Phần III .Hướng dẫn cấu hình VPN/IPSEC trên Router Cisco

Chào anh em. Có 1 điều đáng tiếc là do trong thời gian vừa qua tôi có sự thay đổi công việc nên hơi bận rộn và thời gian không có phép tôi viết tiếp tục TUT này 1 cách liên tục. Hôm nay thời gian đã rảnh rỗi hơn tôi xin tiếp tục để các bạn theo dõi.

Mô hình wrote:

[[ROUTER R1]]
s1/0 = R2 s1/0 # Cổng Serial s1/0 của Router R1 nối với s1/0 của R2

[[router R2]]
model = 7200
s1/1 = R3 s1/1 # Cổng Serial S1/1 của Router R2 nối với S1/1 của R3

[[router R3]]
model = 7200

 

Trước khi đi vào chi tiết cấu hình của 3 Router tôi đưa ra 1 ví dụ cụ thể để các bạn dễ hình dung.
Chúng ta có 3 chi nhánh gồm HN (R1) , ĐN (R2) và HCM (R3) . Việc trao đổi dự liệu giữa các TP này diễn ra thường xuyên và liên tục.
Tất cả dữ liệu được truyền từ ĐN vào HCM là những dữ liệu quan trọng và yêu cầu đặt ra là khi dữ liệu chạy trên đường truyền từ ĐN và HCM phải được mã hóa và bảo vệ.
Trong mô hình lab này. Tôi sẽ cấu hình VPN IPSEC chạy trên đoạn từ serial 1/1 của Router 2 tới Serial 1/1 của Router 3.
Nghĩa là khi có luồng dữ liệu chạy trên link này nếu đúng peer -1- thì cơ chế VPN sẽ bắt đầu hoạt động.

Trước tiên là cấu hình Router 1 ( HN ). Trong con Router này thì không có gì đáng chú ý trong vấn đề VPN/IPSEC . Nhưng tôi cũng sẽ giải thích thêm 1 số vấn đề để các bạn dễ nắm bắt. Phần giải thích sẽ là chữ màu đỏ được in đậm

Config Router R1 Hà Nội wrote:

R1#sh run
Building configuration...

Current configuration : 3499 bytes

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption

hostname R1

boot-start-marker
boot-end-marker

enable secret 5 $1$NOsH$dzAiUg0rigA/wHkPJZB/b0

no aaa new-model
ip cef
multilink bundle-name authenticated


crypto pki trustpoint TP-self-signed-4294967295
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-4294967295
revocation-check none
rsakeypair TP-self-signed-4294967295

crypto pki certificate chain TP-self-signed-4294967295
certificate self-signed 01
3082023A 308201A3 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 34323934 39363732 3935301E 170D3037 30343034 32323332
30325A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D34 32393439
36373239 3530819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B306 EE726C90 E705F165 B464DDA4 314014FA 38DA1020 120AB79E CB3B9AD8
B76B2262 2FAE5208 21C20A01 4304984C 34C0ED37 DD02AF87 99FC8B86 DBCD42FF
B08CF30C B3C19056 50DC2B37 5E7769F2 AB8F8CE4 464DF6BE BB725A97 29A9E629
A323D36D E01FC307 4C61F961 C0AC5C83 3134CFE4 3FD2347A 289F21DC E0F7ED40
D9B30203 010001A3 62306030 0F060355 1D130101 FF040530 030101FF 300D0603
551D1104 06300482 02523130 1F060355 1D230418 30168014 DE1009DC 2F7D3708
04170326 E5336218 6052B3D3 301D0603 551D0E04 160414DE 1009DC2F 7D370804
170326E5 33621860 52B3D330 0D06092A 864886F7 0D010104 05000381 81009463
996F4CA7 6DC06475 AF297485 5A715D4B AE4DB018 13F79AD0 33227310 8DACCC44
1EB897F9 82F41311 7E178D1B 903197F6 5082C822 9BE373DA 5743BE8E 6E68A90E
081C6CF4 BD3ED8D3 C7E4DAF8 10325062 8B1A8A43 80886D42 EFD18E26 3B854D05
969B748B 4F084A4A 1031AA22 7684BBE0 846DA565 AC257813 0AD2B5F9 42A0
quit

