Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Lab VPN site-to-site

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Lab VPN site-to-site

    2.4. LAB cấu hình IPsec VPN site to site
    Ta có mô hình Lab như sau:


    Hình 2.6: Lab IPsec VPN site to site
    Kịch bản: Trong bài Lab này, chúng ta sẽ cấu hình một IPsec VPN site-to-site. Một
    khi đã cấu hình VPN, lưu lượng giữa các giao diện loopback trên R1 và R3 sẽ được
    mã hóa.
    Bước 1: Cấu hình địa chỉ
    R1(config)# interface loopback0
    R1(config-if)# ip address 172.16.1.1 255.255.255.0
    R1(config-if)# interface fastethernet0/0
    R1(config-if)# ip address 192.168.12.1 255.255.255.0
    R1(config-if)# no shutdown


    R2(config)# interface fastethernet0/0
    R2(config-if)# ip address 192.168.12.2 255.255.255.0
    R2(config-if)# no shutdown
    R2(config-if)# interface serial0/0/1
    R2(config-if)# ip address 192.168.23.2 255.255.255.0
    R2(config-if)# clockrate 64000
    R2(config-if)# no shutdown


    R3(config)# interface loopback0
    R3(config-if)# ip address 172.16.3.1 255.255.255.0
    R3(config-if)# interface serial0/0/1
    R3(config-if)# ip address 192.168.23.3 255.255.255.0
    R3(config-if)# no shutdown

    Bước 2: Cấu hình định tuyến EIGRP

    R1(config)# router eigrp 1
    R1(config-router)# no auto-summary
    R1(config-router)# network 172.16.0.0
    R1(config-router)# network 192.168.12.0


    R2(config)# router eigrp 1
    R2(config-router)# no auto-summary
    R2(config-router)# network 192.168.12.0
    R2(config-router)# network 192.168.23.0


    R3(config)# router eigrp 1
    R3(config-router)# no auto-summary
    R3(config-router)# network 172.16.0.0
    R3(config-router)# network 192.168.23.0

    Bước 3: Tạo các IKE policy

    R1(config)# crypto isakmp enable
    R1(config)# crypto isakmp policy 10
    R1(config-isakmp)# authentication pre-share
    R1(config-isakmp)# encryption aes 256
    R1(config-isakmp)# hash sha
    R1(config-isakmp)# group 5
    R1(config-isakmp)# lifetime 3600


    R3(config)# crypto isakmp enable
    R3(config)# crypto isakmp policy 10
    R3(config-isakmp)# authentication pre-share
    R3(config-isakmp)# encryption aes 256
    R3(config-isakmp)# hash sha
    R3(config-isakmp)# group 5
    R3(config-isakmp)# lifetime 3600

    Bước 4: Cấu hình các Pre-Shared Key

    R1(config)# crypto isakmp key cisco address 192.168.23.3
    R3(config)# crypto isakmp key cisco address 192.168.12.1

    Bước 5: Cấu hình transform set IPsec và lifetime

    R1(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac ah-sha-hmac
    R1(cfg-crypto-trans)# exit


    R3(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac ah-sha-hmac
    R3(cfg-crypto-trans)# exit


    R1(config)# crypto ipsec security-association lifetime seconds 1800
    R3(config)# crypto ipsec security-association lifetime seconds 1800
    Bước 6: Xác định lưu lượng cần quan tâm

    R1(config)# access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255
    R3(config)# access-list 101 permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255

    Bước 7: Tạo và áp dụng các crypto map

    R1(config)# crypto map MYMAP 10 ipsec-isakmp
    R1(config-crypto-map)# match address 101
    R1(config-crypto-map)# set peer 192.168.23.3
    R1(config-crypto-map)# set pfs group5
    R1(config-crypto-map)# set transform-set 50
    R1(config-crypto-map)# set security-association lifetime seconds 900


    R3(config)# crypto map MYMAP 10 ipsec-isakmp
    R3(config-crypto-map)# match address 101
    R3(config-crypto-map)# set peer 192.168.12.1
    R3(config-crypto-map)# set pfs group5
    R3(config-crypto-map)# set transform-set 50
    R3(config-crypto-map)# set security-association lifetime seconds 900

    # Áp dụng các crypto map vào các cổng router

    R1(config)# interface fastethernet0/0
    R1(config-if)# crypto map MYMAP


    R3(config)# interface serial0/0/1
    R3(config-if)# crypto map MYMAP



    2.5. Kết quả Lab cấu hình

    2.5.1. Kiểm tra cấu hình IPsec
    Sử dụng lệnh show crypto ipsec transform-set để hiển thị cấu hình các IPsec policy trong transform set



    Sử dụng lệnh show crypto map để hiển thị các crypto map sẽ áp dụng trong router.



    2.5.2. Kiểm tra hoạt động của IPsec
    Sử dụng lệnh show scrypto isakmp sa để hiện thị các SA IKE



    Sử dụng lệnh show crypto ipsec sa để hiển thị bảng thông tin về các gói tin SA giữa R1 và R3.




    2.5.3. Kiểm tra quá trình mã hoá gói tin
    Từ R1 ta tiến hành telnet qua R3, ngay khi đó chúng ta sử dụng chương trình Wireshark để bắt gói tin trong quá trình hai router trao đổi. Trước tiên ta tắt chức năng crypto map trên R1 và R3, sau đó tiến hành telnet.


