Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

hoi ve site to site vpn

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • hoi ve site to site vpn




    Các Bạn ơi tôi không biết tại sao cấu hinh vpn lai cấu hình EIGRP

    ---các bạn xem cấu hình mẫu của cisco nhé
    tại R1
    ******************************
    R1# show run
    !
    hostname R1
    !
    crypto isakmp policy 10
    encr aes 256
    authentication pre-share
    group 5
    lifetime 3600
    crypto isakmp key cisco address 192.168.23.3
    !
    crypto ipsec security-association lifetime seconds 1800
    !
    crypto ipsec transform-set 50 ah-sha-hmac esp-aes 256 esp-sha-hmac
    !
    crypto map MYMAP 10 ipsec-isakmp
    set peer 192.168.23.3
    set security-association lifetime seconds 900
    set transform-set 50
    set pfs group5
    match address 101
    !
    interface Loopback0
    ip address 172.16.1.1 255.255.255.0
    !
    interface FastEthernet0/0
    ip address 192.168.12.1 255.255.255.0
    crypto map MYMAP
    no shutdown
    !
    router eigrp 1
    network 172.16.0.0
    network 192.168.12.0
    no auto-summary
    !
    access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255
    !
    end
    ******************************


    tại R3
    ******************************

    !hostname R3
    !
    enable secret 5 $1$LT7i$MY2NhpGjl5uL1zNAoR2tf.
    !
    crypto isakmp policy 10
    encr aes 256
    authentication pre-share
    group 5
    lifetime 3600
    crypto isakmp key cisco address 192.168.12.1
    !
    crypto ipsec security-association lifetime seconds 1800
    !
    crypto ipsec transform-set 50 ah-sha-hmac esp-aes 256 esp-sha-hmac
    !
    crypto map MYMAP 10 ipsec-isakmp
    set peer 192.168.12.1
    set security-association lifetime seconds 900
    set transform-set 50
    set pfs group5
    match address 101
    !
    interface Loopback0
    ip address 172.16.3.1 255.255.255.0
    !
    interface Serial0/0/1
    ip address 192.168.23.3 255.255.255.0
    crypto map MYMAP
    no shutdown
    !
    router eigrp 1
    network 172.16.0.0
    network 192.168.23.0
    no auto-summary
    !
    access-list 101 permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255
    !
    line vty 0 4
    password cisco
    login
    !
    end
    ******************************

    R2# show run
    !
    hostname R2
    !
    interface FastEthernet0/0
    ip address 192.168.12.2 255.255.255.0
    no shutdown
    !
    interface Serial0/0/1
    ip address 192.168.23.2 255.255.255.0
    clock rate 64000
    no shutdown
    !
    router eigrp 1
    network 192.168.12.0
    network 192.168.23.0
    no auto-summary
    !
    end


    -----------------------------

    tôi có điều không hiều thế này
    sau khi chúng ta cấu hình eigrp thi tấc cả các mạng con đều thấy nhau rồi
    thì phải cấu hình VPN chi nữa. tôi thật ko hiều

    Giúp tôi với

    cám ơn các bạn nhiều lắm nha

  • #2
    Chào bạn
    Sau khi xem cấu hình bài lab bạn đề cập thì mình thấy thế này. Mình đồng ý vơí bạn là khi chạy định tuyến như vậy thì tất cả 2 mạng loopback của 2 router R1 và R3 đều thấy nhau thì như vậy không cần VPN thì cũng có thể ping thấy nhau thì làm VPN để làm gì. Nhưng theo mình thì thật ra bài lab này không chỉ dừng lại ở chổ cấu hình VPN để cho 2 mạng loopback ở hai router có thể thấy nhau mà còn có mục đích khác là kiểm tra xem traffic trước và sau khi cấu hình VPN có được encrypt hay không. Và mục đích chạy định tuyến ở đây là để giúp cho các mạng thông nhau và phục vụ cho việc kiểm tra đó.Nếu xem trong phần Challenge use Use Wireshark to Monitor Encryption of Traffic ở cuối của bài lab bạn sẽ thấy rỏ điều này. Như vậy chắc bạn sẽ thắc mắc là làm sao có thể biết là thiết lập VPN thành công khi chưa cấu hình VPN mà cũng ping thấy được giưã hai mạng loopback,nếu muốn biết cấu hình VPN có thành công hay không bạn có thể kiểm tra qua câu lệnh show crypto isakmp sa nêú thấy trạng thái để là QM_IDLE tức là VPN đã thành công.
    Ở cuối bài lab sau khi cấu hình VPN xong thì trong bài lab có thao tác là gỡ bỏ crypto map được apply trên interface của router,lúc này tính năng VPN trên router đã không còn,sau đó tiến hành thao tác từ R1 telnet vào địa chỉ loopback của R3 từ source loopack của R1,rồi dùng wiresharks để bắt gói nhằm thấy được traffic sẽ không được encrypt khi đi từ R1 qua R3,nêú không có quá trình định tuyến eigrp thì ta không thể nào thực hiện việc kiểm tra này(vì không có được sự thông nhau giữa các mạng). Sau đó apply lại crypto map vào interface của router thì tính năng VPN được bật lại,lúc này khi telnet từ R1 qua R3 thì dữ liệu sẽ được encrypt và ta có thể thấy được điều này thông qua của sổ bắt gói của Wiresharks.

