Mục tiêu thực hành:
- Kiểm tra Meraki Firmware Version trước khi cấu hình Non-Meraki VPN.
- Thiết lập IPsec VPN bằng việc khai báo thông tin của Non-Meraki VPN peer trên Meraki MX.
- Hiệu chỉnh IPsec policies dùng để thiết lập IPsec VPN với Non-Meraki VPN peer.
- Hiệu chỉnh Subnet sẽ tham gia vào phiên kết nối IPsec VPN trên Meraki MX.
- Kiểm tra kết nối IPsec VPN trên Remote Cisco Router.
- Định nghĩa Static Route trên Remote Cisco Router tới Internal LAN của Meraki MX.
Các bước triển khai:
Kiểm tra Meraki Firmware Version trước khi cấu hình Non-Meraki VPN.
- Meraki MX Firmware Version 16.4: Đang bị bug nên không cấu hình được Non-Meraki VPN.
- Meraki MX Firmware Version 14.53: Hoạt động ổn định khi thiết lập Non-Meraki VPN.
Thiết lập IPsec VPN bằng việc khai báo thông tin của Non-Meraki VPN peer trên Meraki MX.
Hiệu chỉnh IPsec policies dùng để thiết lập IPsec VPN với Non-Meraki VPN peer.
Hiệu chỉnh Subnet sẽ tham gia vào phiên kết nối IPsec VPN trên Meraki MX.
Kiểm tra kết nối IPsec VPN trên Remote Cisco Router.
R4321#show running-config | section access-listip access-list extended NetTrafficdeny ip 10.10.10.0 0.0.0.255 192.168.100.0 0.0.0.255permit ip 10.10.10.0 0.0.0.255 anyip access-list extended vpntrafficpermit ip 10.10.10.0 0.0.0.255 192.168.100.0 0.0.0.255R4321#
R4321#show running-config | include ip natip nat inside source list NetTraffic interface Dialer1 overloadR4321#
R4321#show crypto sessionCrypto session current statusInterface: Dialer1Session status: UP-ACTIVEPeer: 118.69.66.40 port 4500Session ID: 0IKEv1 SA: local 113.161.40.153/4500 remote 118.69.66.40/4500 ActiveIPSEC FLOW: permit ip 10.10.10.0/255.255.255.0 192.168.100.0/255.255.255.0Active SAs: 2, origin: dynamic crypto mapR4321#
Định nghĩa Static Route trên Remote Cisco Router tới Internal LAN của Meraki MX.
- Thông thường thì ta không cần thực hiện thao tác này nhưng trong tình huống trên Remote Cisco Router đang tồn tại một Static Route tới lớp mạng 192.168.0.0/16 thông qua Next-Hop 172.16.1.2 nên các thiết bị từ mạng LAN 192.168.100.0/24 (Meraki MX) không thể ping được tới lớp mạng LAN 10.10.10.0/24 của Remote Cisco Router.
R4321#show ip route staticCodes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2ia - IS-IS inter area, * - candidate default, U - per-user static routeo - ODR, P - periodic downloaded static route, H - NHRP, l - LISPa - application route+ - replicated route, % - next hop override, p - overrides from PfRGateway of last resort is 0.0.0.0 to network 0.0.0.0S* 0.0.0.0/0 is directly connected, Dialer1172.16.0.0/16 is variably subnetted, 3 subnets, 2 masksS 172.16.2.0/24 [1/0] via 113.161.87.212S 192.168.0.0/16 [1/0] via 172.16.1.2S 192.168.1.0/24 [1/0] via 171.239.158.195S 192.168.100.0/24 [1/0] via 118.69.66.40R4321#
R4321#show running-config | include ip route 192.168.100.0ip route 192.168.100.0 255.255.255.0 118.69.66.40R4321#
C:\Users\DWN-ITRoomHP>ipconfigWindows IP ConfigurationEthernet adapter Ethernet:Connection-specific DNS Suffix . :Link-local IPv6 Address . . . . . : fe80::61aa:b3d7:ec1d:1a78%8IPv4 Address. . . . . . . . . . . : 192.168.100.150Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.100.254
C:\Users\DWN-ITRoomHP>ping 10.10.10.1Pinging 10.10.10.1 with 32 bytes of data:Reply from 10.10.10.1: bytes=32 time=4ms TTL=254Reply from 10.10.10.1: bytes=32 time=4ms TTL=254Reply from 10.10.10.1: bytes=32 time=4ms TTL=254Reply from 10.10.10.1: bytes=32 time=5ms TTL=254Ping statistics for 10.10.10.1:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 4ms, Maximum = 5ms, Average = 4msC:\Users\DWN-ITRoomHP>
Công ty DWN (Đại lý cấp I Cisco Meraki tại Việt Nam) cung cấp dịch vụ tư vấn, báo giá, phân phối và triển khai các giải pháp liên quan đến:
- WiFi (Cisco Meraki, Aruba, Ruckus)
- Firewall (Cisco ASA, Fortinet, WatchGuard, PaloAlto)
- Network (Cisco vs HP Router & Switch)
Liên hệ với Bùi Phạm để biết thêm thông tin chi tiết.
0 comments