Mục tiêu thực hành:
- Cấu hình IPsec VPN giữa VPN.RT vs Site1.RT.
- Cấu hình IPsec VPN giữa VPN.RT vs Site2.RT.
Truy cập vào "Lab 3-8 - Cau hinh dinh tuyen dong OSPF tren Cisco Router v1" tại Public Unetlab Server 24/7 để thực hành.
Cấu hình IPsec VPN giữa VPN.RT vs Site1.RT.
- Đảm bảo các Router có thể ping được Public IP của nhau trước khi cấu hình IPsec VPN.
VPN.RT#ping 203.0.1.2 source 203.0.3.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 203.0.1.2, timeout is 2 seconds:Packet sent with a source address of 203.0.3.2!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 msVPN.RT#
- Cấu hình chính sách IPsec VPN trên VPN.RT.
crypto isakmp policy 1encryption aes 128hash md5authentication pre-sharegroup 1lifetime 86400exitcrypto isakmp key 123 address 0.0.0.0crypto ipsec transform-set myset esp-sha-hmac esp-aes 128mode tunnelexitip access-list extended VPNTrafficSite1permit ip 10.0.0.0 0.0.255.255 172.16.1.64 0.0.0.63exitip access-list extended VPNTrafficSite2permit ip 10.0.0.0 0.0.255.255 172.16.2.64 0.0.0.63exitcrypto map CryptoMap 1 ipsec-isakmpset peer 203.0.1.2set security-association lifetime seconds 900set transform-set mysetmatch address VPNTrafficSite1reverse-route staticexitcrypto map CryptoMap 2 ipsec-isakmpset peer 203.0.2.2set security-association lifetime seconds 900set transform-set mysetmatch address VPNTrafficSite2reverse-route staticexitinterface e0/1crypto map CryptoMapexit
ip access-list extended NatTrafficdeny ip 10.0.0.0 0.0.255.255 172.16.1.64 0.0.0.63deny ip 10.0.0.0 0.0.255.255 172.16.2.64 0.0.0.63permit ip 10.0.0.0 0.0.255.255 anyexitip nat inside source list NatTraffic interface e0/1 overload
- Cấu hình chính sách IPsec VPN trên Site1.RT.
crypto isakmp policy 1encryption aes 128hash md5authentication pre-sharegroup 1lifetime 86400exitcrypto isakmp key 123 address 0.0.0.0crypto ipsec transform-set myset esp-sha-hmac esp-aes 128mode tunnelexitip access-list extended VPNTrafficpermit ip 172.16.1.64 0.0.0.63 10.0.0.0 0.0.255.255exitcrypto map CryptoMap 1 ipsec-isakmpset peer 203.0.3.2set security-association lifetime seconds 900set transform-set mysetmatch address VPNTrafficreverse-route staticexitinterface e0/1crypto map CryptoMapexit
ip access-list extended NatTrafficdeny ip 172.16.1.64 0.0.0.63 10.0.0.0 0.0.255.255permit ip 172.16.1.0 0.0.0.255 anyexitip nat inside source list NatTraffic interface e0/1 overload
- Cấu hình IP SLA trên Site1.RT gửi dữ liệu liên tục để duy trì kết nối IPsec VPN luôn ở trạng thái UP.
ip sla 1icmp-echo 10.0.0.3 source-ip 172.16.1.65threshold 2timeout 2000frequency 3exitip sla schedule 1 life forever start-time now
- Kiểm tra kết nối IPsec VPN.
Site1-RT#show crypto sessionCrypto session current statusInterface: Ethernet0/1Session status: UP-ACTIVEPeer: 203.0.3.2 port 500IKEv1 SA: local 203.0.1.2/500 remote 203.0.3.2/500 ActiveIPSEC FLOW: permit ip 172.16.1.64/255.255.255.192 10.0.0.0/255.255.255.248Active SAs: 2, origin: crypto mapSite1-RT#
Cấu hình IPsec VPN giữa VPN.RT vs Site2.RT.
Thực hành thêm các bài Lab cơ bản khác tại hạng mục Học Network CCNA R&S thông qua các bài thực hành.
0 comments