VPN tunnel được tạo thông qua mạng internet, và được mã hóa với các loại thuật toán mã hóa tiên tiến để đảm bảo bảo mật khi truyền dữ liệu.
Trong bài này sẽ trình bày làm sao cấu hình tạo một kết nối an toàn vpn tunnel giữa hai router cisco, sử dụng IP Secutiy potocol(IPsec).
IPsec VPN tunnel cũng có thể cấu hình bằng GRE (Generic Routing Encapsulation) Tunnel. VPN GRE có cấu hình đơn giản có thể tham khảo tại bài viết Cấu hình GRE VPN Tunnel
Trong bài LAB này sử dụng IP public giữa 2 router, sơ đồ kết nối như sau :
Ở đây mô phỏng kết nối VPN site to site giữa trụ sở ở Sài gòn và trụ sở ở Đà nẵng.
Cấu hình trên Router Sài gòn :
Cấu hình ISAKMP Phase 1 :
SG(config)# crypto isakmp policy 1SG(config-isakmp)# encr 3desSG(config-isakmp)# hash md5SG(config-isakmp)# authentication pre-shareSG(config-isakmp)# group 2SG(config-isakmp)# lifetime 86400
- 3DES Phương thức mã hóa được sử dụng cho phase 1
- md5 là thuật toán hashing
- group 2 Deffie-Hellman Group
-86400 Session key lifetime. đây là giá trị default.
Định nghĩa key cho pre share key bằng câu lệnh :
SG(config)# crypto isakmp key 0 cisco address 1.1.1.1
Tạo IPsec Transform (ISAKMP Phase 2):
Tạo transform set để bảo vệ dữ liệu với tên là myset :
SG(config)# crypto ipsec transform-set myset esp-3des esp-md5-hmac
Tạo ACL :
ACL cho phép lớp mạng nào được tham gia VPN
SG(config)# ip access-list extended VPNSG(config-ext-nacl)# permit ip 192.168.100.0 0.0.0.255 172.16.100.0 0.0.0.255
SG(config)# crypto map CMAP 10 ipsec-isakmpSG(config-crypto-map)# set peer 2.2.2.1SG(config-crypto-map)# set transform-set mysetSG(config-crypto-map)# match address VPN
Apply Crypto MAP vào Interface Public:
SG(config)# interface Ethernet0/1SG(config- if)# crypto map mymap
Tương tự với Router ở Đà nẵng :
DN(config)# crypto isakmp policy 1DN(config-isakmp)# encr 3desDN(config-isakmp)# hash md5DN(config-isakmp)# authentication pre-shareDN(config-isakmp)# group 2DN(config-isakmp)# lifetime 86400DN(config)# crypto isakmp key cisco address 1.1.1.1DN(config)# ip access-list extended VPNDN(config-ext-nacl)# permit ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255DN(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmacDN(config)# crypto map CMAP 10 ipsec-isakmpDN(config-crypto-map)# set peer 1.1.1.1DN(config-crypto-map)# set transform-set mysetDN(config-crypto-map)# match address VPNDN(config)# interface Ethernet0/1DN(config- if)# crypto map mymap
Tạo route giữa hai mạng :
SG(config)#ip route 192.168.100.0 255.255.255.0 1.1.1.2
DN(config)#ip route 172.16.100.0 255.255.255.0 2.2.2.2
Video tham khảo :
0 comments:
Post a Comment