Chào các Bác:
Em có cấu hình sau:
RT2600#show running-config
Building configuration...
Current configuration : 5980 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname RT2600
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxxx
enable password 7 xxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login RemoteUserAAA local
aaa authentication ppp default local
aaa authorization network GroupUserAAA local
!
aaa session-id common
!
resource policy
!
memory-size iomem 10
no network-clock-participate slot 1
no network-clock-participate wic 0
ip cef
!
!
!
!
no ip bootp server
ip domain name xxx.com.vn
ip name-server 4.2.2.1
ip name-server xx.xx.xx.xx
ip name-server 203.162.0.181
ip ssh time-out 60
ip ssh authentication-retries 5
ip ssh version 2
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
local name internet
!
crypto pki trustpoint TP-self-signed-1512253067
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1512253067
revocation-check none
rsakeypair TP-self-signed-1512253067
!
!
crypto pki certificate chain TP-self-signed-1512253067
certificate self-signed 01
3082024B 308201B4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31353132 32353330 3637301E 170D3032 30333138 32313437
34365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 35313232
35333036 3730819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100BF84 9B8C39DA 718A9524 B816DD4E CA43DE3E DABFFD89 97C8FFFE F068CFA9
5330CEF6 9F7209B9 5DFE2F89 E426E2CD 03B0D1D6 CF3ACA8E 61D1F8AB 5724F167
F012AEC4 9C776289 ECFF8EE0 6CC0F980 612D259D CCB87412 ACF45BD1 7A88222B
1A53122C 90079A8A 10CD4012 8387F31C 2FF6C59D 6CA1FBCE 17D6BB52 9A02357E
098D0203 010001A3 73307130 0F060355 1D130101 FF040530 030101FF 301E0603
551D1104 17301582 13525432 3630302E 68707465 6C2E636F 6D2E766E 301F0603
551D2304 18301680 14F45B7D CE8DD6B8 16BB23BE 72C225FE D1B069C5 F2301D06
03551D0E 04160414 F45B7DCE 8DD6B816 BB23BE72 C225FED1 B069C5F2 300D0609
2A864886 F70D0101 04050003 8181007A 212BBBE2 782A00F5 D0919BF4 B99BE5E8
FF45EFEC 0BC03DC0 F61B7E2E 259E086A B4907DA4 32032192 C12E949F A27E0240
1095688E A777EEFF 9EF4140A EC659269 8D1D278F 63AAB845 88FF6329 7D591E69
6A9E5D5A AFC5914E F9C214B5 67CF5BD2 CB181428 110C9B06 B3706608 93A15150
714175FC 4705B274 D285825E 3EDE1D
quit
username aaaaa password 7 aaaaaa
username bbbb password 7 bbbbb
!
!
controller DSL 0/0
mode atm
line-term cpe
line-mode 2-wire line-zero
dsl-mode shdsl symmetric annex A-B
line-rate auto
!
controller DSL 0/1
mode atm
line-term cpe
line-mode 2-wire line-zero
dsl-mode shdsl symmetric annex A-B
line-rate auto
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group IT-group
key xxxxx
dns xx.xx.xx.20
domain xxx.com.vn
pool namtel
include-local-lan
!
!
crypto ipsec transform-set namtel esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set namtel
reverse-route
!
!
crypto map clientmap client authentication list RemoteUserAAA
crypto map clientmap isakmp authorization list GroupUserAAA
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
bridge irb
!
!
!
interface ATM0/0
no ip address
no atm ilmi-keepalive
bridge-group 1
pvc 0/35
encapsulation aal5snap
!
!
interface FastEthernet0/0
ip address xx.xx.cc.225 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface ATM0/1
no ip address
no atm ilmi-keepalive
bridge-group 1
pvc 0/35
encapsulation aal5snap
!
!
interface Virtual-Template1
ip unnumbered BVI1
ip mroute-cache
peer default ip address pool namtel
ppp encrypt mppe auto required
ppp authentication ms-chap ms-chap-v2
!
interface BVI1
ip address xxx.xxx.159.9 255.255.255.0 secondary
ip address xxx.xxx.159.13 255.255.255.0
ip nat outside
ip nat enable
no ip virtual-reassembly
crypto map clientmap
!
ip local pool namtel xx.xx.xx.20 xx.xx.xx.30
ip route 0.0.0.0 0.0.0.0 xxx.xxx.159.1
ip route xx.xx.0.0 255.255.0.0 xx.xx.cc.1
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat pool internet xxx.xxx.159.9 xxx.xxx.159.9 prefix-length 24
ip nat pool internet2 xxx.xxx.159.13 xxx.xxx.159.13 prefix-length 24
ip nat inside source list 10 pool internet overload
ip nat inside source list 20 pool internet2 overload
!
ip access-list extended namtel
permit ip host xx.xx.xx.201 any
permit tcp any any eq www
permit tcp any any eq 8080
permit tcp any any eq 443
permit tcp any any eq smtp
permit tcp any any eq pop3
permit udp any any eq domain
permit tcp any any eq domain
permit tcp any any eq 5001
permit udp any any eq 5000
!
access-list 10 permit xx.xx.aa.0 0.0.0.255
access-list 20 permit xx.xx.bb.0 0.0.0.255
access-list dynamic-extended
snmp-server community namtel RW
snmp-server enable traps tty
no cdp run
!
