TemplateCiscoConfiguration: (VPN IPsec 01) Cấu hình Dynamic IPsec VPN trên Cisco Router

Dynamic IPsec VPN cho phép các Branch Site sử dụng Dynamic IP nhưng vẫn có thể thiết lập IPsec VPN tới Cisco Router sử dụng Public Static IP.

- Ta có thể sử dụng kỹ thuật Dynamic IPsec VPN để xác định địa chỉ IP của các Branch Site thay thế cho kỹ thuật Dynamic DNS.

Cấu hình Dynamic IPsec VPN trên Cisco Router.

crypto isakmp policy 1

   encryption aes 128

   hash sha

   authentication pre-share

   group 2

   lifetime 86400

   exit

crypto isakmp policy 2

   encryption des

   hash sha

   authentication pre-share

   group 2

   lifetime 86400

   exit

crypto isakmp key tigernet address 0.0.0.0

crypto ipsec transform-set myset01 esp-sha-hmac esp-aes 128

   mode tunnel

   exit

crypto ipsec transform-set myset02 esp-sha-hmac esp-des

   mode tunnel

   exit

ip access-list extended vpntraffic

  permit ip 10.10.10.0 0.0.0.255 172.16.31.0 0.0.0.255 

  exit

crypto dynamic-map mydynamicmap 1 

  set security-association lifetime seconds 86400

  set transform-set myset01 myset02

  match address vpntraffic

  exit

crypto map dynmap 1 ipsec-isakmp dynamic mydynamicmap

interface dialer1

  crypto map dynmap

  exit

Cấu hình NAT Exemption (Split Tunneling).

- NAT Exemption đảm bảo lưu lượng VPN Traffic của các End User sẽ không trải qua tiến trình NAT Overload khi được gửi trên đường kết nối IPsec VPN.

ip access-list extended NetTraffic

  deny ip 10.10.10.0 0.0.0.255 172.16.31.0 0.0.0.255 

  permit ip 10.10.10.0 0.0.0.255 any

  exit

ip nat inside source list NetTraffic interface Dialer1 overload

Kiểm tra kết nối IPsec VPN.

R4321#ping 172.16.31.1 source 10.10.10.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.31.1, timeout is 2 seconds:

Packet sent with a source address of 10.10.10.1 

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/5 ms

R4321#

R4321#show crypto session 

Crypto session current status

Interface: Dialer1

Session status: UP-ACTIVE     

Peer: 27.75.96.96 port 500 

  Session ID: 0  

  IKEv1 SA: local 113.161.40.153/500 remote 27.75.96.96/500 Active 

  IPSEC FLOW: permit ip 10.10.10.0/255.255.255.0 172.16.31.0/255.255.255.0 

        Active SAs: 2, origin: dynamic crypto map

R4321#

Để nắm được cơ chế hoạt động của kỹ thuật IPsec VPN, các bạn có thể tham khảo Khóa học CCNP R&S (Route). Các anh chị có nhu cầu giải đáp thắc mắc có thể liên hệ trực tiếp với mình thông qua kênh Zalo (Jade Bùi) 076.877.2021.