Skip to main content

Hướng dẫn cấu hình VPN site to site trên thiết bị router Cisco

25,October 2016
cấu hình VPN site to site router cisco

VPN site to site cho phép thiết lập các kênh kết nối riêng biệt và an toàn giữa các văn phòng ở những địa điểm khác nhau thông qua mạng internet. VPN site to site thiết lập kết nối đến 1 máy tính hoặc server từ xa giống như máy tính hoặc server đó đang đặt trên mạng nội bộ của bạn ( LAN ). Ví dụ công ty của bạn có 2 trụ sở đặt tại Hà Nội và Hồ Chí Minh với yêu cầu người dùng hay ứng dụng tại trụ sở này có thể kết nối và sử dụng tài nguyên Server hoặc máy tính ở trụ sở còn lại giống như kết nối giữa các máy trong nội bộ của trụ sở đó ( LAN connection )

1. Mô hình bài lab 

+ Bài lab được thực hiện trên GNS3 với cisco router IOS 2691, các bạn có thể sử IOS tùy ý. Trong bài lab VPN site to site  có 2 router HN và HCM đóng vai trò router gateway giữa 2 chi nhánh, dùng để thiết lập VPN site to site. Router HN-PC và HCM-PC đóng vai trò là PC trong mạng nội bộ ( LAN ) của mỗi chi nhánh dùng để kiểm tra kết nối site to site VPN giữa 2 chi nhánh sau khi thiết lập VPN.  

2. Thực hiện bài lab VPN site to site 

a. Cấu hình cơ bản cho routers 

+ Thực hiện trên router gateway HN chi nhánh Hà Nội

HN#config t
HN(config)#int s0/0
HN(config-if)#ip address 11.11.11.1 255.255.255.0
HN(config-if)#clock rate 9600
HN(config-if)#no shut
HN(config-if)#ip address 192.168.1.1 255.255.255.0
HN(config-if)#no shut
HN(config-if)#ip route 0.0.0.0 0.0.0.0 11.11.11.2 //mọi gói tin không có trong routing table sẽ được chuyển qua 11.11.11.2 xử lý

+ Thực hiện trên router gateway HCM chi nhánh Hồ Chí Minh

HCM#config t
HCM(config)#int s0/0
HCM(config-if)#ip address 11.11.11.2 255.255.255.0
HCM(config-if)#clock rate 9600
HCM(config-if)#no shut
HCM(config-if)#int fa0/0
HCM(config-if)#ip address 10.168.3.1 255.255.255.0
HCM(config-if)#no shut
HCM(config-if)#ip route 0.0.0.0 0.0.0.0 11.11.11.1 //mọi gói tin không có trong routing table sẽ được chuyển qua 11.11.11.1 xử lý

+ Thực hiện trên router HN-PC đóng vai trò là PC trong Hà Nội LAN 

HN-PC#config t
HN-PC(config)#int fa0/0
HN-PC(config-if)#ip address 192.168.1.10 255.255.255.0
HN-PC(config-if)#no shut
HN-PC(config-if)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 //default gateway của HN-PC sẽ là 192.168.1.1

+ Thực hiện trên router HCM-PC đóng vai trò là PC trong Hồ Chí Minh LAN 

HCM-PC#config t
HCM-PC(config)#int fa0/0
HCM-PC(config-if)#ip address 10.16.3.10 255.255.255.0
HCM-PC(config-if)#no shut
HCM-PC(config-if)#ip route 0.0.0.0 0.0.0.0 10.16.3.1 //default gateway của HCM-PC sẽ là 10.16.3.1

b. Cấu hình VPN site to site giữa router HN và HCM

+ Bước 1: Cấu hình ISAKMP ( hay còn gọi là IKE SA ) phase 1

- ISAKMP (Internet Security Association and Key Management Protocol) IKE SA ( Internet Key Exchange Security Association ) được sử dụng để thương lượng về key và các thông số security dùng để thiết lập 1 kênh giao tiếp an toàn bao gồm :

+ Thuật toán hash
+ Thuật toán mã hóa
+ Số nhóm khóa (version) của  Diffie-Hellman
+ Phương thức chứng thực
+ Xác định thông tin key và peer