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
!
voice-port 1/0/0
!
voice-port 1/0/1
!
dial-peer cor custom
!
!
line con 0
password 7 xxxxxxxxxxxx
line aux 0
line vty 0 4
session-timeout 5
password 7 xxxxxxxxxxxx
session-limit 5
transport input telnet ssh
transport output telnet ssh
!
!
end
RT2600#
Hiện em đang chạy cấu hình này, nhưng em thấy không ổn lắm
Vấn đề đặt ra là:
- Cấu hình này có chia tải được không (khi em gán Access list cho các pool khác nhau)?
- Em cấu hình cả IPsec và L2TP như trên nhưng khi kết nối từ vpn client (dùng ADSL) sử dụng cisco client thì không kết nối vào mạng LAN được ( nếu modem ADSL từ phía client để chế độ bridge và sử dụng PPPoE của windows sau đó kết nối VPN client thì vào được mạng LAN ). Còn khi sử dụng L2TP thì modem ADSL phía client để chế độ bridge hay routed vẫn vào được LAN ( em nghĩ IPsec có vấn đề về NAT từ modem ADSL)? Vấn đề này giải quyết thế nào khi em muốn sử dụng IPsec và modem Adsl để ở chế độ routed ??
- Với cấu hình trên thực sự đã tối ưu ? khi em sử dụng 2 line SHDSL như vậy ? và mong muốn băng thông ra Internet = 2 line này phải sử dụng tối đa ( Hiện tại em nghĩ nó chỉ sử dụng 1 trong 2 line thôi bởi vì có lúc cái 2 địa chỉ xxx.xxx.159.9 và xxx.xxx.159.13 có up xong chỉ có xxx.xxx.159.13 là nat được ra ngoài internet còn cái acl gắn vào pool kia không nat được
( interface BVI1
ip address xxx.xxx.159.9 255.255.255.0 secondary
ip address xxx.xxx.159.13 255.255.255.0)
Kính mong chỉ giáo
Xin cảm ơn !
Em có cấu hình sau:
RT2600#show running-config
Building configuration...
Current configuration : 5980 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname RT2600
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxxx
enable password 7 xxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login RemoteUserAAA local
aaa authentication ppp default local
aaa authorization network GroupUserAAA local
!
aaa session-id common
!
resource policy
!
memory-size iomem 10
no network-clock-participate slot 1
no network-clock-participate wic 0
ip cef
!
!
!
!
no ip bootp server
ip domain name xxx.com.vn
ip name-server 4.2.2.1
ip name-server xx.xx.xx.xx
ip name-server 203.162.0.181
ip ssh time-out 60
ip ssh authentication-retries 5
ip ssh version 2
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
local name internet
!
crypto pki trustpoint TP-self-signed-1512253067
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1512253067
revocation-check none
rsakeypair TP-self-signed-1512253067
!
!
crypto pki certificate chain TP-self-signed-1512253067
certificate self-signed 01
3082024B 308201B4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31353132 32353330 3637301E 170D3032 30333138 32313437
34365A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 35313232
35333036 3730819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100BF84 9B8C39DA 718A9524 B816DD4E CA43DE3E DABFFD89 97C8FFFE F068CFA9
5330CEF6 9F7209B9 5DFE2F89 E426E2CD 03B0D1D6 CF3ACA8E 61D1F8AB 5724F167
F012AEC4 9C776289 ECFF8EE0 6CC0F980 612D259D CCB87412 ACF45BD1 7A88222B
1A53122C 90079A8A 10CD4012 8387F31C 2FF6C59D 6CA1FBCE 17D6BB52 9A02357E
098D0203 010001A3 73307130 0F060355 1D130101 FF040530 030101FF 301E0603
551D1104 17301582 13525432 3630302E 68707465 6C2E636F 6D2E766E 301F0603
551D2304 18301680 14F45B7D CE8DD6B8 16BB23BE 72C225FE D1B069C5 F2301D06
03551D0E 04160414 F45B7DCE 8DD6B816 BB23BE72 C225FED1 B069C5F2 300D0609
2A864886 F70D0101 04050003 8181007A 212BBBE2 782A00F5 D0919BF4 B99BE5E8
FF45EFEC 0BC03DC0 F61B7E2E 259E086A B4907DA4 32032192 C12E949F A27E0240
1095688E A777EEFF 9EF4140A EC659269 8D1D278F 63AAB845 88FF6329 7D591E69
6A9E5D5A AFC5914E F9C214B5 67CF5BD2 CB181428 110C9B06 B3706608 93A15150
714175FC 4705B274 D285825E 3EDE1D
quit
username aaaaa password 7 aaaaaa
username bbbb password 7 bbbbb
!