interface Loopback0
ip address 192.168.1.1 255.255.255.0

interface Loopback1
ip address 192.168.2.1 255.255.255.0

interface Loopback2
ip address 192.168.3.1 255.255.255.0

interface FastEthernet0/0
ip address 10.10.1.146 255.255.255.0
duplex full

interface Serial1/0
ip address 10.0.0.1 255.255.255.0
ip ospf authentication message-digest \\ Trong khi routing bằng OSPF tôi có authentication giữa các neighbor bằng key là “ thang “
ip ospf message-digest-key 1 md5 thang
no fair-queue
serial restart-delay 0
clock rate 64000


router eigrp 1
network 192.168.1.0
network 192.168.2.0
network 192.168.3.0
auto-summary

router ospf 1 \\ Giữa 3 Router của 3 miền tôi dung cơ chế OSPF để routing. Và tất cả để được nối vào Area0
log-adjacency-changes
summary-address 192.168.0.0 255.255.0.0
redistribute eigrp 1 subnets
network 10.0.0.0 0.0.0.255 area 0

ip http server
ip http secure-server

logging alarm informational

control-plane

gatekeeper
shutdown

banner motd ^C
Retrict Area . This is ASBR . Routing OSPF1 + EIGRP1
^C

line con 0
exec-timeout 0 0
password cisco
login
stopbits 1
 

Config Router 2 Đà Nẵng wrote:

R2
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption

hostname R2

boot-start-marker
boot-end-marker

enable secret 5 $1$zFeK$NJjHyf.rQkLWZf88tT21R.

no aaa new-model
ip cef


multilink bundle-name authenticated

crypto isakmp policy 1 \\ Chúng ta đang bắt đầu tạo policy cho quá trình IKE mà tôi đã giải thích trong 2 chương trước đó
encr aes \\ Chúng ta sẽ mã hóa bằng AES
authentication pre-share \\ Xác thực bằng pre-share key
group 2
crypto isakmp key 6 cisco address 11.0.0.2 \\ Và key để trao đổi giữa 2 đầu Đà Nẵng và HCM là “ cisco “ . IP 11.0.0.2 chính là IP của Serial 1/1 HCM hay còn gọi là peer của Router Đà Nẵng.
Việc xác định peer này là vô cùng quan trọng vì người quản trị phải biết được mục đích chúng ta đang định giao tiếp với ai và quá trình VPN sẽ xảy ra khi dữ liệu đi từ đâu tới đâu.



crypto ipsec transform-set R2 esp-aes esp-sha-hmac \\ Đến thời điểm này chúng ta đã xong phần thiết lập các chính sách trong quá trình IKE. Trong command này chúng ta đang tiến hành khởi tạo policy cho quá trình đóng gói dữ liệu. Đây là những chính sách mà chúng ta quy định cho việc gói dữ liệu sẽ được bao bọc bởi cơ chế mã hóa gì.

crypto map VPN_TO_R3 10 ipsec-isakmp \\ Command này là thao tác chúng ta chính thức thông báo cho Router ĐN apply các chính sách đã khởi tạo quá trình IKE
set peer 11.0.0.2 \\ Và đối tượng để thiết lập quá trình VPN/IPSEC này là IP 11.0.0.2 của Router HCM
set transform-set R2 \\ Chính thức apply policy của cơ chế IPSEC
match address 101 \\ Apply luồng traffic được mã hóa. Và luồng traffic được mã hóa này chúng ta sẽ tạo ra nó bằng 1 Access list

interface Loopback0
ip address 172.0.0.1 255.255.255.0

interface Loopback1
ip address 172.0.2.1 255.255.255.0

interface Loopback2
ip address 172.0.3.1 255.255.255.0

interface FastEthernet0/0
no ip address
shutdown
duplex half

interface Serial1/0
ip address 10.0.0.2 255.255.255.0
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 thang
serial restart-delay 0

