Vpn client to site là gì
Trong bài viết này mình vẫn hướng dẫn các bạn cấu hình VPN Client to Site bên trên router Cisco để Remote Access tự xa. Trong bài xích Lab này mình sử dụng ứng dụng Packet Tracert để cấu hình.Bạn đang xem: Vpn client khổng lồ site là gì
VPN Client lớn Site là gì?
Yêu cầu
Mô hình mạng bao gồm 2 site HQ với BR. Mạng HQ bao gồm 2 VLAN 10 (10.0.0.0/24) và VLAN 20 (10.0.1.0/24). Mạng BR thực hiện VLAN1 172.16.1.0/24. Yêu cầu bài lap là thông số kỹ thuật VPN Client to Site trên sản phẩm định con đường Router Cisco ISR4321 để client ngơi nghỉ mạng BR hoàn toàn có thể truy cập vào 2 VLAN của mạng HQ thực hiện IPSec và MD5. Client remote access sử dụng dải địa chỉ cửa hàng IP từ bỏ 192.1668.1.20 mang đến 192.168.1.50.
IP WAN của HQ là 100.0.0.100/24 và IP Wan của BR là 100.0.0.1/24 sử dụng giao thức NAT để truy cập internet. Trong nội dung bài viết này mình đã cấu hình trước đảm bảo an toàn 2 site số đông ping được ra internet.
Bạn đang xem: Vpn client to lớn site là gì
Bạn đang xem: Vpn client to site là gì
Kiểm tra kết nối từ site HQ cho IP wan của BR: từ hệ thống 10.0.0.10 ping mang đến IP 100.0.0.1
C:>ping 100.0.0.1 Pinging 100.0.0.1 with 32 bytes of data: Reply from 100.0.0.1: bytes=32 timeReply from 100.0.0.1: bytes=32 time=1ms TTL=253 Reply from 100.0.0.1: bytes=32 timePing statistics for 100.0.0.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 1ms, Average = 0msC:> |
Kiểm tra liên kết từ siteBR mang lại IP wan củaHQ:từ Client 172.16.1.10ping đến IP 100.0.0.100
C:>ping 100.0.0.100 Pinging 100.0.0.100 with 32 bytes of data:Reply from 100.0.0.100: bytes=32 time=2ms TTL=255Reply from 100.0.0.100: bytes=32 time=1ms TTL=255Reply from 100.0.0.100: bytes=32 time=3ms TTL=255Reply from 100.0.0.100: bytes=32 timePing statistics for 100.0.0.100:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 3ms, Average = 1ms C:> |
Các bước thông số kỹ thuật VPN Client lớn Site
Bước 1: nhảy aaa new-model nhằm tạo tài khoản VPNBước 2: Khởi sản xuất ISAKMP PolicyBước 3: tạo nên IP Local Pool để cấp IP đến VPN ClientBước 4: chế tạo ra ISAKMP KeyBước 5: sản xuất Crypto IPSec Transform SetBước 6: sinh sản Crypto MapBước 7: Apply Crypto maps vào interface wanCấu hình VPN Client khổng lồ Site bên trên Router Cisco
Bước 1: bật aaa new-model và tạo thành web11_user
Router#configure terminalHQ(config)#aaa new-modelHQ(config)#aaa authentication login VPN-AUTHEN localHQ(config)#aaa authorization network VPN-AUTHOR localHQ(config)#web11_username admin password Admin123 |
Bước 2: Khởi tạo ra ISAKMP Policy
HQ(config)#crypto isakmp policy 10HQ(config-isakmp)#encryption 3desHQ(config-isakmp)#hash md5HQ(config-isakmp)#authentication pre-shareHQ(config-isakmp)#group 2 |
Bước 3: sản xuất IP Local Pool để cấp cho IP mang lại VPN Client
HQ(config)#ip local pool VPN-CLIENT 192.168.1.20 192.168.1.50 |
Bước 4: chế tạo ISAKMP Key vàgán pool vào
HQ(config)#crypto isakmp client configuration group ciscoHQ(config-isakmp-group)#key Cisco123HQ(config-isakmp-group)#pool VPN-CLIENT |
Bước 5: sản xuất Crypto IPSec Transform Set
HQ(config)#crypto ipsec transform-set SET1 esp-3des esp-md5-hmac |
Bước 6: sinh sản Crypto maps và gántransform-set vào
HQ(config)#crypto dynamic-map MAP1 10HQ(config-crypto-map)#set transform-set SET1HQ(config-crypto-map)#reverse-routeHQ(config-crypto-map)#exitHQ(config)#crypto map MAP1 client authentication danh mục VPN-AUTHENHQ(config)#crypto bản đồ MAP1 client configuration address respondHQ(config)#crypto map MAP1 isakmp authorization danh mục VPN-AUTHORHQ(config)#crypto maps MAP1 10 ipsec-isakmp dynamic MAP1 |
Bước 7: Apply Crypto maps vào interface wan
HQ(config)#interface g0/0/1HQ(config-if)#crypto bản đồ MAP1 |
Kết nối VPN từ bỏ BR với Kiểm tra
Từ Client 172.16.1.10 làm việc BR, mở VPN Configuration và thiết lập các thông số VPN:
Xem thêm: Diên Hy Công Lược 60 Vietsub + Thuyết Minh Full Hd, Diên Hi Công Lược Tập 60
Kiểm tra bên trên Router bởi lệnh "show crypto isakmp sa" và "show crypto ipsec sa"
show crypto isakmp sa
HQ#show crypto isakmp sa IPv4 Crypto ISAKMP SAdst src state conn-id slot status100.0.0.1 100.0.0.100 QM_IDLE 1010 0 ACTIVE IPv6 Crypto ISAKMP SA HQ# |
show crypto ipsec sa
HQ#show crypto ipsec sa
interface: GigabitEthernet0/0/1 Crypto maps tag: map1, local addr 100.0.0.100 protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (192.168.1.21/255.255.255.255/0/0) current_peer 100.0.0.1 port 500 PERMIT, flags=origin_is_acl, #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. Failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 100.0.0.100, remote crypto endpt.:100.0.0.1 path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/1 current outbound spi: 0x793A6AEB(2033871595) inbound esp sas: spi: 0x230401A3(587465123) transform: esp-3des esp-md5-hmac , in use web11_settings =Tunnel, conn id: 2003, flow_id: FPGA:1, crypto map: map1 sa timing: remaining key lifetime (k/sec): (4525504/1008) IV size: 16 bytes trả lời detection support: N Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x793A6AEB(2033871595) transform: esp-3des esp-md5-hmac , in use web11_settings =Tunnel, conn id: 2004, flow_id: FPGA:1, crypto map: map1 sa timing: remaining key lifetime (k/sec): (4525504/1008) IV size: 16 bytes trả lời detection support: N Status: ACTIVE outbound ah sas: outbound pcp sas:
