Logo CNTTShop.vn

Hotline: 0966 658 525

Công Ty TNHH Công Nghệ Việt Thái Dương
NTT03, Line 1, Thống Nhất Complex, 82 Nguyễn Tuân, Thanh Xuân, Hà Nội.
Danh mục sản phẩm

Hướng dẫn cấu hình IPSEC VPN Site to Site trên Router Cisco

Trong bài viết này mình sẽ hướng dẫn các bạn cấu hình IPSEC VPN Site to Site giữa 2 thiết bị định tuyến Router Cisco. Để cấu hình VPN thì router yêu cầu phải có License SEC để mã hóa DES/3DES. Mình sẽ sử dụng Packet Tracert để lap bài này.

VPN Site to Site là gì?

IPSec VPN Site to Site là 1 giao thức được sử dụng để kết nối 2 chi nhánh, văn phòng, cho phép truyền dữ liệu, thoại, video... 1 cách an toàn giữa 2 site. IPSec VPN sẽ tạo 1 tunnel thông qua mạng internet và được mã hóa bằng các thuật toán mã hóa tiên tiến để cung cấp bảo mật cho dữ liệu khi truyền giữa 2 site.

Các bước cấu hình

  • Bước 1: Cấu hình access-list không cho NAT giữa IP nội bộ của 2 Site
  • Bước 2: Cấu hình ISAKMP, bật mã hóa và chứng thực cho VPN
  • Bước 3: Cấu hình access-list cho phép VPN Traffic
  • Bước 4: Tạo IPSec Transform
  • Bước 5: Tạo Crypto Map
  • Bước 6: Gán Crypto Map vào cổng nối ra internet

Cấu hình VPN Site to Site trên Router Cisco

Trong bài lab này mình sẽ sử dụng Packet Tracert để thực hiện. Mô hình gồm 2 site là HQ gồm 2 VLAN 10.0.0.0/24 và 10.0.1.0/24 và BR là 172.16.1.0/24 sử dụng NAT để truy cập Internet. Yêu cầu bài Lab là cấu hình IPSec VPN Site to site để tạo 1 tunnel cho phép 2 site có thể truy cập được lẫn nhau

Bước 1: Cấu hình access-list không cho NAT giữa IP nội bộ của 2 Site

Trong bài này 2 site được cấu hình Network Address Translation (NAT) để cho phép mạng nội bộ truy cập ra internet. Khi cấu hình IPSec VPN Tunnel, chúng ta tạo thêm access-list để không cho route NAT các gói tin VPN

HQ(config)#ip access-list extended NAT
HQ(config-ext-nacl)#10 deny ip 10.0.0.0 0.0.0.255 172.16.1.0 0.0.0.255
HQ(config-ext-nacl)#20 deny ip 10.0.1.0 0.0.0.255 172.16.1.0 0.0.0.255
HQ(config-ext-nacl)#30 permit ip 10.0.0.0 0.0.0.255 any
HQ(config-ext-nacl)#40 permit ip 10.0.1.0 0.0.0.255 any
HQ(config-ext-nacl)#exit
HQ(config)#ip nat inside source list NAT interface g0/0/1 overload

Bước 2: Cấu hình ISAKMP

HQ(config)#crypto isakmp policy 10
HQ(config-isakmp)#encryption 3des
HQ(config-isakmp)#hash md5
HQ(config-isakmp)#authentication pre-share
HQ(config-isakmp)#group 2
HQ(config-isakmp)#exit
HQ(config)#crypto isakmp key cnttshop address 100.0.0.1

Bước 3: Cấu hình access-list cho phép VPN Traffic

HQ(config)#ip access-list extended VPN
HQ(config-ext-nacl)#10 permit ip 10.0.0.0 0.0.0.255 172.16.1.0 0.0.0.255
HQ(config-ext-nacl)#20 permit ip 10.0.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Bước 4: Tạo IPSec Transform

HQ(config)#crypto ipsec transform-set SET1 esp-3des esp-md5-hmac

Bước 5: Tạo Crypto Map

HQ(config)#crypto map MAP1 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.

HQ(config-crypto-map)#set peer 100.0.0.1
HQ(config-crypto-map)#set transform-set SET1

HQ(config-crypto-map)#match address VPN

Bước 6: Gán Crypto Map vào cổng nối ra internet

HQ(config)#interface g0/0/1
HQ(config-if)#crypto map MAP1

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

HQ(config-if)#

Tương tự cấu hình cho Router tại site BR

BR(config)# crypto isakmp policy 10
BR(config-isakmp)#encryption 3des
BR(config-isakmp)#hash md5
BR(config-isakmp)#authentication pre-share
BR(config-isakmp)#group 2
BR(config-isakmp)#exit
BR(config)# crypto isakmp key cnttshop address 100.0.0.100
BR(config)# ip access-list extended VPN
BR(config-ext-nacl)# 10 permit ip 172.16.1.0 0.0.0.255 10.0.0.0 0.0.0.255
BR(config-ext-nacl)# 20 permit ip 172.16.1.0 0.0.0.255 10.0.1.0 0.0.0.255
BR(config-ext-nacl)# exit
BR(config)# crypto ipsec transform-set SET1 esp-3des esp-md5-hmac
BR(config)# crypto map MAP1 10 ipsec-isakmp
BR(config-crypto-map)# set peer 100.0.0.100
BR(config-crypto-map)# set transform-set SET1
BR(config-crypto-map)# match address VPN
BR(config-crypto-map)# exit
BR(config)# interface g0/0/0
BR(config- if)# crypto map MAP1

