Trong nội dung bài viết này bản thân đã trả lời các bạn cấu hình VPN Client to Site bên trên router Cisteo nhằm Remote Access từ xa. Trong bài xích Lab này mình thực hiện phần mềm Packet Tracert để cấu hình.quý khách hàng vẫn xem: Vpn client khổng lồ site là gì

VPN Client khổng lồ Site là gì?

Yêu cầu

Mô hình mạng bao hàm 2 site HQ và BR. Mạng HQ bao gồm 2 VLAN 10 (10.0.0.0/24) cùng VLAN 20 (10.0.1.0/24). Mạng BR sử dụng VLAN1 172.16.1.0/24. Yêu cầu bài xích lap là cấu hình VPN Client to Site trên thiết bị định tuyến đường Router Cisco ISR4321 nhằm client ở mạng BR hoàn toàn có thể truy cập vào 2 VLAN của mạng HQ áp dụng IPSec và MD5. Client remote access áp dụng dải tác động IP.. từ 192.1668.1.trăng tròn mang lại 192.168.1.50.

IP WAN của HQ là 100.0.0.100/24 và IPhường Wan của BR là 100.0.0.1/24 áp dụng giao thức NAT nhằm truy vấn internet. Trong nội dung bài viết này tôi đã cấu hình trước bảo đảm 2 site đầy đủ ping được ra internet.




Bạn đang xem: Cấu hình vpn client to site trên router cisco

*

Kiểm tra liên kết trường đoản cú site HQ cho IP wan của BR: từ Server 10.0.0.10 ping đến IPhường 100.0.0.1

C:>ping 100.0.0.1

Pinging 100.0.0.1 with 32 bytes of data:

Reply from 100.0.0.1: bytes=32 timeReply from 100.0.0.1: bytes=32 time=1ms TTL=253

Reply from 100.0.0.1: bytes=32 timePing statistics for 100.0.0.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 1ms, Average = 0ms

C:>

Kiểm tra liên kết trường đoản cú siteBR mang lại IPhường. wan củaHQ:từ bỏ Client 172.16.1.10ping cho IPhường 100.0.0.100

C:>ping 100.0.0.100

Pinging 100.0.0.100 with 32 bytes of data:Reply from 100.0.0.100: bytes=32 time=2ms TTL=255Reply from 100.0.0.100: bytes=32 time=1ms TTL=255Reply from 100.0.0.100: bytes=32 time=3ms TTL=255Reply from 100.0.0.100: bytes=32 timePing statistics for 100.0.0.100:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 3ms, Average = 1ms

C:>

Các bước cấu hình VPN Client to Site

Bước 1: Bật aaa new-mã sản phẩm nhằm tạo nên thông tin tài khoản VPNCách 2: Khởi chế tạo ra ISAKMP PolicyBước 3: Tạo IPhường Local Pool nhằm cấp IPhường mang lại VPN ClientBước 4: Tạo ISAKMPhường. KeyBước 5: Tạo Crypto lớn IPSec Transform SetBước 6: Tạo Crypto lớn MapBước 7: Apply Crypto Map vào interface wan

Cấu hình VPN Client to Site bên trên Router Cisco

Cách 1: Bật aaa new-Model với tạo nên web11_user

Router#configure terminalHQ(config)#aaa new-modelHQ(config)#aaa authentication login VPN-AUTHEN localHQ(config)#aaa authorization network VPN-AUTHOR localHQ(config)#web11_username admin password Admin123

Cách 2: Khởi tạo thành ISAKMP Policy

HQ(config)#crypkhổng lồ isakmp policy 10HQ(config-isakmp)#encryption 3desHQ(config-isakmp)#hash md5HQ(config-isakmp)#authentication pre-shareHQ(config-isakmp)#group 2

Bước 3: Tạo IP.. Local Pool để cấp IPhường. mang lại VPN Client

HQ(config)#ip local pool VPN-CLIENT 192.168.1.20 192.168.1.50

Cách 4: Tạo ISAKMP Key vàgán pool vào

HQ(config)#crypkhổng lồ isakmp client configuration group ciscoHQ(config-isakmp-group)#key Cisco123HQ(config-isakmp-group)#pool VPN-CLIENT

Cách 5: Tạo Cryplớn IPSec Transkhung Set

HQ(config)#crypto lớn ipsec transform-set SET1 esp-3des esp-md5-hmac

Cách 6: Tạo Crypkhổng lồ Map và gántransform-phối vào

HQ(config)#crypkhổng lồ dynamic-map MAP1 10HQ(config-crypto-map)#phối transform-phối SET1HQ(config-crypto-map)#reverse-routeHQ(config-crypto-map)#exitHQ(config)#crypkhổng lồ map MAP1 client authentication các mục VPN-AUTHENHQ(config)#crypkhổng lồ bản đồ MAP1 client configuration address respondHQ(config)#crypkhổng lồ maps MAP1 isakmp authorization menu VPN-AUTHORHQ(config)#cryplớn map MAP1 10 ipsec-isakmp dynamic MAP1

Bước 7: Apply Crypto lớn Map vào interface wan

HQ(config)#interface g0/0/1HQ(config-if)#crypkhổng lồ map MAP1

Kết nối VPN từ bỏ BR và Kiểm tra

Từ Client 172.16.1.10 sinh sống BR, msinh hoạt VPN Configuration và tùy chỉnh cấu hình những thông số kỹ thuật VPN:


*

*

*



Xem thêm: Cài 2 Zalo Trên Máy Tính Cùng Lúc, Hướng Dẫn Đăng Nhập Nhiều Nick Zalo Trên Máy Tính

*

Kiểm tra trên Router bởi lệnh "show crypkhổng lồ isakmp sa" cùng "show crypto ipsec sa"

show crypto isakmp sa

HQ#show crypkhổng lồ isakmp sa

IPv4 Crypto lớn ISAKMP SAdst src state conn-id slot status100.0.0.1 100.0.0.100 QM_IDLE 1010 0 ACTIVE

IPv6 Crypto ISAKMPhường SA

HQ#

show crypto lớn ipsec sa

HQ#show cryplớn ipsec sa

interface: GigabitEthernet0/0/1 Cryplớn maps tag: map1, local addr 100.0.0.100 protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (192.168.1.21/255.255.255.255/0/0) current_peer 100.0.0.1 port 500 PERMIT, flags=origin_is_acl, #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comquảng cáo. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #skết thúc errors 0, #recv errors 0 local crypto endpt.: 100.0.0.100, remote crypkhổng lồ endpt.:100.0.0.1 path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/1 current outbound spi: 0x793A6AEB(2033871595) inbound esp sas: spi: 0x230401A3(587465123) transform: esp-3des esp-md5-hmac , in use web11_settings =Tunnel, conn id: 2003, flow_id: FPGA:1, cryplớn map: map1 sa timing: remaining key lifetime (k/sec): (4525504/1008) IV size: 16 bytes trả lời detection support: N Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x793A6AEB(2033871595) transform: esp-3des esp-md5-hmac , in use web11_settings =Tunnel, conn id: 2004, flow_id: FPGA:1, cryplớn map: map1 sa timing: remaining key lifetime (k/sec): (4525504/1008) IV size: 16 bytes trả lời detection support: N Status: ACTIVE outbound ah sas: outbound pcp sas: