4.1 Mô hình mạng

• Thiết bị bao gồm 3 router Cisco 2800 và 2 PC

• Mô hình:

Quy hoạch địa chỉ Ip và kết nối vật lý
Router 1 192.168.12.1/24 ( f1/0) và 172.16.1.1/24 (f1/1)
Router 2 192.168.12.2/24 (f1/0) và 192.168.23.2/24 (f1/1)
Router 3 192.168.23.3/24 (f1/0) và 172.16.3.3/24 (f1/1)
PC1 172.16.1.3/24
PC2 172.16.3.1/24

4.2 Yêu cầu
Thực hiện IPSec- VPN giữa hai chi nhánh (hai site) đảm bảo hai site phải giao tiếp được với nhau qua IPSec Tunnel.

4.3 Các bước cấu hình IPSec site-to-site VPN
Cấu hình chính sách ISAKMP/IKE phase 1
Cấu hình IPSec Transform-set( ISAKMP/IKE phase 2)
Tạo Access control list ACL
Cấu hình crypto map
Đưa crypto map lên interface

4.4 Triển khai chi tiết:

Bước 1 Cấu hình địa chỉ Ip trên từng router theo mô hình quy hoạch IP
Định tuyến theo EIGRP để đảm bảo mạng thông nhau
R1(config)# router eigrp 1
R1(config-router)# network 172.16.0.0
R1(config-router)# network 192.168.12.0
R1(config-router)# no auto-summary

R2(config)#router eigrp 1
R2(config-router)#net 192.168.12.0
R2(config-router)#net 192.168.23.0
R2(config-router)#no auto-summary

R3(config)#router eigrp 1
R3(config-router)#net 192.168.23.0
R3(config-router)#network 172.16.0.0
R3(config-router)#no auto-summary
Kết quả định tuyến



Kết quả mạng thông nhau:



Bước 2 Cấu hình ISAKMP/IKE phase 1
R1(config)# crypto isakmp enable------------- bật chức năng IKE
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#hash sha
R1(config-isakmp)#group 5
R1(config-isakmp)#lifetime 3600
R1(config-isakmp)#exit
R1(config)# crypto isakmp key cisco123 add 192.168.23.3
R3(config)#crypto isakmp enable
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash sha
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime 3600
R3(config)# crypto isakmp key cisco123 add 192.168.12.1

Kết quả khi “ show crypto isakmp policy”



Bước 3 Cấu hình Transform-set
R1(config)#crypto ipsec transform-set TSET esp-3des esp-sha-hmac ah-sha-hmac
R1(config)#crypto ipsec security-association lifetime seconds 1800

R3(config)#crypto ipsec transform-set TSET esp-3des esp-sha-hmac ah-sha-hmac
R3(config)#crypto ipsec security-association lifetime seconds 1800

Bước 4 Tạo ACL
R1(config)#access-list 120 permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255
R3(config)#access-list 120 permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255

Bước 5 Cấu hình crypto map
R1(config)#crypto map CMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R1(config-crypto-map)#match add 120
R1(config-crypto-map)#set peer 192.168.23.3
R1(config-crypto-map)#set pfs group5
R1(config-crypto-map)#set transform-set TSET
R1(config-crypto-map)#set security-association lifetime seconds 900

R3(config)#crypto map CMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R3(config-crypto-map)#match address 120
R3(config-crypto-map)#set peer 192.168.12.1
R3(config-crypto-map)#set pfs group5
R3(config-crypto-map)#set transform-set TSET
R3(config-crypto-map)#set security-association lifetime seconds 900

Bước 6 Đưa crypto map vào interface
R1(config)#int f1/0
R1(config-if)#crypto map CMAP
R3(config)#int f1/0
R3(config-if)#crypto map CMAP

4.5 Kiểm tra cách cấu hình

• Kiểm tra cấu hình IPSec

• Kiểm tra SAR1#show crypto isakmp sa

Ipv4 Crypto ISAKMP SA
dst src state conn-id slot status
192.168.12.1 192.168.23.3 QM_IDLE 1001 0 ACTIVE

