Bài viết sưu tầm
Cấu hình VPN Client to Site (Remote Access VPN)
Mô hình:
Ở đây ta sử dụng laptop VPN Client sử dụng wireless bên ngoài Internet có thể kết nối VPN về hệ thống mạng nội bộ ở trụ sở (HQ). Để giả lập môi trường Internet ta sử dụng Router ISP giả lập router ISP.
Cấu hình cơ bản:
Wireless Access Point:
Cấu hình cho Laptop0:
Router ISP:
hostname ISP
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
!
interface FastEthernet0/1
ip address 203.162.1.1 255.255.255.252
!
ip dhcp excluded-address 192.168.10.1 192.168.10.10
!
ip dhcp pool vpnclient
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 8.8.8.8
!
Router HQ:
hostname HQ
!
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
!
interface FastEthernet0/1
ip address 203.162.1.2 255.255.255.252
crypto map mymap
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
Cấu hình VPN client-to-site trên router HQ:
1. Bật chứng thực AAA trên Router HQ sử dụng phương thức chứng thực local
HQ(config)# username cisco password cisco
HQ(config)# aaa new-model
HQ(config)# aaa authentication login default local none
2. Tạo IP pool cho VPN client sử dụng để kết nối VPN:
HQ(config)# ip local pool VPNCLIENTS 172.16.1.10 172.16.1.20
3. Cấu hình Group Authorization (nhóm thẩm định với VPN Server):
HQ(config)# aaa authorization network VPNAUTH local
4. Tạo 1 IKE Policy và Group (sử dụng pre-share key và dùng AES để mã hóa với 256 bit)
HQ(config)# crypto isakmp policy 10
HQ(config-isakmp)# authentication pre-share
HQ(config-isakmp)# encryption aes 256
HQ(config-isakmp)# group 2
5. Tạo ISAKMP group là ttggroup và password 123:
HQ(config)# crypto isakmp client configuration group ttggroup
HQ(config-isakmp-group)# key 123
HQ(config-isakmp-group)# pool VPNCLIENTS
HQ(config-isakmp-group)# netmask 255.255.255.0
6. Cấu hình IPSec Transform sử dụng thuật toán mã hóa 3DES và SHA-HMAC để đảm bảo tính toàn vẹn dữ liệu:
HQ(config)# crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
7. Tạo 1 Dynamic Crypto Map:
HQ(config)# crypto dynamic-map mymap 10
HQ(config-crypto-map)# set transform-set mytrans
HQ(config-crypto-map)# reverse-route
HQ(config)# crypto map mymap client configuration address respond
HQ(config)# crypto map mymap isakmp authorization list VPNAUTH
HQ(config)# crypto map mymap 10 ipsec-isakmp dynamic mymap
8. Cấu hình user chứng thực
HQ(config)# aaa authentication login VPNAUTH local
HQ(config)# username quang password 123
HQ(config)# crypto map mymap client authentication list VPNAUTH
9. Cài đặt VPN Client
GroupName: ttggroup
Group Key: 123
Host IP (Server IP): 203.162.1.2
Username: cisco
Password: cisco
Thế này là kết nối thành công:
Tiến hành ping từ VPN Client đến Server 0:
Lưu ý: Nếu sử dụng thiết bị thật thì có thể dùng phần mềm cisco VPN Client.
Kiểm tra hoạt động VPN:
Code:
HQ# show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id slot status
192.168.10.11 203.162.1.2 QM_IDLE 1070 0 ACTIVE
IPv6 Crypto ISAKMP SA
HQ#
Code:
HQ# show crypto ipsec sa
interface: FastEthernet0/1
Crypto map tag: mymap, local addr 203.162.1.2
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (172.16.1.12/255.255.255.255/0/0)
current_peer 192.168.10.11 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 203.162.1.2, remote crypto endpt.:192.168.10.11
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1
current outbound spi: 0x1F2703F6(522650614)
inbound esp sas:
spi: 0x35592B74(895036276)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2006, flow_id: FPGA:1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4525504/1521)
IV size: 16 bytes
replay detection support: N
Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x1F2703F6(522650614)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2007, flow_id: FPGA:1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4525504/1521)
IV size: 16 bytes
replay detection support: N
Status: ACTIVE
outbound ah sas:
outbound pcp sas:
HQ#
Cấu hình running:
HQ#show running-config
Building configuration...
Current configuration : 1458 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname HQ
!
!
!
!
!
!
!
aaa new-model
!
aaa authentication login VPNAUTH local
aaa authentication login default local none
!
!
aaa authorization network VPNAUTH local
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
username cisco password 0 cisco
username quang password 0 123
!
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
!
!
!
crypto isakmp client configuration group ttggroup
key 123
pool VPNCLIENTS
netmask 255.255.255.0
!
!
crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
!
crypto dynamic-map mymap 10
set transform-set mytrans
reverse-route
!
crypto map mymap client authentication list VPNAUTH
crypto map mymap isakmp authorization list VPNAUTH
crypto map mymap client configuration address respond
crypto map mymap 10 ipsec-isakmp dynamic mymap
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 203.162.1.2 255.255.255.252
duplex auto
speed auto
crypto map mymap
!
interface Vlan1
no ip address
shutdown
!
ip local pool VPNCLIENTS 172.16.1.10 172.16.1.20
ip classless
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1
!
ip flow-export version 9
!
!
access-list 100 permit ip 172.16.1.0 0.0.0.255 any
!
line con 0
!
line aux 0
!
line vty 0 4
!
!
!
end
HQ#
ISP#sh running-config
Building configuration...
Current configuration : 737 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname ISP
!
!
!
!
ip dhcp excluded-address 192.168.10.1 192.168.10.10
!
ip dhcp pool vpnclient
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 8.8.8.8
!
!
!
ip cef
no ipv6 cef
!
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 203.162.1.1 255.255.255.252
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
ip flow-export version 9
!
!
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
!
!
end
ISP#
» Tin mới nhất:
- Linux Shell: Viết chương trình shell tạo user (18/01/2025)
- Hướng Dẫn Lập Trình Chatbot Với Python (18/01/2025)
- SDLC - Systems Development Life Cycle (17/01/2025)
- Vì sao bạn phải vào đại học? (17/01/2025)
- Hướng dẫn Python căn bản (17/01/2025)
» Các tin khác:
- Kỹ thuật tìm kiếm sâu dần. (17/04/2021)
- Năm phiên bản linux tốt nhất: Cách chọn đúng bản linux cần cho công việc (16/04/2021)
- Lập trình Modul trong Python (15/04/2021)
- Cột khóa chính trong DB2 (06/04/2021)
- Phương pháp MC trong học tăng cường (18/03/2021)
- Purpose of Inter-VLAN Routing (18/03/2021)
- Không gian trạng thái (15/03/2021)
- IPv4-IPv6 với cơ chế chuyển đổi NAT- PT (15/03/2021)
- Bảo mật IPv6, IPsec và An toàn mạng (15/03/2021)
- Kiểu dữ liệu trong DB2 (26/02/2021)