Kiểm tra kết nối VPN Tunnel

Từ PC 172.16.1.10 tại site BR ping đến 2 server 10.0.1.10 và 10.0.0.10 tại HQ

Tương tự từ Server 10.0.0.10 ở HQ ping đến PC 172.16.1.10 tại BR

Show crypto isakmp sa

HQ#sh crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst            src               state     conn-id    slot  status
100.0.0.1     100.0.0.100        QM_IDLE   1078       0     ACTIVE

IPv6 Crypto ISAKMP SA

HQ#

show crypto ipsec sa

HQ#sh crypto ipsec sa

interface: GigabitEthernet0/0/1

     Crypto map tag: MAP1, local addr 100.0.0.100

     protected vrf: (none)
     local ident (addr/mask/prot/port): (10.0.0.0/255.255.255.0/0/0)
     remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
     current_peer 100.0.0.1 port 500
     PERMIT, flags={origin_is_acl,}
     #pkts encaps: 13, #pkts encrypt: 13, #pkts digest: 0
     #pkts decaps: 21, #pkts decrypt: 21, #pkts verify: 0
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 0, #pkts compr. failed: 0
     #pkts not decompressed: 0, #pkts decompress failed: 0
     #send errors 0, #recv errors 0

         local crypto endpt.: 100.0.0.100, remote crypto endpt.:100.0.0.1
         path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/1
         current outbound spi: 0x21F222F3(569516787)

         inbound esp sas:
              spi: 0x76A122D8(1990271704)
                transform: esp-3des esp-md5-hmac ,
                in use settings ={Tunnel, }
                conn id: 2004, flow_id: FPGA:1, crypto map: MAP1
                sa timing: remaining key lifetime (k/sec): (4525504/1971)
                IV size: 16 bytes
                replay detection support: N
                Status: ACTIVE

          inbound ah sas:

          inbound pcp sas:

          outbound esp sas:
              spi: 0x21F222F3(569516787)
                 transform: esp-3des esp-md5-hmac ,
                 in use settings ={Tunnel, }
                 conn id: 2005, flow_id: FPGA:1, crypto map: MAP1
                 sa timing: remaining key lifetime (k/sec): (4525504/1971)
                 IV size: 16 bytes
                 replay detection support: N
                 Status: ACTIVE

          outbound ah sas:

          outbound pcp sas:

          local ident (addr/mask/prot/port): (10.0.1.0/255.255.255.0/0/0)
          remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
          current_peer 100.0.0.1 port 500
          PERMIT, flags={origin_is_acl,}
          #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 0
          #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts compr. failed: 0
          #pkts not decompressed: 0, #pkts decompress failed: 0
          #send errors 0, #recv errors 0

          local crypto endpt.: 100.0.0.100, remote crypto endpt.:100.0.0.1
          path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/1
          current outbound spi: 0x52AD046A(1387070570)

          inbound esp sas:
             spi: 0x2903737D(688092029)
                 transform: esp-3des esp-md5-hmac ,
                 in use settings ={Tunnel, }
                 conn id: 2009, flow_id: FPGA:1, crypto map: MAP1
                 sa timing: remaining key lifetime (k/sec): (4525504/1994)
                 IV size: 16 bytes
                 replay detection support: N
                 Status: ACTIVE

           inbound ah sas:

           inbound pcp sas:

           outbound esp sas:
              spi: 0x52AD046A(1387070570)
                 transform: esp-3des esp-md5-hmac ,
                 in use settings ={Tunnel, }
                 conn id: 2010, flow_id: FPGA:1, crypto map: MAP1
                 sa timing: remaining key lifetime (k/sec): (4525504/1994)
                 IV size: 16 bytes
                 replay detection support: N
                 Status: ACTIVE

            outbound ah sas:

            outbound pcp sas:

HQ#

Chúc các bạn thành công!

Lê Văn Tuấn

Là chuyên gia trong lĩnh vực Network System, Security, Server.. Có kinh nghiệm nhiều năm tư vấn giải pháp mạng, triển khai các giải pháp CNTT và phân phối thiết bị mạng Switch, Wifi, Router, Máy chủ Server, Lưu trữ Storage, Tường lửa Firewall, Video Conferencing, Module quang, Load Balancing. Hiện tại tôi là Founder và Managing Director công ty TNHH Công Nghệ Việt Thái Dương (CNTTShop.vn).

Bình luận bài viết!

Có 0 bình luận:
Chuyên mục chính
Bài viết liên quan
Sản phẩm liên quan