    Bạn nào có ý kiến gì khác thì share cho mọi người tham khảo nha.
    Chúc vui.
    Last edited by binhld; 15-09-2009, 04:10 PM.

    Comment


    • #3
      Hình như Ipsec vpn ko chạy định tuyến động,chỉ Ipsec gre mới chạy định tuyến động chứ ta,
      Hugo

      Comment


      • #4
        Chào bạn thanhanm0707
        Đúng là VPN GRE over IPSec mơí có thể trao đổi định tuyến động giữa 2 site,nhưng bài lab này chỉ đề cập tới VPN IPSec thôi. Bạn có thể nhìn thấy cấu hình của router không hề có cấu hình GRE

        Chúc vui.

        Comment


        • #5
          Mình ko sure lắm,do ở đây ta làm trong các router local,nhưng khi qua môi trường internet,các isp có thể ko cho các đ/c multicast của định tuyến động chạy qua,
          Hihi,
          Hugo

          Comment


          • #6
            Originally posted by binhld View Post
            Chào bạn
            Sau khi xem cấu hình bài lab bạn đề cập thì mình thấy thế này. Mình đồng ý vơí bạn là khi chạy định tuyến như vậy thì tất cả 2 mạng loopback của 2 router R1 và R3 đều thấy nhau thì như vậy không cần VPN thì cũng có thể ping thấy nhau thì làm VPN để làm gì. Nhưng theo mình thì thật ra bài lab này không chỉ dừng lại ở chổ cấu hình VPN để cho 2 mạng loopback ở hai router có thể thấy nhau mà còn có mục đích khác là kiểm tra xem traffic trước và sau khi cấu hình VPN có được encrypt hay không. Và mục đích chạy định tuyến ở đây là để giúp cho các mạng thông nhau và phục vụ cho việc kiểm tra đó.Nếu xem trong phần Challenge use Use Wireshark to Monitor Encryption of Traffic ở cuối của bài lab bạn sẽ thấy rỏ điều này. Như vậy chắc bạn sẽ thắc mắc là làm sao có thể biết là thiết lập VPN thành công khi chưa cấu hình VPN mà cũng ping thấy được giưã hai mạng loopback,nếu muốn biết cấu hình VPN có thành công hay không bạn có thể kiểm tra qua câu lệnh show crypto isakmp sa nêú thấy trạng thái để là QM_IDLE tức là VPN đã thành công.
            Ở cuối bài lab sau khi cấu hình VPN xong thì trong bài lab có thao tác là gỡ bỏ crypto map được apply trên interface của router,lúc này tính năng VPN trên router đã không còn,sau đó tiến hành thao tác từ R1 telnet vào địa chỉ loopback của R3 từ source loopack của R1,rồi dùng wiresharks để bắt gói nhằm thấy được traffic sẽ không được encrypt khi đi từ R1 qua R3,nêú không có quá trình định tuyến eigrp thì ta không thể nào thực hiện việc kiểm tra này(vì không có được sự thông nhau giữa các mạng). Sau đó apply lại crypto map vào interface của router thì tính năng VPN được bật lại,lúc này khi telnet từ R1 qua R3 thì dữ liệu sẽ được encrypt và ta có thể thấy được điều này thông qua của sổ bắt gói của Wiresharks.

            Bạn nào có ý kiến gì khác thì share cho mọi người tham khảo nha.
            Chúc vui.

            Rất cám ơn về giải đáp chi tiết của bạn . Tôi đồng ý với cách giài thích của ban.

            Nhưng chúng ta rất dễ hiểu lầm đúng ko bạn.

            Comment

            Working...
            X