Cấu hình VPN site to site router cisco 2811 – ASA 5510
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (616.59 KB, 11 trang )
SITE A – ROUTER CISCO 2811:Bước 0: Quoay PPPoE Trên router ciscoBước 1: Tạo
Internet Key Exchange (IKE) key policy:Router(config)#crypto isakmp policy
10 Router(config-isakmp)#encryption 3desRouter(config-isakmp)#authentication preshareRouter(config-isakmp)#group 2Bước 2: Tạo shared key để sử dụng cho kết nối
VPNRouter(config)#crypto isakmp key Cisco123 address 210.245.101.100 (IP của ASA
site B)Bước3: Quy định lifetime Router(config)#crypto ipsec security-association lifetime
seconds 86400Bước4: Cấu hình ACL dãy IP có thể VPN- Lưu ý: đối với trường hợp Vừa
quoay PPPoE vừa chạy VPN site to site thì trong phần NAT overload làm như
sau:Router(config)#ip nat inside source route-map nonat interface Dialer0
overloadRouter(config)#route-map nonat petmit 10Router(config-route-map)#match ip
address 100Router(config)#access-list 100 deny ip 192.168.6.0 0.0.0.255 10.16.3.0
0.0.0.255Router(config)#access-list 100 permit ip 192.168.6.0 0.0.0.255
anyRouter(config)#access-list 101 permit ip 192.168.6.0 0.0.0.255 10.16.3.0
0.0.0.255=> Thì mạng bên trong mới vừa vào internet được và vừa VPN được.Bước 5:
Định nghĩa transformations set cái mà sẽ được sử dụng cho VPN connection
nầy:Router(config)#crypto ipsec transform-set SET-VPN esp-3des esp-sha-hmac Bước 6:
Tạo cypto-map cho các transform, setnameRouter(config)#crypto map MAP-VPN 1
ipsec-isakmp Router(config-crypto-map)#set peer 210.245.101.100 (IP của ASA site
B)Router(config-crypto-map)# set transform-set SET-VPN ( Setname ở bước
5)Router(config-crypto-map)#match address 101 (101 : acl-number ở bước 4 ) Bước7:
Gán vào interfaceRouter(config)#interface dialer 0Router(config-if)#crypto map MAPVPNSITE A – ASA 5510:Bước 1: tạo Connection Profiles:- Login vào ASDM và chọn
Menu Startup Wizards… rồi sau đó chọn IPsec VPN Wizard…
- Tại bước
1 chọn:
+ Tick vào Site-to-Site
+ VPN Tunnel Interface chọn interface: outside (WAN IP)
+ Và tick chọn Enable…. và bấm Next
- Ở bước 2:
+ Peer IP Address điền IP WAN của router 2811 (Site A).
+ Pre-shared key: gõ Cisco123 (giống như Pre-shared key ở router cisco 2811 site A) và
nhấn Next.
– Ở bước 2: chọn IKE Policy mã hóa và Authentication, lưu ý phải cùng loại với Router
Cisco 2811. Ở đây ta để mặc định do ở bước 1 site A ta chọn 3des authen và Pre-shared
key là : pre-share
– Ở bước 3 chọn thuật toán mã hóa và authen cho Tunnel lưu ý phải phù hợp với Cisco
2811 site A. Ở đây ta chọn 3DES và SHA do ở bước 5 site A ta chọn esp-3des esp-shahmac
- Tại bước 5: tương ứng với bước 4 Ở site A set ACL có thể VPN :
+ Local gõ 10.16.3.0/24
+ Remote 192.168.6.0/24
+ Và chọn interface translation là inside. Sau đó chọn Next
- Và bấm Finish để hoàn tất việc tạo kết nối(Connection Profile).
– Sau khi tạo kết nối xong tiế hành Enable interface for IPsec access.
+ Tại Access Interface click vào interface outside và click và check box Allow access
tương ứng và nhấn Save
Bước 2: Tạo Access List:- Sau khi tạo Connection Profile xong ta tiến hành set access-list
nonat cho kết nối VPN. Lưu ý mặc định nonat sẽ disable, bạn cần phải enable nó lên
trước sau đó mới có thể tiến hành tạo access-list cho nonat.+ Xổ dấu cộng tại Certificate
to Connection Profile… và chọn ACL Manager. tại nonat click chuột phải chọn Add ACE…
– Permit cho
class mạng 192.168.0.0/24 và 16.3.0/24 .
–
Sau khi tạo xong ta sẽ được như bên dưới.
- Tương tự như vậy ta kiểm tra đã permit cho outside và inside chưa( mặc định
outside_cryptomap được tự động tạo khi khởi tạo Connection Profile).
Kết quả: 2 site ping thấy nhau:
