Cấu Hình VPN Router-To-PIX Tác giả Lê Anh Đức Mô tả: Dựa vào sơ đồ trên ta thấy, bài lab thực hiện tạo một tunnel private giữa 2 LAN qua một môi trường truyền public, ta sử dụng một router RI làm ISP router, để các PC trong LAN ra được internet, ta sử dụng NAT overload để ra ngoài, trừ những traffic trong nội bộ tunnel. Bài lab không đi sâu vào cách cấu hỉnh PIX như thế nào. Cấu hình: RA: Building configuration *Mar 1 00:34:25.701: %SYS-5-CONFIG_I: Configured from console by console Current configuration : 1205 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname RA ! ! memory-size iomem 10 ip subnet-zero ! ! ! ! crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key cisco address 172.17.63.213 ! ! crypto ipsec transform-set vnpro esp-des ! crypto map lee 10 ipsec-isakmp set peer 172.17.63.213 set transform-set vnpro match address 115 ! ! ! voice call carrier capacity active ! ! ! ! ! ! ! ! ! mta receive maximum-recipients 0 ! ! ! ! interface Ethernet0/0 ip address 10.2.2.1 255.255.255.0 ip nat inside half-duplex ! interface Serial0/0 ip address 172.17.63.230 255.255.255.240 ip nat outside no fair-queue crypto map lee ! ip nat inside source route-map nonat interface Serial0/0 overload ip classless ip route 0.0.0.0 0.0.0.0 172.17.63.225 ip http server ! ! access-list 110 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255 access-list 110 permit ip any any access-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255 ! route-map nonat permit 10 match ip address 110 ! call rsvp-sync ! ! mgcp profile default ! dial-peer cor custom ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end PIX: PIX Version 6.3(1) interface ethernet0 auto  up interface lên interface ethernet1 auto nameif ethernet0 outside security0  đặt tên cho interface, mặc định e0 là outside nameif ethernet1 inside security100  e1 là inside enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname PIX fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol ils 389 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 names access-list ipsec permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0  cấu hình ACL để xác định traffic được mã hoá bảo vệ access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0 xác định traffic được miễn NAT pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside 172.17.63.213 255.255.255.240  cấu hình địa chỉ IP cho interface ip address inside 10.1.1.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 global (outside) 1 172.17.63.210  xác định tầm IP được NAT nat (inside) 0 access-list nonat  xác định là traffic trong tunnel được miễn NAT nat (inside) 1 10.1.1.0 255.255.255.0 0 0  xác định các IP được NAT conduit permit icmp any any  cho phép ping ra ngoài mạng route outside 0.0.0.0 0.0.0.0 172.17.63.209 1  cấu hình default gateway ra ngoài internet timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-ipsec crypto ipsec transform-set vnpro esp-des  cấu hình VPN như bên router crypto map lee 10 ipsec-isakmp crypto map lee 10 match address ipsec crypto map lee 10 set peer 172.17.63.230 crypto map lee 10 set transform-set vnpro crypto map lee interface outside isakmp enable outside isakmp key ******** address 172.17.63.230 netmask 255.255.255.255 isakmp identity address isakmp policy 10 authentication pre-share isakmp policy 10 encryption des isakmp policy 10 hash md5 isakmp policy 10 group 1 isakmp policy 10 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 Cryptochecksum:e52c775e9c04687097ae170f546a111b : end RI(gateway): Building configuration Current configuration : 841 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname RI ! ! memory-size iomem 10 ip subnet-zero ! ! ! ! ! ! voice call carrier capacity active ! ! ! ! ! ! ! ! ! mta receive maximum-recipients 0 ! ! ! ! interface FastEthernet0/0 ip address 172.17.63.209 255.255.255.240 duplex auto speed auto ! interface Serial0/0 [...]... PIX(config)# isakmp policy 10 authentication pre-share PIX(config)# isakmp policy 10 hash md5 PIX(config)# Chú ý: khi cấu hình ACL trên PIX, ta sử dụng Subnet mask chứ không sử dụng wildcard mask, và trên PIX chỉ có thể cấu hình mọi thứ trên mode global config Trên router A ta cũng cấu hình VPN như sau: RA(config)#crypto isakmp policy 10 RA(config-isakmp)#hash md5 RA(config-isakmp)#authentication pre-share... PIX(config)# interface e0 auto PIX(config)# interface e1 auto PIX(config)# conduit permit icmp any any PIX(config)# route outside 0.0.0.0 0.0.0.0 172.17.63.209 Sau khi đã cấu hình cho các interface của PIX up lên, ta thực hiện NAT và cấu hình VPN: PIX(config)# access-list ipsec permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0 PIX(config)# access-list nonat permit ip 10.1.1.0 255.255.255.0 10.2.2.0... ! mgcp profile default ! dial-peer cor custom ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end Thực hiện: Trước hết, ta phải cấu hình cho PIX hoạt động được, do PIX ở bài lab này được thiết kế có 2 cổng Ethernet để kết nối mạng nội bộ với mạng public, nên ta phải cấu hình cho 2 cổng này hoạt động được: pixfirewall# conf t pixfirewall(config)# ho PIX PIX(config)# nameif ethernet0 outside security0 . ý: khi cấu hình ACL trên PIX, ta sử dụng Subnet mask chứ không sử dụng wildcard mask, và trên PIX chỉ có thể cấu hình mọi thứ trên mode global config. Trên router A ta cũng cấu hình VPN như. any PIX(config)# route outside 0.0.0.0 0.0.0.0 172.17.63.209 Sau khi đã cấu hình cho các interface của PIX up lên, ta thực hiện NAT và cấu hình VPN: PIX(config)# access-list ipsec permit ip 10.1.1.0 255.255.255.0. Cấu Hình VPN Router- To-PIX Tác giả Lê Anh Đức Mô tả: Dựa vào sơ đồ trên ta thấy, bài lab thực hiện tạo một tunnel private giữa 2 LAN qua một môi trường truyền public, ta sử dụng một router