.2017]
- » Các loại địa chỉ IPv6 đặc biệt và cấu trúc của IPv6 [25.10.2017]
- » Thiết lập quan hệ láng giềng trong BGP [25.10.2017]
- » Quá trình roaming layer 3 trong wireless [25.10.2017]
- » Roaming trong wireless là gì? Quá trình roaming layer 2 xảy ra như thế nào? [24.10.2017]
- » Địa chỉ Anycast và Multicast trong IPv6 [24.10.2017]
- » Sơ lược về giao thức định tuyến BGP [24.10.2017]
Cấu hình VPN Site to Site trên router Cisco [ cli ]
1.Topology
2.Yên cầu
Cấu hình VPN cho phép 2 LAN ở router HQ và router Branch liên lạc được với nhau.
3.Cấu hình:
- Cấu hình cơ bản trên các router
-Router ISP: chỉ cấu hình hostname và IP của các interface như mô hình trên
- Router HQ: cấu hình hostname và ip theo mô hình, sau đó cấu hình default route.
HQ[config]
ip route 0.0.0.0 0.0.0.0 113.114.115.2
- Router Branch: cấu hình hostname và ip theo mô hình, sau đó cấu hình default route.
Branch[config]
ip route 0.0.0.0 0.0.0.0 115.114.113.2
b.Cấu hình VPN theo các bước sau:
Trên router HQ
Bước1: Tạo Internet Key Exchange [IKE] key policy.
HQ[config]
crypto isakmp policy 9
HQ[config-isakmp]
hash md5
HQ[config-isakmp]
authentication pre-share
Bước 2: Tạo shared key để sử dụng cho kết nối VPN
HQ[config]
crypto isakmp key VPNKEY address 115.114.113.1 [ip của router branch]
Bước3: Quy định lifetime
HQ[config]
crypto ipsec security-association lifetime seconds 86400
Bước4: Cấu hình ACL dãy IP có thể VPN.
HQ[config]
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Bước 5: Define the transformations set that will be used for this VPN connection
HQ[config]
crypto ipsec transform-set SETNAME esp-3des esp-md5-hmac
Bước6: Tạo cypto-map cho các transform, setname
HQ[config]
crypto map MAPNAME 10 ipsec-isakmp
HQ[config-crypto-map]
set peer 115.114.113.1 [ip của router branch]
HQ[config-crypto-map]
set transform-set SETNAME [ setname ở bước 5]
HQ[config-crypto-map]
match address 100 [100 : acl-number ở bước 4 ]
Bước7: Gán vào interface
HQ[config]
inter s0/0/0
HQ[config-if]
crypto map MAPNAME [mapname ở bước 6]
Trên router Branch
Thực hiện tương tự theo 7 bước như trên router HQ.
Có một số thay đổi nho nhỏ ở các bước sau:
- bước 2: Branch[config]
crypto isakmp key VPNKEY address 113.114.115.1 [ip của router HQ]
- bước 4: Branch[config]
access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
- bước 6: Branch[config-crypto-map]
set peer 113.114.115.1 [ip của router HQ]
Phần trên các router cấu hình đến đây đã xong!
Kết quả: ping từ LAN 192.168.1.0/24 sang LAN 192.168.2.0 /24 đã thành công!
---
Một số lệnh kiểm tra cấu hình vpn
show crypto isakmp sa
show crypto ipsec sa
show crypto engine connections active
and show crypto map
---
Mô hình tôi làm trên packer tracer 5.3 + config files : download
CHÚC CÁC BẠN THỰC HIỆN THÀNH CÔNG!
Life is something that no one can teach you. You have to learn it. Follow him on
Để bắt đầu tham gia Giao dịch tài chính: