Cấu hình VPN site to site trên Router Cisco

Site to Site VPN tunnel đang được sử dụng để cho phép truyền dữ liệu an toàn, dữ liệu void hoặc dữ liệu video giữa 2 site với nhau ( ví dụ : giữa trụ sở chính và chi nhánh hoặc giữa các chi nhánh với nhau.....)
VPN tunnel được tạo thông qua mạng internet, và được mã hóa với các loại thuật toán mã hóa tiên tiến để đảm bảo bảo mật khi truyền dữ liệu.
Trong bài này sẽ trình bày làm sao cấu hình tạo một kết nối an toàn vpn tunnel giữa hai router cisco, sử dụng IP Secutiy potocol(IPsec).
IPsec VPN tunnel cũng có thể cấu hình bằng GRE (Generic Routing Encapsulation) Tunnel. VPN GRE có cấu hình đơn giản có thể tham khảo tại bài viết Cấu hình GRE VPN Tunnel
Trong bài LAB này sử dụng IP public giữa 2 router, sơ đồ kết nối như sau :

Ở đây mô phỏng kết nối VPN site to site giữa trụ sở ở Sài gòn và trụ sở ở Đà nẵng.
Cấu hình trên Router Sài gòn :
Cấu hình ISAKMP Phase 1 :

SG(config)# crypto isakmp policy 1

SG(config-isakmp)# encr 3des

SG(config-isakmp)# hash md5

SG(config-isakmp)# authentication pre-share

SG(config-isakmp)# group 2

SG(config-isakmp)# lifetime 86400

- 3DES Phương thức mã hóa được sử dụng cho phase 1
- md5 là thuật toán hashing
- group 2 Deffie-Hellman Group
-86400 Session key lifetime. đây là giá trị default.
 Định nghĩa key cho pre share key bằng câu lệnh :

SG(config)# crypto isakmp key 0 cisco address 1.1.1.1

    Key pre share được đặt là cisco để xác thực với router có địa chỉ là 1.1.1.1.
   Tạo IPsec Transform (ISAKMP Phase 2):
   Tạo transform set để bảo vệ dữ liệu với tên là myset :

SG(config)# crypto ipsec transform-set myset esp-3des esp-md5-hmac

Tạo ACL :
ACL cho phép lớp mạng nào được tham gia VPN

SG(config)# ip access-list extended VPN

SG(config-ext-nacl)# permit ip 192.168.100.0 0.0.0.255 172.16.100.0 0.0.0.255

Tạo Crypto MAP :

SG(config)# crypto map CMAP 10 ipsec-isakmp

SG(config-crypto-map)# set peer 2.2.2.1

SG(config-crypto-map)# set transform-set myset

SG(config-crypto-map)# match address VPN

Apply Crypto MAP vào Interface Public:

SG(config)# interface Ethernet0/1

SG(config- if)# crypto map mymap

Tương tự với Router ở Đà nẵng :

DN(config)# crypto isakmp policy 1

DN(config-isakmp)# encr 3des

DN(config-isakmp)# hash md5

DN(config-isakmp)# authentication pre-share

DN(config-isakmp)# group 2

DN(config-isakmp)# lifetime 86400

DN(config)# crypto isakmp key cisco address 1.1.1.1

DN(config)# ip access-list extended VPN

DN(config-ext-nacl)# permit ip 172.16.100.0 0.0.0.255 192.168.100.0 0.0.0.255

DN(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

DN(config)# crypto map CMAP 10 ipsec-isakmp

DN(config-crypto-map)# set peer 1.1.1.1

DN(config-crypto-map)# set transform-set myset 

DN(config-crypto-map)# match address VPN

DN(config)# interface Ethernet0/1

DN(config- if)# crypto map mymap

Tạo route giữa hai mạng :

SG(config)#ip route 192.168.100.0 255.255.255.0 1.1.1.2 

DN(config)#ip route 172.16.100.0 255.255.255.0 2.2.2.2

Video tham khảo :