Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Cần giúp đỡ về vpn trong router cisco

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Cần giúp đỡ về vpn trong router cisco

    em có mô hình như trên

    Click image for larger version

Name:	image_6018.jpg
Views:	56
Size:	11.6 KB
ID:	401140


    em cấu hình theo bài lab này:
    Attached Files
    Implementing Secure Converged Wide Area Networks
    Last edited by tranvoluong; 07-06-2015, 01:08 AM.

  • #2
    Em cấu hình vpn site to site thì các site đã thấy nhau rồi nhưng còn một vấn đề nữa là em có chia vlan như sau:
    vlan10: 192.168.1.0/26
    vlan20: 192.168.1.64/27
    ----- site A-----

    vlan10: 192.168.2.0/26
    vlan20: 192.168.2.64/27
    ----- site B-----

    Lúc em tạo ACL thì câu lệnh như sau:
    access-list 100 permit ip 192.168.1.0 0.0.0.63 192.168.2.0 0.0.0.63
    vlan10(siteA) ------ vlan10 (siteB) => ping ok
    access-list 100 permit ip 192.168.1.0 0.0.0.63 192.168.2.64 0.0.0.31
    vlan10(siteA) ------ vlan20 (siteB) => ping không được

    nghĩa là nó chỉ thấy nhau theo từng cặp một (10---10), (20----20)
    còn nếu ta cấu hình 1 vlan bên này thấy tất cả các vlan bên kia thì không được.

    em không hiểu tại sao lại như vậy, và có cách nào để cấu hình được không.
    Lúc trước em cứ nghĩ là mình chia mạng con trong lớp mạng cha: 192.168.1.0/24
    rồi lúc tạo ACL thì lấy nguyên lớp mạng cha là được nhưng không phải vậy.

    Rất mong nhờ thầy và các bạn giúp đỡ



    Last edited by tranvoluong; 07-06-2015, 01:22 AM.

    Comment


    • #3
      em kiểm tra kỹ lại là lớp mạng 192.168.1.64/27 có phải là mạng con của 192.168.1.0/26 không? Nếu không phải thì thì phải permit thêm các traffic từ mạng 192.168.1.64/27 vào crypto ACL.
      Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

      Email : dangquangminh@vnpro.org
      https://www.facebook.com/groups/vietprofessional/

      Comment


      • #4
        Originally posted by dangquangminh View Post
        em kiểm tra kỹ lại là lớp mạng 192.168.1.64/27 có phải là mạng con của 192.168.1.0/26 không? Nếu không phải thì thì phải permit thêm các traffic từ mạng 192.168.1.64/27 vào crypto ACL.
        Không ý định của em là chia mạng: 192.168.1.0/24 ra thành nhiều mạng con hơn, để khi cấu hình acl mình chỉ cần cho lớp mạng 192.168.1.0/24 truy cập vô lớp mạng 192.168.2.0/24 thay vì phải tạo acl cho nhiều mạng con. nhưng hình như không được nó không hiểu.

        Comment


        • #5
          Dạ được rồi anh ơi, ý tưởng của em là chia vlan cho các phòng ban và mỗi phòng ban dùng một subnet của lớp mạng 192.168.1.0/24, bên site đối diện mình làm tương tự sau đó kết nối giữa hai site lại với nhau bằng vpn sao cho 1 vlan bên này có thể thấy nhiều vlan bên kia.
          Nhưng hôm qua làm mãi không được, hôm nay thử lại thì được :)
          À mà em nghe nói trên thực tế nếu doanh nghiệp có vài chục người (20 - 30) xài vpn thì được, chứ nếu trên bảy tám chục mà chạy vpn thì không nổi. lúc đó người ta thuê lease line kênh trắng để nối điểm điểm giữa các site lại với nhau. Điều này có đúng không anh?

          Comment


          • #6
            Cho em hỏi trong trường hợp mình thêm một nhanh nữa để hình thành vpn hình tam giác giữa các chi nhánh thì trên mỗi router mình phải cấu hình 2 crypto map phải không anh?

            Comment


            • #7
              nếu có 1 chi nhánh nữa thì em làm mô hình hub-and-spoke. Một văn phòng chính và 2 chi nhánh.
              trên router ở head office làm 2 crypto map.
              Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

              Email : dangquangminh@vnpro.org
              https://www.facebook.com/groups/vietprofessional/

              Comment

              Working...
              X