Trụ sở tại Hà Nội

Số 2A/125 Bùi Xương Trạch – Thanh Xuân – Hà Nội

090 605 1599 - 096 350 6565

kinhdoanh@cnttshop.vn

07h30 đến 17h30

Hướng dẫn cấu hình IPSEC VPN Site to Site trên Router Cisco

Trong bài viết này mình sẽ hướng dẫn các bạn cấu hình IPSEC VPN Site to Site giữa 2 thiết bị định tuyến Router Cisco. Để cấu hình VPN thì router yêu cầu phải có License SEC để mã hóa DES/3DES. Mình sẽ sử dụng Packet Tracert để lap bài này.

VPN Site to Site là gì?

IPSec VPN Site to Site là 1 giao thức được sử dụng để kết nối 2 chi nhánh, văn phòng, cho phép truyền dữ liệu, thoại, video... 1 cách an toàn giữa 2 site. IPSec VPN sẽ tạo 1 tunnel thông qua mạng internet và được mã hóa bằng các thuật toán mã hóa tiên tiến để cung cấp bảo mật cho dữ liệu khi truyền giữa 2 site.

Các bước cấu hình

  • Bước 1: Cấu hình access-list không cho NAT giữa IP nội bộ của 2 Site
  • Bước 2: Cấu hình ISAKMP, bật mã hóa và chứng thực cho VPN
  • Bước 3: Cấu hình access-list cho phép VPN Traffic
  • Bước 4: Tạo IPSec Transform
  • Bước 5: Tạo Crypto Map
  • Bước 6: Gán Crypto Map vào cổng nối ra internet

Cấu hình VPN Site to Site trên Router Cisco

Mô hình kết nối IPSec Site to siteTrong bài lab này mình sẽ sử dụng Packet Tracert để thực hiện. Mô hình gồm 2 site là HQ gồm 2 VLAN 10.0.0.0/24 và 10.0.1.0/24 và BR là 172.16.1.0/24 sử dụng NAT để truy cập Internet. Yêu cầu bài Lab là cấu hình IPSec VPN Site to site để tạo 1 tunnel cho phép 2 site có thể truy cập được lẫn nhau

Bước 1: Cấu hình access-list không cho NAT giữa IP nội bộ của 2 Site

Trong bài này 2 site được cấu hình Network Address Translation (NAT) để cho phép mạng nội bộ truy cập ra internet. Khi cấu hình IPSec VPN Tunnel, chúng ta tạo thêm access-list để không cho route NAT các gói tin VPN

HQ(config)#ip access-list extended NAT
HQ(config-ext-nacl)#10 deny ip 10.0.0.0 0.0.0.255 172.16.1.0 0.0.0.255
HQ(config-ext-nacl)#20 deny ip 10.0.1.0 0.0.0.255 172.16.1.0 0.0.0.255
HQ(config-ext-nacl)#30 permit ip 10.0.0.0 0.0.0.255 any
HQ(config-ext-nacl)#40 permit ip 10.0.1.0 0.0.0.255 any
HQ(config-ext-nacl)#exit
HQ(config)#ip nat inside source list NAT interface g0/0/1 overload

Bước 2: Cấu hình ISAKMP

HQ(config)#crypto isakmp policy 10
HQ(config-isakmp)#encryption 3des
HQ(config-isakmp)#hash md5
HQ(config-isakmp)#authentication pre-share
HQ(config-isakmp)#group 2
HQ(config-isakmp)#exit
HQ(config)#crypto isakmp key cnttshop address 100.0.0.1

Bước 3: Cấu hình access-list cho phép VPN Traffic

HQ(config)#ip access-list extended VPN
HQ(config-ext-nacl)#10 permit ip 10.0.0.0 0.0.0.255 172.16.1.0 0.0.0.255
HQ(config-ext-nacl)#20 permit ip 10.0.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Bước 4: Tạo IPSec Transform

HQ(config)#crypto ipsec transform-set SET1 esp-3des esp-md5-hmac

Bước 5: Tạo Crypto Map

HQ(config)#crypto map MAP1 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.

