Thứ Sáu, 1 tháng 11, 2013

Hướng dẫn Cấu hình VPN client to site (Remote Access VPN) bằng packet tracer

Mô hình :



http://i826.photobucket.com/albums/zz189/ducquang89/mohinh.png

Ở đây ta sử dụng laptop VPN Client sử dụng wireless bên ngoài Internet có thể kết nối VPN về hệ thống mạng nội bộ ở trụ sở (HQ). Để giả lập môi trường Internet ta sử dụng Router ISP giả lập router ISP 

Cấu hình cơ bản:

Router ISP:
hostname ISP
!
interface FastEthernet0/0
ip address 192.168.10.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 203.162.1.1 255.255.255.252

Router HQ:
hostname HQ
!
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
!
interface FastEthernet0/1
ip address 203.162.1.2 255.255.255.252
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 

Cấu hình VPN client-to-site trên router HQ:

1. Bật chứng thực AAA trên Router HQ sử dụng phương thức chứng thực local

HQ(config)# username cisco password cisco 
HQ(config)# aaa new-model 
HQ(config)# aaa authentication login default local none

2. Tạo IP pool cho VPN client sử dụng để kết nối VPN:

HQ(config)# ip local pool VPNCLIENTS 172.16.1.10 172.16.1.20

4. Cấu hình Group Authorization (nhóm thẩm định với VPN Server):

HQ(config)# aaa authorization network VPNAUTH local

5. Tạo 1 IKE Policy và Group (sử dụng pre-share key và dùng AES để mã hóa với 256 bit)

HQ(config)# crypto isakmp policy 10 
HQ(config-isakmp)# authentication pre-share 
HQ(config-isakmp)# encryption aes 256 
HQ(config-isakmp)# group 2

6. Tạo ISAKMP group là ttggroup và password 123:

HQ(config)# crypto isakmp client configuration group ttggroup
HQ(config-isakmp-group)# key 123 
HQ(config-isakmp-group)# pool VPNCLIENTS 
HQ(config-isakmp-group)# netmask 255.255.255.0

7. Cấu hình IPSec Transform sử dụng thuật toán mã hóa 3DES và SHA-HMAC để đảm bảo tính toàn vẹn dữ liệu:

HQ(config)# crypto ipsec transform-set mytrans esp-3des esp-sha-hmac 

8. Tạo 1 Dynamic Crypto Map:

HQ(config)# crypto dynamic-map mymap 10 
HQ(config-crypto-map)# set transform-set mytrans 
HQ(config-crypto-map)# reverse-route

HQ(config)# crypto map mymap client configuration address respond 
HQ(config)# crypto map mymap isakmp authorization list VPNAUTH 
HQ(config)# crypto map mymap 10 ipsec-isakmp dynamic mymap

9. Cấu hình user chứng thực

HQ(config)# aaa authentication login VPNAUTH local 
HQ(config)# username quang password 123
HQ(config)# crypto map mymap client authentication list VPNAUTH

10. Cài đặt VPN Client : 

Thế này là kết nối thành công:

Tiến hành ping từ VPN Client đến Server 0:

Lưu ý : Nếu sử dụng thiết bị thật thì có thể dùng phần mềm cisco VPN Client tham khảo và tải ở đây:

http://truongtan.edu.vn/forum/showthread...-0-07-0290

Kiểm tra hoạt động VPN:

Code:

HQ#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
192.168.10.11   203.162.1.2     QM_IDLE           1070    0 ACTIVE
IPv6 Crypto ISAKMP SA
HQ#


 

Code:

HQ#show crypto ipsec sa

interface: FastEthernet0/1
Crypto map tag: mymap, local addr 203.162.1.2

protected vrf: (none)
local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote  ident (addr/mask/prot/port): (172.16.1.12/255.255.255.255/0/0)
current_peer 192.168.10.11 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 203.162.1.2, remote crypto endpt.:192.168.10.11
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1
current outbound spi: 0x1F2703F6(522650614)

inbound esp sas:
spi: 0x35592B74(895036276)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2006, flow_id: FPGA:1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4525504/1521)
IV size: 16 bytes
replay detection support: N
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x1F2703F6(522650614)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2007, flow_id: FPGA:1, crypto map: mymap
sa timing: remaining key lifetime (k/sec): (4525504/1521)
IV size: 16 bytes
replay detection support: N
Status: ACTIVE

outbound ah sas:

outbound pcp sas:
HQ#


Các bạn có thể tham khảo file packet tracer (chạy trên packet tracer 5.3.3)
http://www.mediafire.com/?8v5jpy6u64ou9yw

Cảm ơn, chào thân ái và đoàn kết. :tp53::tp53::tp53:

3 nhận xét:

  1. bài viết rất hay và hữu ích

    ---------------
    118/17 Trần Quang Diệu, P.14, Q.3, HCM
    Hotline: 0906.112.812 - 0909730124 (A MINH)
    Cung cấp các sản phẩm laptop sỉ và lẻ tại TPHCM
    CLICK xem chi tiết: Mua laptop cu giá rẻ hoặc mua laptop cu gia re
    News

    Trả lờiXóa
  2. pass HQ la gi the?

    Trả lờiXóa