R1#show crypto ipsec sa
interface: FastEthernet1/0
Crypto map tag: CMAP, local addr 192.168.12.1
protected vrf: (none)
local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (172.16.3.0/255.255.255.0/0/0)
current_peer 192.168.23.3 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 38, #pkts encrypt: 38, #pkts digest: 38
#pkts decaps: 38, #pkts decrypt: 38, #pkts verify: 38
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. Failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 192.168.12.1, remote crypto endpt.: 192.168.23.3
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
current outbound spi: 0xF568212D(4117242157)
inbound esp sas:
spi: 0xF4E7C9B9(4108831161)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: NETGX:1, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4439653/217)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
inbound ah sas:
spi: 0x7ED12E4C(2127638092)
transform: ah-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: NETGX:1, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4439653/214)
replay detection support: Y
Status: ACTIVE
inbound pcp sas:
outbound esp sas:
spi: 0xF568212D(4117242157)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: NETGX:2, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4439653/214)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
outbound ah sas:
spi: 0xD6B597F6(3602225142)
transform: ah-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: NETGX:2, crypto map: CMAP
sa timing: remaining key lifetime (k/sec): (4439653/213)
replay detection support: Y
Status: ACTIVE
outbound pcp sas:

• Kiểm tra thuật toán

R1#show crypto engine connections active
Crypto Engine Connections
ID Interface Type Algorithm Encrypt Decrypt IP-Address
1001 Fa1/0 IKE SHA+3DES 0 0 192.168.12.1
2003 Fa1/0 IPsec SHA+3DES+SHA 0 19 192.168.12.1
2004 Fa1/0 IPsec SHA+3DES+SHA 19 0 192.168.12.1

• Kiểm tra hoạt động trao đổi khóa IKE

Đầu tiên gói tin ICMP kích hoạt quá trình ISAKMP vì đây là những traffic khớp với việc tạo ACL. Trước khi quá tình này thực sự bắt đầu gửi IKE đến các router peer thì phải kiểm tra SA cho khớp với traffic đó.Việc kiểm tra này chống lại IPSec SA mà không có IKE SA.Vì vậy, SA không có nghĩa là gói tin IKE phải gửi đi.

Các router đã cố gắng tìm thấy bất kỳ SA IPSec kết hợp kết nối gửi đi nhưng không có giá trị SA nào được tìm thấy trong cơ sở dữ liệu Hiệp hội An ninh(SADB) trên router.


IKE phase 1( Main mode) message1
Theo mặc định, chế độ chính IKE được sử dụng vì vậy có 6 message cho phase 1. Trong message 1 Aggressive mode nói rằng không thể bắt đầu, tuy nhiên nó không có nghĩa là có một số lỗi, nó chỉ có nghĩa là chế độ này không được cấu hình trên router local (R1). Vì thế, router sẽ kiểm tra chính sách ISAKMP đã được cấu hình và thấy rằng có PSK (khóa chia sẻ trước) cấu hình xác thực. Nó phải kiểm tra nếu có một key cho các peer cấu hình là tốt. Sau đó các gói tin IKE 1 là gửi đến địa chỉ IP của các peer trên cổng UDP 50 ( mặc định). Gói chứa chính sách ISAKMP được cấu hình sẽ được lựa chọn bởi các peer


->Các Router đã tìm thấy preshare-key. ISAKMP sẽ sử dụng key này sử dụng xác thực các peer ,một trong giai đoạn cuối của phase 1

->Các router bắt đầu trao đổi IKE được gọi là “initiator” (người khởi xướng). Các router đáp ứng yêu cầu IKE được gọi là “ responder”(trả lời). Việc initiator (R1) đã gửi cùng với chính sách ISAKMP nhà cung cấp cụ thể ID đó là một phần của gói tải trọng IKE. MM_NO_STATE chỉ ra ISAKMP SA đã được tạo ra, nhưng không có gì khác đã xảy ra.

IKA phase ( Quick mode ) message 2
Phase 1 này đã có một gói tin phản hồi từ peer. Đây là lần đầu tiên nơi mà traffic có thể đi sai và đây là vấn đề thường gặp nhất khi cấu hình VPN. Các gói tin nhận được có chứa SA được lựa chọn bởi các peer và một số thông tin hữu ích như nhà cung cấp ID ( vendor ID) .Những nhà cung cấp trọng tải cụ thể được sử dụng NAT và duy trì keepalives (DPD). Nếu trên router cấu hình ISAKMP khớp với nhau thì quá trình thiết lập đường hầm vấn tiếp tục. Ngược lại sẽ bị rớt gói.

Các trả lời (R2) đã phản ứng với gói tin có chứa IKE đàm phán ISAKMP chính sách cùng với các ID nhà cung cấp cụ thể của nó. Lưu ý rằng trạng thái IKE Main mode vẫn là MM_NO_STATE.

->Các router xử lý các thông số ISAKMP đã được gửi như trả lời. Nhà cung cấp ID ( vendor ID) xử lý để xác định xem peer hỗ trợ ví dụ như NAT-Traversal, Dead
Peer Detection.
“ Att are acceptable” chỉ ra các peer khớp ISAKMP


IKE phase 1 ( Quick mode) message 3
Message 3 gửi gói tin có chứa KE (Key Exchange) thông tin cho DH (DiffieHellman) quá trình trao đổi khóa an toàn.



IKE phase 1 (Quick mode) message 4
Message 4 thông báo đã nhận được từ các peer. Thông báo này chứa tải trọng KE và căn cứ vào đó thông tin cả hai peer có thể tạo ra một ky phiên thường được sử dụng trong việc đảm bảo hơn nữa truyền thông. Preshare-key được cấu hình cho peer được sử dụng trong tính toán này.


IKE phase 1 ( Quick mode) message 5
Message được sử dụng để gửi đi thông tin xác thực các peer. Thông tin này được truyền đi dưới sự bảo vệ của các bí mật chia sẻ chung



“MM_KEY_EXCH” chỉ ra rằng các peer đã trao đổi các phím Diffie-Hellman công cộng và đã tạo ra một bí mật chia sẻ. ISAKMP SA vẫn không được thẩm định. Lưu ý quá trình xác thực đã được chỉ mới bắt đầu.



IKE phase 1 ( Quick mode) message 6
Message 6 này kết thúc ISAKMP phase 1 và thay đổi thành IKE_P1_COMPLETE



Lưu ý rằng quá trình xác thực peer vẫn còn trong sự tiến độ (MM_KEY_EXCH).Hãy nhớ rằng có cũng là một chế độ chính IKE mà không nhìn thấy được trong
debug output. Đó là “MM_KEY_AUTH” mà chỉ ra rằng các ISAKMP SA đã đượcchứng thực. Nếu router bắt đầu trao đổi này, điều này chuyển trạng tháingay lập tức để QM_IDLE và một chế độ QM bắt đầu.


IKE phase 2 ( Quick mode) message 1
Router sẽ gửi ra các gói tin có chứa Proxy ID (mạng / máy chủ địa chỉ được bảo vệ bởi các đường hầm IPSec) và chính sách bảo mật đươc định rõ bởi Transform Set.

IKE phase 2 ( Quick mode) message 2

Message QM được thông báo từ các peer. Messsage chứa chính sách IPSec được chọn từ các peer và ID proxy của các peer đó. Nếu ID proxy khác nhau trên cả hai site của đường hầm thì traffic sẽ đi lạc hướng

Trạng thái của IKE là “QM_IDLE”. Điều này cho thấy rằng ISAKMP SA là “ idle”. Trạng thái này vẫn chứng thực với peer của nó và có thể được trao đổi QM tiếp theo
Nó ở trong trạng thái tĩnh.


Router đang thương lượng thông số của đường hầm IPSec để sử dụng trong việc truyền traffic đi. Các thông số này được xác định bởi “crypto ipsec transformset”
lệnh. Giá trị lifetime của IPSec SA có thể nhìn thấy tại thời điểm này.
“Atts are acceptable” chỉ ra rằng các tham số IPSec đã biến đổi thiết lập phù hợp ở cả hai bên.


Các proxy local (R1) và proxy remote (R2) được xác định. Điều này cho thấy nguồn và thiết lập các điểm đến trong crypto ACL trong đó xác định lưu lượng cho đi trên đường hầm IPSec


Các IPSec SA đã được tạo ra và đưa vào SADB của router. Giá trị SPI cũng được sử dụng để chấm dứt phân biệt nhiều đường hầm trên cùng một router. Lưu ý rằng hai SPI giá trị tạo ra một đường hầm: một SPI cho SA inbound và một SPI cho SA outbound .Giá trị này được lắp vào phần đầu của gói tin ESP để định tuyến lại. Ở lần thứ hai bên của đường hầm, SPI giá trị đưa vào tiêu đề ESP cho phép các bộ định tuyến để tiếp cận các thông số và các khóa đã được đồng ý trong các cuộc đàm phán IKE .Giá trị SPI là một chỉ số của thực thể trong SADB của router.

IKE phase 2 ( Quick mode) message 3
Thông điệp cuối cùng kết thúc QM Sau khi hoàn thành phase 2 khóa phiên Ipsec có nguồn gốc từ chia sẻ bí mật DH. Điều này khóa phiên sẽ được sử dụng để mã hóa IPSec cho đến khi thời gian hết hạn.


Quá trình thương lượng đã hoàn thành. Đường hầm đã được bật lên và traffic từ Site A có thể qua đường hầm đến Site B.