!
controller DSL 0/0
mode atm
line-term cpe
line-mode 2-wire line-zero
dsl-mode shdsl symmetric annex A-B
line-rate auto
!
controller DSL 0/1
mode atm
line-term cpe
line-mode 2-wire line-zero
dsl-mode shdsl symmetric annex A-B
line-rate auto
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group IT-group
key xxxxx
dns xx.xx.xx.20
domain xxx.com.vn
pool namtel
include-local-lan
!
!
crypto ipsec transform-set namtel esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set namtel
reverse-route
!
!
crypto map clientmap client authentication list RemoteUserAAA
crypto map clientmap isakmp authorization list GroupUserAAA
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
bridge irb
!
!
!
interface ATM0/0
no ip address
no atm ilmi-keepalive
bridge-group 1
pvc 0/35
encapsulation aal5snap
!
!
interface FastEthernet0/0
ip address xx.xx.cc.225 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface ATM0/1
no ip address
no atm ilmi-keepalive
bridge-group 1
pvc 0/35
encapsulation aal5snap
!
!
interface Virtual-Template1
ip unnumbered BVI1
ip mroute-cache
peer default ip address pool namtel
ppp encrypt mppe auto required
ppp authentication ms-chap ms-chap-v2
!
interface BVI1
ip address xxx.xxx.159.9 255.255.255.0 secondary
ip address xxx.xxx.159.13 255.255.255.0
ip nat outside
ip nat enable
no ip virtual-reassembly
crypto map clientmap
!
ip local pool namtel xx.xx.xx.20 xx.xx.xx.30
ip route 0.0.0.0 0.0.0.0 xxx.xxx.159.1
ip route xx.xx.0.0 255.255.0.0 xx.xx.cc.1
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat pool internet xxx.xxx.159.9 xxx.xxx.159.9 prefix-length 24
ip nat pool internet2 xxx.xxx.159.13 xxx.xxx.159.13 prefix-length 24
ip nat inside source list 10 pool internet overload
ip nat inside source list 20 pool internet2 overload
!
ip access-list extended namtel
permit ip host xx.xx.xx.201 any
permit tcp any any eq www
permit tcp any any eq 8080
permit tcp any any eq 443
permit tcp any any eq smtp
permit tcp any any eq pop3
permit udp any any eq domain
permit tcp any any eq domain
permit tcp any any eq 5001
permit udp any any eq 5000
!
access-list 10 permit xx.xx.aa.0 0.0.0.255
access-list 20 permit xx.xx.bb.0 0.0.0.255
access-list dynamic-extended
snmp-server community namtel RW
snmp-server enable traps tty
no cdp run
!
!
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
!
voice-port 1/0/0
!
voice-port 1/0/1
!
dial-peer cor custom
!
!
line con 0
password 7 xxxxxxxxxxxx
line aux 0
line vty 0 4
session-timeout 5
password 7 xxxxxxxxxxxx
session-limit 5
transport input telnet ssh
transport output telnet ssh
!
!
end
RT2600#
Hiện em đang chạy cấu hình này, nhưng em thấy không ổn lắm
Vấn đề đặt ra là:
- Cấu hình này có chia tải được không (khi em gán Access list cho các pool khác nhau)?
- Em cấu hình cả IPsec và L2TP như trên nhưng khi kết nối từ vpn client (dùng ADSL) sử dụng cisco client thì không kết nối vào mạng LAN được ( nếu modem ADSL từ phía client để chế độ bridge và sử dụng PPPoE của windows sau đó kết nối VPN client thì vào được mạng LAN ). Còn khi sử dụng L2TP thì modem ADSL phía client để chế độ bridge hay routed vẫn vào được LAN ( em nghĩ IPsec có vấn đề về NAT từ modem ADSL)? Vấn đề này giải quyết thế nào khi em muốn sử dụng IPsec và modem Adsl để ở chế độ routed ??
- Với cấu hình trên thực sự đã tối ưu ? khi em sử dụng 2 line SHDSL như vậy ? và mong muốn băng thông ra Internet = 2 line này phải sử dụng tối đa ( Hiện tại em nghĩ nó chỉ sử dụng 1 trong 2 line thôi bởi vì có lúc cái 2 địa chỉ xxx.xxx.159.9 và xxx.xxx.159.13 có up xong chỉ có xxx.xxx.159.13 là nat được ra ngoài internet còn cái acl gắn vào pool kia không nat được
( interface BVI1
ip address xxx.xxx.159.9 255.255.255.0 secondary
ip address xxx.xxx.159.13 255.255.255.0)
Kính mong chỉ giáo
Xin cảm ơn !
Comment