Tweet
| Tunnel 1 (SaiGon) | 172.16.1.1/24 |
| Tunnel1 (DaNang) | 172.16.1.2/24 |
| Tunnel1(VungTau) | 172.16.1.3/24 |
Bước 2: Cấu hình chính sách quản lý và trao đổi khóa ISAKMP
Xác định khóa cho ISAKMP và peer, ở đây chúng ta chọn peer là dãy 8 số 0 để trỏ tất cả các peer, key 0 vnpro nghĩa là khóa mã là vnpro và không mã hóa khóa đó ( số 0).
Cấu hình chính sách IPSEC bao gồm, đóng gói mã hóa theo giao thức ESP, hàm băm chọn md5 và thuật toán mã hóa DES.
Cấu hình tiếp tục IPSEC profile ( thay thế cho crypto map)
Bước 3: Tạo cổng Tunnel và set up các thông tin trên cổng tunnel
Các thông số tiếp theo bao gồm:
-Thông tin source cổng vật lý cho tunnel.
-Xác định mode GRE được sử dụng
-Gán IPSEC profile vào cổng tunnel.
-Kích hoạt NHRP (giá trị id của nhrp là cục bộ)
-Cấu hình cho phép multicast được gửi (dùng khi sử dụng định tuyến động)
-Cấu hình xác thực với tunnel key
Bước 4: Cấu hình định tuyến OSPF
Chọn định tuyến trên cổng tunnel ( không cho cổng vậy lý e0/0 tham gia định tuyến)
Cấu hình thêm default route trên R1
Bước 5: Cấu hình trên router DaNang
Trên router DaNang chúng ta cũng tạo cổng tunnel và đặt ip . Chỉ lưu ý ở phần set up nhrp .
Chúng ta cần trỏ về NHRP server (SaiGon) , ánh xạ tĩnh nhrp và cho phép multicast gửi đến (SaiGon) à Theo thứ tự trên là dòng thứ 1,2,3 ở hình dưới.
Cấu hình định tuyến ospf tương tự Sài Gòn .
Bước 6: Cấu hình trên router VungTau tương tự DaNang
Bước 7: Testing
Đặt ip cho các máy tính thuộc các Lan của SaiGon,DaNang,VungTau.
Sau đó ta tiến hành ping (gửi gói tin ICMP) từ các máy tính trong Lan qua Lan khác (từng đôi một ).
Gõ lệnh show crypto isakmp sa để kiểm tra xem các khóa và thông số SA(security association) đã được thỏa thuận chưa.
Có thể thấy cả 3 router đều đã thỏa thuận khóa và thiết lập thông số SA thành công với các router còn lại.
Thực hiện lệnh trace từ Lan của SaiGon đến DaNang xem gói tin đi theo đường nào
Có thể thấy được , đường đi của gói tin từ Lan của SaiGOn đi DaNang đi qua đường hầm GRE subnet 172.16.1.0/24.