Hướng dẫn cấu hình IPSEC VPN Site to Site trên Router Cisco

Trong bài viết này mình sẽ hướng dẫn các bạn cấu hình IPSEC VPN Site to Site giữa 2 thiết bị định tuyến Router Cisco. Để cấu hình VPN thì router yêu cầu phải có License SEC để mã hóa DES/3DES. Mình sẽ sử dụng Packet Tracert để lap bài này.

VPN Site to Site là gì?

IPSec VPN Site to Site là 1 giao thức được sử dụng để kết nối 2 chi nhánh, văn phòng, cho phép truyền dữ liệu, thoại, video... 1 cách an toàn giữa 2 site. IPSec VPN sẽ tạo 1 tunnel thông qua mạng internet và được mã hóa bằng các thuật toán mã hóa tiên tiến để cung cấp bảo mật cho dữ liệu khi truyền giữa 2 site.

Các bước cấu hình

Bước 1: Cấu hình access-list không cho NAT giữa IP nội bộ của 2 Site
Bước 2: Cấu hình ISAKMP, bật mã hóa và chứng thực cho VPN
Bước 3: Cấu hình access-list cho phép VPN Traffic
Bước 4: Tạo IPSec Transform
Bước 5: Tạo Crypto Map
Bước 6: Gán Crypto Map vào cổng nối ra internet

Cấu hình VPN Site to Site trên Router Cisco

Trong bài lab này mình sẽ sử dụng Packet Tracert để thực hiện. Mô hình gồm 2 site là HQ gồm 2 VLAN 10.0.0.0/24 và 10.0.1.0/24 và BR là 172.16.1.0/24 sử dụng NAT để truy cập Internet. Yêu cầu bài Lab là cấu hình IPSec VPN Site to site để tạo 1 tunnel cho phép 2 site có thể truy cập được lẫn nhau

Bước 1: Cấu hình access-list không cho NAT giữa IP nội bộ của 2 Site

Trong bài này 2 site được cấu hình Network Address Translation (NAT) để cho phép mạng nội bộ truy cập ra internet. Khi cấu hình IPSec VPN Tunnel, chúng ta tạo thêm access-list để không cho route NAT các gói tin VPN

HQ(config)#ip access-list extended NAT
HQ(config-ext-nacl)#10 deny ip 10.0.0.0 0.0.0.255 172.16.1.0 0.0.0.255
HQ(config-ext-nacl)#20 deny ip 10.0.1.0 0.0.0.255 172.16.1.0 0.0.0.255
HQ(config-ext-nacl)#30 permit ip 10.0.0.0 0.0.0.255 any
HQ(config-ext-nacl)#40 permit ip 10.0.1.0 0.0.0.255 any
HQ(config-ext-nacl)#exit
HQ(config)#ip nat inside source list NAT interface g0/0/1 overload

Bước 2: Cấu hình ISAKMP

HQ(config)#crypto isakmp policy 10
HQ(config-isakmp)#encryption 3des
HQ(config-isakmp)#hash md5
HQ(config-isakmp)#authentication pre-share
HQ(config-isakmp)#group 2
HQ(config-isakmp)#exit
HQ(config)#crypto isakmp key cnttshop address 100.0.0.1

Bước 3: Cấu hình access-list cho phép VPN Traffic

HQ(config)#ip access-list extended VPN
HQ(config-ext-nacl)#10 permit ip 10.0.0.0 0.0.0.255 172.16.1.0 0.0.0.255
HQ(config-ext-nacl)#20 permit ip 10.0.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Bước 4: Tạo IPSec Transform

HQ(config)#crypto ipsec transform-set SET1 esp-3des esp-md5-hmac

Bước 5: Tạo Crypto Map

HQ(config)#crypto map MAP1 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.

HQ(config-crypto-map)#set peer 100.0.0.1
HQ(config-crypto-map)#set transform-set SET1
HQ(config-crypto-map)#match address VPN

Bước 6: Gán Crypto Map vào cổng nối ra internet

HQ(config)#interface g0/0/1
HQ(config-if)#crypto map MAP1

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

HQ(config-if)#

Tương tự cấu hình cho Router tại site BR

BR(config)# crypto isakmp policy 10

BR(config-isakmp)#encryption 3des

BR(config-isakmp)#hash md5

BR(config-isakmp)#authentication pre-share

BR(config-isakmp)#group 2

BR(config-isakmp)#exit
BR(config)# crypto isakmp key cnttshop address 100.0.0.100

BR(config)# ip access-list extended VPN

BR(config-ext-nacl)# 10 permit ip 172.16.1.0 0.0.0.255 10.0.0.0 0.0.0.255
BR(config-ext-nacl)# 20 permit ip 172.16.1.0 0.0.0.255 10.0.1.0 0.0.0.255
BR(config-ext-nacl)# exit

BR(config)# crypto ipsec transform-set SET1 esp-3des esp-md5-hmac

BR(config)# crypto map MAP1 10 ipsec-isakmp

BR(config-crypto-map)# set peer 100.0.0.100

BR(config-crypto-map)# set transform-set SET1

BR(config-crypto-map)# match address VPN
BR(config-crypto-map)# exit

BR(config)# interface g0/0/0

BR(config- if)# crypto map MAP1

Kiểm tra kết nối VPN Tunnel

Từ PC 172.16.1.10 tại site BR ping đến 2 server 10.0.1.10 và 10.0.0.10 tại HQ

Tương tự từ Server 10.0.0.10 ở HQ ping đến PC 172.16.1.10 tại BR

Show crypto isakmp sa

HQ#sh crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst src state conn-id slot status
100.0.0.1 100.0.0.100 QM_IDLE 1078 0 ACTIVE

IPv6 Crypto ISAKMP SA

HQ#

show crypto ipsec sa

HQ#sh crypto ipsec sa

interface: GigabitEthernet0/0/1

Crypto map tag: MAP1, local addr 100.0.0.100

protected vrf: (none)
local ident (addr/mask/prot/port): (10.0.0.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
current_peer 100.0.0.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 13, #pkts encrypt: 13, #pkts digest: 0
#pkts decaps: 21, #pkts decrypt: 21, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 100.0.0.100, remote crypto endpt.:100.0.0.1
path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/1
current outbound spi: 0x21F222F3(569516787)

inbound esp sas:
spi: 0x76A122D8(1990271704)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2004, flow_id: FPGA:1, crypto map: MAP1
sa timing: remaining key lifetime (k/sec): (4525504/1971)
IV size: 16 bytes
replay detection support: N
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x21F222F3(569516787)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2005, flow_id: FPGA:1, crypto map: MAP1
sa timing: remaining key lifetime (k/sec): (4525504/1971)
IV size: 16 bytes
replay detection support: N
Status: ACTIVE

outbound ah sas:

outbound pcp sas:

local ident (addr/mask/prot/port): (10.0.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
current_peer 100.0.0.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 100.0.0.100, remote crypto endpt.:100.0.0.1
path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/1
current outbound spi: 0x52AD046A(1387070570)

inbound esp sas:
spi: 0x2903737D(688092029)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2009, flow_id: FPGA:1, crypto map: MAP1
sa timing: remaining key lifetime (k/sec): (4525504/1994)
IV size: 16 bytes
replay detection support: N
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x52AD046A(1387070570)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
conn id: 2010, flow_id: FPGA:1, crypto map: MAP1
sa timing: remaining key lifetime (k/sec): (4525504/1994)
IV size: 16 bytes
replay detection support: N
Status: ACTIVE