HQ(config-crypto-map)#set peer 100.0.0.1
HQ(config-crypto-map)#set transform-set SET1

HQ(config-crypto-map)#match address VPN

Bước 6: Gán Crypto Map vào cổng nối ra internet

HQ(config)#interface g0/0/1
HQ(config-if)#crypto map MAP1

*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

HQ(config-if)#

Tương tự cấu hình cho Router tại site BR

BR(config)# crypto isakmp policy 10
BR(config-isakmp)#encryption 3des
BR(config-isakmp)#hash md5
BR(config-isakmp)#authentication pre-share
BR(config-isakmp)#group 2
BR(config-isakmp)#exit
BR(config)# crypto isakmp key cnttshop address 100.0.0.100
BR(config)# ip access-list extended VPN
BR(config-ext-nacl)# 10 permit ip 172.16.1.0 0.0.0.255 10.0.0.0 0.0.0.255
BR(config-ext-nacl)# 20 permit ip 172.16.1.0 0.0.0.255 10.0.1.0 0.0.0.255
BR(config-ext-nacl)# exit
BR(config)# crypto ipsec transform-set SET1 esp-3des esp-md5-hmac
BR(config)# crypto map MAP1 10 ipsec-isakmp
BR(config-crypto-map)# set peer 100.0.0.100
BR(config-crypto-map)# set transform-set SET1
BR(config-crypto-map)# match address VPN
BR(config-crypto-map)# exit
BR(config)# interface g0/0/0
BR(config- if)# crypto map MAP1

Kiểm tra kết nối VPN Tunnel

Từ PC 172.16.1.10 tại site BR ping đến 2 server 10.0.1.10 và 10.0.0.10 tại HQ

kiểm tra kết nối vpn từ BR tới HQ

Tương tự từ Server 10.0.0.10 ở HQ ping đến PC 172.16.1.10 tại BR

kiểm tra kết nối VPN từ HQ sang BR

Show crypto isakmp sa

HQ#sh crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst            src               state     conn-id    slot  status
100.0.0.1     100.0.0.100        QM_IDLE   1078       0     ACTIVE

IPv6 Crypto ISAKMP SA

HQ#

show crypto ipsec sa

HQ#sh crypto ipsec sa

interface: GigabitEthernet0/0/1

     Crypto map tag: MAP1, local addr 100.0.0.100

     protected vrf: (none)
     local ident (addr/mask/prot/port): (10.0.0.0/255.255.255.0/0/0)
     remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
     current_peer 100.0.0.1 port 500
     PERMIT, flags={origin_is_acl,}
     #pkts encaps: 13, #pkts encrypt: 13, #pkts digest: 0
     #pkts decaps: 21, #pkts decrypt: 21, #pkts verify: 0
     #pkts compressed: 0, #pkts decompressed: 0
     #pkts not compressed: 0, #pkts compr. failed: 0
     #pkts not decompressed: 0, #pkts decompress failed: 0
     #send errors 0, #recv errors 0

         local crypto endpt.: 100.0.0.100, remote crypto endpt.:100.0.0.1
         path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/1
         current outbound spi: 0x21F222F3(569516787)

         inbound esp sas:
              spi: 0x76A122D8(1990271704)
                transform: esp-3des esp-md5-hmac ,
                in use settings ={Tunnel, }
                conn id: 2004, flow_id: FPGA:1, crypto map: MAP1
                sa timing: remaining key lifetime (k/sec): (4525504/1971)
                IV size: 16 bytes
                replay detection support: N
                Status: ACTIVE

          inbound ah sas:

          inbound pcp sas:

          outbound esp sas:
              spi: 0x21F222F3(569516787)
                 transform: esp-3des esp-md5-hmac ,
                 in use settings ={Tunnel, }
                 conn id: 2005, flow_id: FPGA:1, crypto map: MAP1
                 sa timing: remaining key lifetime (k/sec): (4525504/1971)
                 IV size: 16 bytes
                 replay detection support: N
                 Status: ACTIVE

          outbound ah sas:

          outbound pcp sas:

          local ident (addr/mask/prot/port): (10.0.1.0/255.255.255.0/0/0)
          remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
          current_peer 100.0.0.1 port 500
          PERMIT, flags={origin_is_acl,}
          #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 0
          #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 0, #pkts compr. failed: 0
          #pkts not decompressed: 0, #pkts decompress failed: 0
          #send errors 0, #recv errors 0

          local crypto endpt.: 100.0.0.100, remote crypto endpt.:100.0.0.1
          path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/1
          current outbound spi: 0x52AD046A(1387070570)

          inbound esp sas:
             spi: 0x2903737D(688092029)
                 transform: esp-3des esp-md5-hmac ,
                 in use settings ={Tunnel, }
                 conn id: 2009, flow_id: FPGA:1, crypto map: MAP1
                 sa timing: remaining key lifetime (k/sec): (4525504/1994)
                 IV size: 16 bytes
                 replay detection support: N
                 Status: ACTIVE

           inbound ah sas:

           inbound pcp sas:

           outbound esp sas:
              spi: 0x52AD046A(1387070570)
                 transform: esp-3des esp-md5-hmac ,
                 in use settings ={Tunnel, }
                 conn id: 2010, flow_id: FPGA:1, crypto map: MAP1
                 sa timing: remaining key lifetime (k/sec): (4525504/1994)
                 IV size: 16 bytes
                 replay detection support: N
                 Status: ACTIVE

            outbound ah sas:

            outbound pcp sas:

HQ#

Chúc các bạn thành công!


Tin tức, Tin tức (Trang chủ), Cisco

Tin liên quan

  • Sử dụng Ruckus Cloud Wifi để quản lý tập trung các Access Point Ruckus
  • Switch Công nghiệp là gì? Sự khác nhau giữa Switch Công nghiệp và Switch thường
  • Cung Cấp Switch Công Nghiệp, Switch Quang, Switch PoE Giá Rẻ
  • Hướng dẫn cấu hình VLAN trên tường lửa Fortigate
  • Hướng dẫn cấu hình wifi Aruba IAP về chế độ CAP hoặc Standalone AP
  • Hướng dẫn cấu hình Wifi Aruba IAP Instant Access Point
  • GRE Tunnel là gì? Hướng dẫn cấu hình GRE Tunnel Trên Router Cisco
  • Hướng dẫn cấu hình IPSEC VPN Site to Site trên Router Cisco
  • Hướng dẫn cấu hình VPN Client to Site trên Router Cisco
  • Spanning-Tree Bridge Assurance là gì? Ứng dụng của Bridge Assurance trong LAN
  • Hướng dẫn kích hoạt giao diện Web Switch Cisco
  • Kiến trúc mạng SD-WAN của Cisco và các thành phần của SD-WAN
  • Hướng dẫn cấu hình Port Forwarding, NAT Port trên Fortigate
  • [Citrix ADC] Hướng dẫn cấu hình cân bằng tải trên Citrix ADC
  • [Citrix ADC] Hướng dẫn cấu hình cơ bản trên Citrix ADC
  • Hướng dẫn cấu hình Firewall Cisco ASA mode Transparent
  • FortiClient là gì? Các tính năng và mô hình hoạt động của FortiClient
  • vPC là gì? Hướng dẫn cấu hình vPC trên Switch Cisco Nexus
  • [CISCO] Hướng dẫn Reset Switch Cisco C9200, C9300 C9500 về cấu hình mặc định
  • [RUCKUS] Hướng dẫn Cấu hình nhiều Vlan trên SSID (Ruckus Unleashed)
  • SSH là gì? Hướng dẫn cấu hình SSH trên các thiết bị Cisco
  • Mesh Wifi là gì? Ưu nhược điểm của Mesh Wifi
  • SFP-DD Next Generation SFP Module to Support 100G
  • QSFP-DD Optical Form Factor: Bước tiến lớn tới kết nối 400GbE
  • [RUCKUS] Hướng dẫn cấu hình LACP trên Wifi Ruckus R710