Nhu cầu về mạng riêng ảo-VPN ngày càng trở nên rất quan trọng trong việc trao đổi thông tin cung như phát triển của doanh nghiệp. Dưới đây chúng tôi xin hướng dẫn cách cấu hình VPN trên Router 2600 của Cisco…
Dưới đây là cách thiết lập VPN trên Router 2600 của Cisco:
Hai đầu là thiết bị Cisco hỗ trợ IPSec, tạm gọi là Hub và Spoke theo giả định là kết nối chỉ phát xuất một chiều (không cần thiết trong trường hợp IP tĩnh và chỉ có một cặp)
Cả hai đầu đều kết nối Internet qua leased-line (giả sử địa chỉ được cấp là 9.9.9.1/30(Hub) và 8.8.8.1/30 (Spoke)
Site-to-site IPSec VPN sử dụng preshared-key (tạm đặt là KEY-TO-SHARE) với phase 1 và Phase 2 proposal đều là 3DES/SHA
Các trạm tham gia VPN chỉ nằm trong phân mạng kết nối trực tiếp với các routers (Hub: 192.168.1.0/24; Spoke: 192.168.2.0/24) với giao diện trong của routes là 192.168.x.254.
Tên các giao diện trong và ngoài tương ứng là FastEthernet 0 và Serial 0
Không quan tâm đến các cấu hình khác trên các giao diện
Các lệnh đưa ra, một số chỉ để cho tường minh vì nếu trùng với giá trị mặc định thì sẽ không thể hiện trên cấu hình (khi show)
Các kết nối từ mạng trong của Hub tới mạng trong của Spoke & ngược lại sẽ phù hợp với Crypto Map và được đóng gói chuyển qua kênh VPN. Các kết nối khác sẽ được NAT ra Internet bình thường.
PHẦN CẤU HÌNH CHUNG
! CẤU HÌNH CƠ BẢN (KHÔNG QUAN TÂM ĐẾN ENCRYPTION)
!
! Đặt tên cho thiết bị
hostname <tên_thiết_bị>
! Lựa chọn tên miền cho thiết bị (không thực sự cần thiết)
ip domain name <tên_miền_lựa_chọn>
! Đặt mật khẩu truy cập vào chế độ privileged (enable)
enable password <mật_khẩu_vào_chế_độ_privileged>
! Khai báo các máy chủ DNS (tối đa 4) để truy vấn tên miền Internet
ip name-server <server_1> <server_2> …
! Cấu hình cho phép truy vấn DNS theo tên
ip domain-lookup
! Cấu hình account quản trị cao nhất cục bộ và mật khẩu
username <tên_người_dùng> privilege 15 password 0 <mật_khẩu>
!
! CẤU HÌNH HỖ TRỢ TRUY CẬP QUẢN TRỊ QUA TELNET VÀ CONSOLE
!
line vty 0 4
.exec-timeout 15 0
.privilege level 15
.login local
.transport input all
line console 0
.exec-timeout 0 0
.privilege level 15
.login local
!
! CẤU HÌNH GIAO TIẾP MẠNG
!
! Cấu hình cho giao diện trong
interface FastEthernet 0
.ip address <địa_chỉ_IP> <mặt_nạ_mạng>
.ip nat inside
.no shutdown
!
! Cấu hình cho giao diện kết nối Internet
!
interface Serial 0
.ip address <địa_chỉ_IP> <mặt_nạ_mạng>
.ip nat outside
.no shutdown
!
! cấu hình định tuyến ra ngoài
ip route 0.0.0.0 0.0.0.0 Serial0 [<địa_chỉ_next_hop>]
!
! CẤU HÌNH CHUYỂN DỊCH ĐỊA CHỈ (NAT) CHO CÁC KẾT NỐI INTERNET
!
! tạo ACL loại bỏ các gói sẽ đi qua kênh VPN khỏi cơ chế NAT
! ở đây đặt chung là không phải public IP
ip access-list extended FOR_NAT
.deny ip any 10.0.0.0 0.255.255.255
.deny ip any 172.16.0.0 0.15.255.255
.deny ip any 192.168.0.0 0.0.255.255
.permit ip any any
!
! tạo route-map xác định các lưu thông tương ứng với ACL đã đặt
route-map RM_FOR_NAT permit 10
.match ip address NO_NAT
!
! xác định cơ cấu NAT nhiều vào một IP
ip nat inside source route-map RM_FOR_NAT interface Serial0 overload
CẤU HÌNH TRÊN HUB
! Cấu hình ACL xác định các lưu thông thích hợp với VPN
! ACL này sẽ được router sử dụng để sinh PROXY_ID
ip access-list extended VPN_ACL
.permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
!
! Định nghĩa KEYRING chứa các preshared-keys
! không cần lắm vì chỉ có một cặp
crypto keyring VPN-KEY
.pre-shared-key address 8.8.8.1 key KEY-TO-SHARE
!
! Định nghĩa IKE Phase 1 Proposal policy
!
crypto isakmp policy 10
! phương thức mã hóa
.encryption 3des
! thuật toán băm để sinh khóa
.hash sha
! phương thức xác thực
.authentication pre-share
! Diffie-Hellman group
.group 2
!
crypto isakmp profile HUB2SPOKE
.description VPN-to-SPOKE
.keyring VPN-KEY
.match identity address 8.8.8.1 255.255.255.255
.keepalive 10 retry 5
!
! Định nghĩa IKE Phase 2 Proposal policy
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
! Khai báo crypto map
crypto map VPN-CRYPTO 10 ipsec-isakmp
.set peer 8.8.8.1
.set transform-set 3DES-SHA
.set isakmp-profile HUB2SPOKE
.match address VPN_ACL
.reverse-route
!
! Gán crypto map đã khai báo cho giao diện kết nối
interface Serial 0
.crypto map VPN-CRYPTO
CẤU HÌNH TRÊN SPOKE (giống cấu hình trên Hub, chỉ thay thông số)
ip access-list extended VPN_ACL
.permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
!
crypto keyring VPN-KEY
.pre-shared-key address 9.9.9.1 key KEY-TO-SHARE
!
crypto isakmp policy 10
.encryption 3des
.hash sha
.authentication pre-share
.group 2
!
crypto isakmp profile SPOKE2HUB
.description VPN-to-HUB
.keyring VPN-KEY
.match identity address 9.9.9.1 255.255.255.255
.keepalive 10 retry 5
!
! Định nghĩa IKE Phase 2 Proposal policy
crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
!
! Khai báo crypto map
crypto map VPN-CRYPTO 10 ipsec-isakmp
.set peer 9.9.9.1
.set transform-set 3DES-SHA
.set isakmp-profile SPOKE2HUB
.match address VPN_ACL
.reverse-route
!
interface Serial 0
.crypto map VPN-CRYPTO
Filed under: CCNP, Chứng chỉ quốc tế | Tagged: Thiết lập VPN trên Cisco 2600 | Leave a comment »
it177 