HN(config)#crypto isakmp policy 10
HN(config-isakmp)#hash md5   // Thuật toán hash
HN(config-isakmp)#encryption des   // Thuật toán mã hóa
HN(config-isakmp)#group 2   // Số nhóm khóa (version) của  Diffie-Hellman
HN(config-isakmp)#authentication pre-share  // Phương thức chứng thực
HN(config-isakmp)#exit
HN(config)#crypto isakmp key 0 CISCO123 address 11.11.11.2  // Xác định thông tin key và peer
HCM(config)#crypto isakmp policy 10
HCM(config-isakmp)#hash md5   // Thuật toán hash
HCM(config-isakmp)#encryption des   // Thuật toán mã hóa
HCM(config-isakmp)#group 2   // Số nhóm khóa (version) của  Diffie-Hellman
HCM(config-isakmp)#authentication pre-share  // Phương thức chứng thực
HCM(config-isakmp)#exit
HCM(config)#crypto isakmp key 0 CISCO123 address 11.11.11.1  // Xác định thông tin key và peer

- Kiểm tra bằng câu lệnh "show crypto isakmp policy"

VPN site to site IKE SA

+ Bước 2: Cấu hình IPSec Transform-Set (  ISAKMP/IKE SA phase 2 )

- Mục đích của IKE SA phase 2 sử dung cho việc thỏa thuận IPSec SA để thiết lập IPSec tunnel bao gồm các chức năng sau

+ Thiết lập các thông số IPSec SA dựa trên IKE SA ở phase 1
+ Trao đổi định kỳ IPSec SA đảm bảo độ an toàn

HN(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des //chọn giao thức ESP để đóng gói dữ liệu
HN(config)#crypto ipsec security-association lifetime seconds 1800 //thời gian tồn tại của IPSec SA
HCM(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des //chọn giao thức ESP để đóng gói dữ liệu
HCM(config)#crypto ipsec security-association lifetime seconds 1800 //thời gian tồn tại của IPSec SA

+ Bước 3: Tạo Access Control List ( ACL )

- Xác định luồng dữ liệu nào sẽ cho qua tunel và được mã hóa

HN(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 10.16.3.0 0.0.0.255

HCM(config)#access-list 100 permit ip 10.16.3.0 0.0.0.255 192.168.1.0 0.0.0.255

+ Bước 4: Cấu hình Crypto Map

-  Crypto Map sẽ tập hợp toàn bộ thông tin chúng ta đã định nghĩa ở các bước trên gồm peer address, ACL, transform set . Một vài lưu ý về crypto map 

+ Chỉ có thể dùng 1 crypto map trên 1 interface 
+ Có thể sử dụng cùng 1 crypto map trên nhiều interface khác nhau

HN(config)#crypto map MYMAP 10 ipsec-isakmp 
% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.
HN(config-crypto-map)#set peer 11.11.11.2
HN(config-crypto-map)#set transform-set MYSET
HN(config-crypto-map)#match address 100
HCM(config)#crypto map MYMAP 10 ipsec-isakmp 
% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.
HCM(config-crypto-map)#set peer 11.11.11.1
HCM(config-crypto-map)#set transform-set MYSET
HCM(config-crypto-map)#match address 100

+ Bước 5: Đưa crypto map lên interface 

HN(config)#interface s0/0
HN(config-if)#crypto map MYMAP

HCM(config)#interface s0/0
HCM(config-if)#crypto map MYMAP

c. Kiểm tra

+ Kiểm tra kết nối giữa 2 LAN 192.168.1.0/24 và 10.3.16.0/24 sau khi thiết lập VPN site to site 

HN-PC#ping 10.16.3.10

cấu hình VPN site to site HN ping

+ Kiểm tra crypto map:  " show crypto map "

vpn site to site show crypto map

+ Kiểm tra ISAKMP SA:  " show crypto isakmp sa "

HN#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst                  src                   state                 conn-id  slot   status
11.11.11.2      11.11.11.1      QM_IDLE           1001     0     ACTIVE

IPv6 Crypto ISAKMP SA

+  Kiểm tra IPSec SA:  " show crypto ipsec sa "

HN#show crypto ipsec sa

interface: Serial0/0
    Crypto map tag: MYMAP, local addr 11.11.11.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (10.16.3.0/255.255.255.0/0/0)
   current_peer 11.11.11.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9   //những gói tin đã được mã hóa và giải mã và đi qua tunnel của VPN 
    #pkts decaps: 8, #pkts decrypt: 8, #pkts verify: 8
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 1, #recv errors 0

     local crypto endpt.: 11.11.11.1, remote crypto endpt.: 11.11.11.2
     path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0
     current outbound spi: 0xB57F023C(3044999740)

 

3. Video hướng dẫn