interface Serial1/1
ip address 11.0.0.1 255.255.255.0
ip ospf authentication message-digest
ip ospf message-digest-key 2 md5 thang
serial restart-delay 0
clock rate 64000
crypto map VPN_TO_R3 \\Apply crypto map vào Interface kết nối VPN

router eigrp 1
network 172.0.0.0 0.0.0.255
network 172.0.2.0 0.0.0.255
network 172.0.3.0 0.0.0.255
auto-summary

router ospf 1
log-adjacency-changes
summary-address 192.168.0.0 255.255.0.0 not-advertise
summary-address 172.0.0.0 255.255.0.0
redistribute eigrp 1 subnets
network 10.0.0.0 0.0.0.255 area 0
network 11.0.0.0 0.0.0.255 area 0

no ip http server
no ip http secure-server



logging alarm informational
access-list 101 permit ip 10.0.0.0 0.0.255.255 210.245.0.0 0.0.255.255 \\ Khi thực hiện command này chúng ta đang tạo ra bộ luật bao gồm những range IP sẽ được VPN và mã hóa bởi IP SEC.
Và Access list 101 này chúng ta đã apply vào Router bằng lệnh match address 101 phía trên. Thao tác tạo ra Access list này các bạn nên làm trước khi Apply các chính sách VPN IPSEC và Router.
Ý nghĩa của command này là tôi muốn Router hiểu rằng tất cả những traffic nào có địa chỉ IP là 10.0.x.x subnet mask 255.255.0.0 khi muốn đi tới range 210.245.x.x subnetmask là 255.255.0.0 đều phải chui qua VPN và được IPSEC bao bọc.


control-plane


gatekeeper
shutdown

banner motd ^C
Retrict Area . This's ASBRs Router . EIGRP1 + OSPF1
^C

line con 0
password cisco
login
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login


end

R2#
 

Còn với Router 3 thì các bạn nhìn và suy luận tương tự như Router 2

Config Router 3 HCM wrote:

Building configuration...

Current configuration : 1829 bytes

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption

hostname R3

boot-start-marker
boot-end-marker


no aaa new-model
ip cef


multilink bundle-name authenticated

crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key 6 cisco address 11.0.0.1


crypto ipsec transform-set R3 esp-aes esp-sha-hmac

crypto map VPN_TO_R2 10 ipsec-isakmp
set peer 11.0.0.1
set transform-set R3
match address 101





interface Loopback0
ip address 210.245.31.130 255.255.255.255

interface FastEthernet0/0
no ip address
shutdown
duplex half

interface Serial1/0
no ip address
shutdown
no fair-queue
serial restart-delay 0

interface Serial1/1
ip address 11.0.0.2 255.255.255.0
ip ospf authentication message-digest
ip ospf message-digest-key 2 md5 thang
serial restart-delay 0
crypto map VPN_TO_R2


router ospf 1
log-adjacency-changes
network 11.0.0.0 0.0.0.255 area 0
network 210.245.0.0 0.0.255.255 area 0

no ip http server
no ip http secure-server



logging alarm informational
access-list 101 permit ip 210.245.0.0 0.0.255.255 10.0.0.0 0.0.0.255

control-plane

gatekeeper
shutdown

banner motd ^C
Retric Area .^C

line con 0
exec-timeout 0 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login


End
 

Trong phần này tôi đã trình bày cách cấu hình VPN IPSEC theo dạng Site to Site.
Và những gì sẽ diễn ra sau khi chúng ta thiết lập những thông số trên?
Làm sao chúng ta có thể biết VPN đã chạy hay chưa?
Nó đang ở mode nào? Xin vui lòng chờ chương kế tiếp.
Tôi không giải thích qua chi tiết tất cả những command trong quá trình viết TUT này. Do đó xin mời tất cả các bạn tham gia thảo luận.
Cám ơn các bạn

Thangdiablo

-1- peer Chỉ những đầu , đối tượng liên hệ trực tiếp với Router