    Hình 2.11: Chi tiết gói tin telnet chưa được mã hoá từ R1
    Sau đó ta bật lại chức năng crypto map trên R1 và R3, khi đó gói tin sẽ được mã hoá.
    Lâm Văn Tú
    Email :     cntt08520610@gmail.com
    Viet Professionals Co. Ltd. (VnPro)
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 35124257 (5 lines)
    Fax (08) 35124314
    Tập tành bước đi....


    Tags: None
  • #2
    Bài viết hay

    cảm ơn bạn.

    Cho mình hỏi thêm một chút nhé.

    Mình đã cấu hình theo hướng dẫn, và ping hai site đã OK.

    Nhưng khi kiểm tra gói tin bằng Wireshark thì thấy chúng chưa được mã hóa. Wireshark được cài trên PC ở site một. Ban gợi ý giúp minh được ko/

    thanks for support.

    Comment

    • #3
      cho em hỏi . Tại sao ở giữa R1 và R2 ta dùng thêm 1 switch mà sao không dùng luôn dây serial . Và xin hướng dẫn giúp em , có thể đem 2 PC nối lần lượt cho 2 router R1 và R3 trong GNS3

      Comment

      • #4
        Chào bạn ! trong bai lab trên nếu từ 1 user bên ngoài kết nối VPN client to site vào R1 thì phải cấu hình thêm nhứng bước nào.
        site to site hoặc client to site nếu tách riếng thì mình đã làm chạy được , tuy nhiên kết hợp giữa 2 cái thì làm hoài không xong.
        Các bạn nào làm kết hợp cả 2 thì chỉ giúp mình với.
        Thanks!

        Comment

        • #5
          Hi bạn. Bạn xem qua link này.
          http://www.cisco.com/en/US/products/...80819289.shtml
          Lâm Văn Tú
          Email :           cntt08520610@gmail.com
          Viet Professionals Co. Ltd. (VnPro)
          149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
          Tel: (08) 35124257 (5 lines)
          Fax (08) 35124314
          Tập tành bước đi....


          Comment

          • #6
            Chào bạn, cho mình hỏi là bạn đang cấu hình 2 con router bằng phần mềm gì vậy. Mình làm đồ án về bảo mật dữ liệu trong VPN trên công nghệ IPSec nhưng không biết mô phỏng trên phần mềm nào cả, mà cũng chưa biết làm thế nào cả. nếu bạn làm được xin giúp mình với. Mình vô cùng cảm ơn.

            Comment

            • #7
              Cài GNS vào làm đi bạn.
              Hugo

              Comment

              • #8
                Mình đã cài thử nhưng hình như ko đủ thư viện hay sao ấy kéo thử may router với vài cái khác thì báo lỗi ko kéo được. bạn nào mình với, nếu có bài lab nào về IPSEC trong VPN mà có hướng dẫn bằng tiếng việt thì càng tốt. Mong mọi người cố gắng giúp mình với.

                Comment

                • #9
                  Originally posted by dungpepe View Post
                  Mình đã cài thử nhưng hình như ko đủ thư viện hay sao ấy kéo thử may router với vài cái khác thì báo lỗi ko kéo được. bạn nào mình với, nếu có bài lab nào về IPSEC trong VPN mà có hướng dẫn bằng tiếng việt thì càng tốt. Mong mọi người cố gắng giúp mình với.
                  Bạn Download các IOS tương ứng với các Router trong GNS3 nhé:
                  http://www.careercert.info/2009/05/new-cisco-ios-version-124-collection.html
                  Phan Hoàng Gia Liêm - Instructor
                  Email : gialiem@vnpro.org
                  Yahoo : gialiem_vnpro
                  -----------------------------------------------------------------------------------------------
                  Trung Tâm Tin Học VnPro
                  149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                  Tel : (08) 35124257 (5 lines)
                  Fax: (08) 35124314

                  Home page: http://www.vnpro.vn
                  Support Forum: http://www.vnpro.org                  		 - Chuyên đào tạo quản trị mạng và hạ tầng Internet
                  - Phát hành sách chuyên môn
                  - Tư vấn và tuyển dụng nhân sự IT
                  - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                  Network channel: http://www.dancisco.com
                  Blog: http://www.vnpro.org/blog

                  Comment

                  • #10
                    Mình đã làm đến lần thứ 3, nhưng khi show crypto ipsec SA thì vẫn hiện như thế này. Rất mong sự giúp đỡ
                    Code:
                      protected vrf: (none)
   local  ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (172.16.3.0/255.255.255.0/0/0)
   current_peer 192.168.23.3 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
                    Đây là file configuration trên GNS.
                    Cảm ơn các thầy và các bạn.
                    Attached Files

                    Comment

                    • #11
                      anh cho em hỏi : bật tắt crypto bằng như thế nào ạ????

                      Comment

                      • #12
                        thớt ơi! s mình làm y chang thớt nhưng khi show crypto isakmp sa nó ko ra và cả show crypto ipsec sa cung ko ra lun v???? giúp mình với!!

                        Comment

                        Previous template Next
                        Working...
                        X