Trong bài viết này mình sẽ hướng dẫn các bạn cấu hình VPN Client khổng lồ Site bên trên router Cisco để Remote Access tự xa. Trong bài Lab này mình sử dụng phần mềm Packet Tracert nhằm cấu hình.Bạn đã xem: Vpn client khổng lồ site là gì
VPN Client khổng lồ Site là gì?
Yêu cầu
Mô hình mạng bao hàm 2 site HQ cùng BR. Mạng HQ bao gồm 2 VLAN 10 (10.0.0.0/24) cùng VLAN trăng tròn (10.0.1.0/24). Mạng BR thực hiện VLAN1 172.16.1.0/24. Yêu thương cầu bài bác lap là cấu hình VPN Client to lớn Site trên lắp thêm định đường Router Cisco ISR4321 để client ngơi nghỉ mạng BR có thể truy cập vào 2 VLAN của mạng HQ áp dụng IPSec với MD5. Client remote access áp dụng dải địa chỉ cửa hàng IP tự 192.1668.1.20 cho 192.168.1.50.
IP WAN của HQ là 100.0.0.100/24 với IP Wan của BR là 100.0.0.1/24 áp dụng giao thức NAT để truy cập internet. Trong bài viết này mình đã thông số kỹ thuật trước đảm bảo an toàn 2 site hầu hết ping được ra internet.
Bạn đang xem: Cấu hình vpn client to site trên router cisco
Kiểm tra liên kết từ site HQ cho IP wan của BR: từ hệ thống 10.0.0.10 ping cho IP 100.0.0.1
C:>ping 100.0.0.1 Pinging 100.0.0.1 with 32 bytes of data: Reply from 100.0.0.1: bytes=32 timeReply from 100.0.0.1: bytes=32 time=1ms TTL=253 Reply from 100.0.0.1: bytes=32 timePing statistics for 100.0.0.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 1ms, Average = 0msC:> |
Kiểm tra kết nối từ siteBR cho IP wan củaHQ:từ Client 172.16.1.10ping mang đến IP 100.0.0.100
C:>ping 100.0.0.100 Pinging 100.0.0.100 with 32 bytes of data:Reply from 100.0.0.100: bytes=32 time=2ms TTL=255Reply from 100.0.0.100: bytes=32 time=1ms TTL=255Reply from 100.0.0.100: bytes=32 time=3ms TTL=255Reply from 100.0.0.100: bytes=32 timePing statistics for 100.0.0.100:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 3ms, Average = 1ms C:> |
Các bước thông số kỹ thuật VPN Client to lớn Site
Bước 1: nhảy aaa new-model để tạo thông tin tài khoản VPNBước 2: Khởi chế tạo ra ISAKMP PolicyBước 3: tạo IP Local Pool để cấp cho IP mang đến VPN ClientBước 4: chế tạo ISAKMP KeyBước 5: chế tạo Crypto IPSec Transform SetBước 6: tạo nên Crypto MapBước 7: Apply Crypto bản đồ vào interface wanCấu hình VPN Client lớn Site trên Router Cisco
Bước 1: nhảy aaa new-model và sinh sản web11_user
Router#configure terminalHQ(config)#aaa new-modelHQ(config)#aaa authentication login VPN-AUTHEN localHQ(config)#aaa authorization network VPN-AUTHOR localHQ(config)#web11_username admin password Admin123 |
Bước 2: Khởi sinh sản ISAKMP Policy
HQ(config)#crypto isakmp policy 10HQ(config-isakmp)#encryption 3desHQ(config-isakmp)#hash md5HQ(config-isakmp)#authentication pre-shareHQ(config-isakmp)#group 2 |
Bước 3: sinh sản IP Local Pool để cung cấp IP mang lại VPN Client
HQ(config)#ip local pool VPN-CLIENT 192.168.1.20 192.168.1.50 |
Bước 4: tạo thành ISAKMP Key vàgán pool vào
HQ(config)#crypto isakmp client configuration group ciscoHQ(config-isakmp-group)#key Cisco123HQ(config-isakmp-group)#pool VPN-CLIENT |
Bước 5: tạo ra Crypto IPSec Transform Set
HQ(config)#crypto ipsec transform-set SET1 esp-3des esp-md5-hmac |
Bước 6: chế tác Crypto bản đồ và gántransform-set vào
HQ(config)#crypto dynamic-map MAP1 10HQ(config-crypto-map)#set transform-set SET1HQ(config-crypto-map)#reverse-routeHQ(config-crypto-map)#exitHQ(config)#crypto map MAP1 client authentication các mục VPN-AUTHENHQ(config)#crypto map MAP1 client configuration address respondHQ(config)#crypto map MAP1 isakmp authorization list VPN-AUTHORHQ(config)#crypto map MAP1 10 ipsec-isakmp dynamic MAP1 |
Bước 7: Apply Crypto bản đồ vào interface wan
HQ(config)#interface g0/0/1HQ(config-if)#crypto map MAP1 |
Kết nối VPN tự BR cùng Kiểm tra
Từ Client 172.16.1.10 làm việc BR, mở VPN Configuration và thiết lập các thông số VPN:
Xem thêm: Những Nhân Viên Gương Mẫu Tập 46 Vietsub, Những Nhân Viên Gương Mẫu
Kiểm tra trên Router bằng lệnh "show crypto isakmp sa" cùng "show crypto ipsec sa"
show crypto isakmp sa
HQ#show crypto isakmp sa IPv4 Crypto ISAKMP SAdst src state conn-id slot status100.0.0.1 100.0.0.100 QM_IDLE 1010 0 ACTIVE IPv6 Crypto ISAKMP SA HQ# |
show crypto ipsec sa
HQ#show crypto ipsec sa
interface: GigabitEthernet0/0/1 Crypto bản đồ tag: map1, local addr 100.0.0.100 protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (192.168.1.21/255.255.255.255/0/0) current_peer 100.0.0.1 port 500 PERMIT, flags=origin_is_acl, #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. Failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 100.0.0.100, remote crypto endpt.:100.0.0.1 path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/1 current outbound spi: 0x793A6AEB(2033871595) inbound esp sas: spi: 0x230401A3(587465123) transform: esp-3des esp-md5-hmac , in use web11_settings =Tunnel, conn id: 2003, flow_id: FPGA:1, crypto map: map1 sa timing: remaining key lifetime (k/sec): (4525504/1008) IV size: 16 bytes replay detection support: N Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x793A6AEB(2033871595) transform: esp-3des esp-md5-hmac , in use web11_settings =Tunnel, conn id: 2004, flow_id: FPGA:1, crypto map: map1 sa timing: remaining key lifetime (k/sec): (4525504/1008) IV size: 16 bytes trả lời detection support: N Status: ACTIVE outbound ah sas: outbound pcp sas: