Đang tải... (xem toàn văn)
Cấu hình VPN site to site router cisco 281
SITE A – ROUTER CISCO 2811:Bước 0: Quoay PPPoE Trên router ciscoBước 1: Tạo Internet Key Exchange (IKE) key policy:Router(config)#crypto isakmp policy 10 Router(config-isakmp)#encryption 3desRouter(config-isakmp)#authentication preshareRouter(config-isakmp)#group 2Bước 2: Tạo shared key để sử dụng cho kết nối VPNRouter(config)#crypto isakmp key Cisco123 address 210.245.101.100 (IP ASA site B)Bước3: Quy định lifetime Router(config)#crypto ipsec security-association lifetime seconds 86400Bước4: Cấu hình ACL dãy IP VPN- Lưu ý: trường hợp Vừa quoay PPPoE vừa chạy VPN site to site phần NAT overload làm sau:Router(config)#ip nat inside source route-map nonat interface Dialer0 overloadRouter(config)#route-map nonat petmit 10Router(config-route-map)#match ip address 100Router(config)#access-list 100 deny ip 192.168.6.0 0.0.0.255 10.16.3.0 0.0.0.255Router(config)#access-list 100 permit ip 192.168.6.0 0.0.0.255 anyRouter(config)#access-list 101 permit ip 192.168.6.0 0.0.0.255 10.16.3.0 0.0.0.255=> Thì mạng bên vừa vào internet vừa VPN được.Bước 5: Định nghĩa transformations set mà sử dụng cho VPN connection nầy:Router(config)#crypto ipsec transform-set SET-VPN esp-3des esp-sha-hmac Bước 6: Tạo cypto-map cho transform, setnameRouter(config)#crypto map MAP-VPN ipsec-isakmp Router(config-crypto-map)#set peer 210.245.101.100 (IP ASA site B)Router(config-crypto-map)# set transform-set SET-VPN ( Setname bước 5)Router(config-crypto-map)#match address 101 (101 : acl-number bước ) Bước7: Gán vào interfaceRouter(config)#interface dialer 0Router(config-if)#crypto map MAPVPNSITE A – ASA 5510:Bước 1: tạo Connection Profiles:- Login vào ASDM chọn Menu Startup Wizards… sau chọn IPsec VPN Wizard… - Tại bước chọn: + Tick vào Site-to-Site + VPN Tunnel Interface chọn interface: outside (WAN IP) + Và tick chọn Enable… bấm Next - Ở bước 2: + Peer IP Address điền IP WAN router 2811 (Site A) + Pre-shared key: gõ Cisco123 (giống Pre-shared key router cisco 2811 site A) nhấn Next – Ở bước 2: chọn IKE Policy mã hóa Authentication, lưu ý phải loại với Router Cisco 2811 Ở ta để mặc định bước site A ta chọn 3des authen Pre-shared key : pre-share – Ở bước chọn thuật toán mã hóa authen cho Tunnel lưu ý phải phù hợp với Cisco 2811 site A Ở ta chọn 3DES SHA bước site A ta chọn esp-3des esp-shahmac - Tại bước 5: tương ứng với bước Ở site A set ACL VPN : + Local gõ 10.16.3.0/24 + Remote 192.168.6.0/24 + Và chọn interface translation inside Sau chọn Next - Và bấm Finish để hoàn tất việc tạo kết nối(Connection Profile) – Sau tạo kết nối xong tiế hành Enable interface for IPsec access + Tại Access Interface click vào interface outside click check box Allow access tương ứng nhấn Save Bước 2: Tạo Access List:- Sau tạo Connection Profile xong ta tiến hành set access-list nonat cho kết nối VPN Lưu ý mặc định nonat disable, bạn cần phải enable lên trước sau tiến hành tạo access-list cho nonat.+ Xổ dấu cộng Certificate to Connection Profile… chọn ACL Manager nonat click chuột phải chọn Add ACE… – Permit cho class mạng 192.168.0.0/24 16.3.0/24 – Sau tạo xong ta bên - Tương tự ta kiểm tra permit cho outside inside chưa( mặc định outside_cryptomap tự động tạo khởi tạo Connection Profile) Kết quả: site ping thấy nhau: [...]...- Tương tự như vậy ta kiểm tra đã permit cho outside và inside chưa( mặc định outside_cryptomap được tự động tạo khi khởi tạo Connection Profile) Kết quả: 2 site ping thấy nhau: