1. Topology
E0-(HQ-Router)-s0-----(Internet)------s0-(Remotesite1)---E0
Sơ đồ địa chỉ:
HeadQuater: E0: 10.1.1.1/24
HeadQuater: S0: 134.50.10.1/24
RemoteSite: S0 64.107.35.1/24
RemoteSite: E0: 172.16.1.0/24
2. Các bước cấu hình:
Bước 1: Cấu hình hostname
Router(config)# hostname hq-vpn-rtr
Bước 2: Cấu hình khóa ISAKMP và địa chỉ của router đầu xa. Giai đoạn 1 của quá trình trao đổi key (phase 1) sẽ thiết lập đối tác (peer) của kết nối VPN. Sau khi khóa được trao đổi xong, một kênh riêng (tunnel) sẽ được thiết lập.
Hq-vpn-rtr(config)# crypto isakmp key vnpro address 64.107.35.1
Bước 3: Cấu hình ISAKMP. Trong chính sách ISAKMP này, bạn sẽ cấu hình các kiểu kiểm tra đăng nhập (authentication), hash và các giá trị định nghĩa thời gian hiệu lực của các khóa (lifetimes value). Hầu hết các thông số trong ISAKMP này là có giá trị mặc định và ta chỉ cần cấu hình cho những thông số khác với giá trị mặc định.
Hq-vpn-rtr(config)# crypto isakmp policy 10
Hq-vpn-rtr(config-isakmp)# encryption 3des
Hq-vpn-rtr(config-isakmp)# authentication pre-share
Bước 4: cấu hình access-list để chỉ ra loại traffic nào sẽ được mã hóa:
Hq-vpn-rtr(config)# access-list 100 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Bước 5: cấu hình transform-set. Trong bước này, bạn có thể chỉ ra các kiểu mã hóa và kiểu tổ hợp hash. Có nhiều chọn lựa cho các kiểu mã hóa của IPSec (DES, 3DES hoặc null); chọn lựa protocol (ESP, AH) và kiểu hash (SHA-1 hay MD5).
Hq-vpn-rtr(config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac
Bước 6: Cấu h ình crypto-map:
Do ở bước trên, bạn có thể định nghĩa nhiều transform-set. Bước này sẽ chỉ ra tranform-set được dùng. Tên của crypto map trong trường hợp này la netcg.
Hq-vpn-rtr(config)# crypto map netcg 10 ipsec-isakmp
Hp-vpn-rtr(config-crypto-map)# set peer 64.107.35.1
Hp-vpn-rtr(config-crypto-map#set tranform-set vnpro
Hp-vpn-rtr(config-crypto-map# match address 100
Bước 7: cấu hình interface bên trong của router. Chú ý là nên cấu hình các interface descriptions.
Hq-vpn-rtr(config)# interface f0/1
Hq-vpn-rtr(config-if)# description Inside network
Hq-vpn-rtr(config-if)# ip address 10.1.1.1 255.255.255.0
Bước 8: cấu hình interface outside:
Hq-vpn-rtr(config)# interface s0/0
Hq-vpn-rtr(config-if)# description outside network
Hq-vpn-rtr(config-if)# ip addresss 134.50.10.1 255.255.255.252
Hq-vpn-rtr(config-if)# crypto map netcg
Cấu hình RemoteSite:
Router(config)#hostname site1-rtr-vpn
site1-rtr-vpn(config)# crypto isakmp key vnpro address 134.50.10.1
site1-rtr-vpn(config)# crypto isakmp policy 10
site1-rtr-vpn(config-isakmp)# encryption 3des
site1-rtr-vpn(config-isakmp)# authentication pre-share
site1-rtr-vpn(config)# access-list 100 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
site1-rtr-vpn (config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac
site1-rtr-vpn (config)# crypto map netcg 10 ipsec-isakmp
site1-rtr-vpn (config-crypto-map)# set peer 134.50.10.1
site1-rtr-vpn (config-crypto-map)# set transform-set netcg
site1-rtr-vpn (config-crypto-map)# match address 100
site1-rtr-vpn (config)# interface F0/1
site1-rtr-vpn (config-if)# description inside network
site1-rtr-vpn (config-if)# ip address 172.16.1.1 255.255.255.0
site1-rtr-vpn (config)# interface s0/0
site1-rtr-vpn (config-if)# description outside network
site1-rtr-vpn (config-if)# ip address 64.107.35.1 255.255.255.252
site1-rtr-vpn (config-if)# crypto map netcg
Để kiểm tra kết nối VPN, bạn nên dùng phép thử ping mở rộng (extended ping)
E0-(HQ-Router)-s0-----(Internet)------s0-(Remotesite1)---E0
Sơ đồ địa chỉ:
HeadQuater: E0: 10.1.1.1/24
HeadQuater: S0: 134.50.10.1/24
RemoteSite: S0 64.107.35.1/24
RemoteSite: E0: 172.16.1.0/24
2. Các bước cấu hình:
Bước 1: Cấu hình hostname
Router(config)# hostname hq-vpn-rtr
Bước 2: Cấu hình khóa ISAKMP và địa chỉ của router đầu xa. Giai đoạn 1 của quá trình trao đổi key (phase 1) sẽ thiết lập đối tác (peer) của kết nối VPN. Sau khi khóa được trao đổi xong, một kênh riêng (tunnel) sẽ được thiết lập.
Hq-vpn-rtr(config)# crypto isakmp key vnpro address 64.107.35.1
Bước 3: Cấu hình ISAKMP. Trong chính sách ISAKMP này, bạn sẽ cấu hình các kiểu kiểm tra đăng nhập (authentication), hash và các giá trị định nghĩa thời gian hiệu lực của các khóa (lifetimes value). Hầu hết các thông số trong ISAKMP này là có giá trị mặc định và ta chỉ cần cấu hình cho những thông số khác với giá trị mặc định.
Hq-vpn-rtr(config)# crypto isakmp policy 10
Hq-vpn-rtr(config-isakmp)# encryption 3des
Hq-vpn-rtr(config-isakmp)# authentication pre-share
Bước 4: cấu hình access-list để chỉ ra loại traffic nào sẽ được mã hóa:
Hq-vpn-rtr(config)# access-list 100 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Bước 5: cấu hình transform-set. Trong bước này, bạn có thể chỉ ra các kiểu mã hóa và kiểu tổ hợp hash. Có nhiều chọn lựa cho các kiểu mã hóa của IPSec (DES, 3DES hoặc null); chọn lựa protocol (ESP, AH) và kiểu hash (SHA-1 hay MD5).
Hq-vpn-rtr(config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac
Bước 6: Cấu h ình crypto-map:
Do ở bước trên, bạn có thể định nghĩa nhiều transform-set. Bước này sẽ chỉ ra tranform-set được dùng. Tên của crypto map trong trường hợp này la netcg.
Hq-vpn-rtr(config)# crypto map netcg 10 ipsec-isakmp
Hp-vpn-rtr(config-crypto-map)# set peer 64.107.35.1
Hp-vpn-rtr(config-crypto-map#set tranform-set vnpro
Hp-vpn-rtr(config-crypto-map# match address 100
Bước 7: cấu hình interface bên trong của router. Chú ý là nên cấu hình các interface descriptions.
Hq-vpn-rtr(config)# interface f0/1
Hq-vpn-rtr(config-if)# description Inside network
Hq-vpn-rtr(config-if)# ip address 10.1.1.1 255.255.255.0
Bước 8: cấu hình interface outside:
Hq-vpn-rtr(config)# interface s0/0
Hq-vpn-rtr(config-if)# description outside network
Hq-vpn-rtr(config-if)# ip addresss 134.50.10.1 255.255.255.252
Hq-vpn-rtr(config-if)# crypto map netcg
Cấu hình RemoteSite:
Router(config)#hostname site1-rtr-vpn
site1-rtr-vpn(config)# crypto isakmp key vnpro address 134.50.10.1
site1-rtr-vpn(config)# crypto isakmp policy 10
site1-rtr-vpn(config-isakmp)# encryption 3des
site1-rtr-vpn(config-isakmp)# authentication pre-share
site1-rtr-vpn(config)# access-list 100 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
site1-rtr-vpn (config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac
site1-rtr-vpn (config)# crypto map netcg 10 ipsec-isakmp
site1-rtr-vpn (config-crypto-map)# set peer 134.50.10.1
site1-rtr-vpn (config-crypto-map)# set transform-set netcg
site1-rtr-vpn (config-crypto-map)# match address 100
site1-rtr-vpn (config)# interface F0/1
site1-rtr-vpn (config-if)# description inside network
site1-rtr-vpn (config-if)# ip address 172.16.1.1 255.255.255.0
site1-rtr-vpn (config)# interface s0/0
site1-rtr-vpn (config-if)# description outside network
site1-rtr-vpn (config-if)# ip address 64.107.35.1 255.255.255.252
site1-rtr-vpn (config-if)# crypto map netcg
Để kiểm tra kết nối VPN, bạn nên dùng phép thử ping mở rộng (extended ping)
Comment