Hướng dẫn cấu hình VPN trên thiết bị Cisco mới nhất 2023

Bài viết hướng dẫn các cấu hình VPN trên thiết bị Cisco, giải thích ý nghĩa của việc làm này và từng bước thực hiện cấu hình VPN trên thiết bị Router của thương hiệu Cisco. Các thông tin đều được cập nhất mới nhất trong năm 2023, hãy cùng tìm hiểu ngay tại nào!

Cấu hình VPN trên thiết bị Cisco là gì?

Cấu hình VPN trên thiết bị Cisco (VPN Client to Site hay Remote Access VPN) là hành động được thực hiện nhằm mục đích cho phép 1 người dùng có thể kết nối đến hệ thống mạng của công ty, văn phòng, chi nhánh,… để truy cập, sử dụng và chia sẻ các tài nguyên. Việc làm này được ứng dụng phổ biến trong:

• Giải quyết nhu cầu truy cập vào mạng riêng của tổ chức để sử dụng và chia sẻ tài nguyên.
• Bảo mật thông tin cho cá nhân sử dụng mạng riêng.
• Cung cấp khả năng duyệt web tương đương chế độ ẩn danh thông qua việc giấu hoàn toàn địa chỉ IP Public thật của thiết bị truy cập cá nhân với hệ thống của các nhà phát hành.
• Khả năng truy cập mạng ổn định, tốc độ đường truyền nhanh hơn so với việc sử dụng mạng cá nhân.

Các bước cấu hình VPN trên thiết bị Router Cisco

Để thực hiện cấu hình VPN trên thiết bị Cisco vào năm 2023, ta cần thực hiện lần lượt 7 bước sau:

Bước 1: Bật aaa new-model và tạo tài khoản user

>>Bắt đầu

Router#configure terminal

HQ(config)#aaa new-model

HQ(config)#aaa authentication login VPN-AUTHEN local

HQ(config)#aaa authorization network VPN-AUTHOR local

HQ(config)#username quynguyen password Quynguyen@123

Kết thúc<<

Bước 2: Khởi tạo ISAKMP Policy

>>Bắt đầu

HQ(config)#crypto isakmp policy 10

HQ(config-isakmp)#encryption 3des

HQ(config-isakmp)#hash md5

HQ(config-isakmp)#authentication pre-share

HQ(config-isakmp)#group 2

Kết thúc<<

Bước 3: Tạo địa chỉ IP Local Pool để cấp địa chỉ IP cho VPN Client

>>Bắt đầu

HQ(config)#ip local pool VPN-CLIENT 192.168.1.20 192.168.1.50

Kết thúc<<

Bước 4: Tạo ra ISAKMP Key và gán pool vào

>>Bắt đầu

HQ(config)#crypto isakmp client configuration group cisco

HQ(config-isakmp-group)#key Cisco@123

HQ(config-isakmp-group)#pool VPN-CLIENT

Kết thúc<<

Bước 5: Tạo Crypto IPSec Transform Set

>>Bắt đầu

HQ(config)#crypto ipsec transform-set SET1 esp-3des esp-md5-hmac

Kết thúc<<

Bước 6: Tạo ra Crypto Map và gán transform-set vào

>>Bắt đầu

HQ(config)#crypto dynamic-map MAP1 10

HQ(config-crypto-map)#set transform-set SET1

HQ(config-crypto-map)#reverse-route

HQ(config-crypto-map)#exit

HQ(config)#crypto map MAP1 client authentication list VPN-AUTHEN

HQ(config)#crypto map MAP1 client configuration address respond

HQ(config)#crypto map MAP1 isakmp authorization list VPN-AUTHOR

HQ(config)#crypto map MAP1 10 ipsec-isakmp dynamic MAP1

Kết thúc<<

Bước 7: Gắn Crypto Map vào interface wan

>>Bắt đầu

HQ(config)#interface g0/0/1

HQ(config-if)#crypto map MAP1

Kết thúc<<

Yêu cầu cấu hình VPN trên thiết bị Cisco

Yêu cầu của một cấu hình VPN Client to Site:

• Mô hình mạng bao gồm 2 site BR và HQ. Trong đó, mạng HQ sẽ bao gồm 2 VLAN 10 (địa chỉ IP là 10.0.0.0/24) và 2 VLAN 20 (địa chỉ IP là 10.0.1.0/24). Còn mạng BR sử dụng VLAN 1 với IP là 172.16.1.0/24.
• Yêu cầu là cấu hình VPN Client to Site để client ở mạng BR được phép truy cập vào 2 VLAN của mạng HQ sử dụng IPSec và MD5.
• Client remote access phải sử dụng dải IP trong khoảng từ 192.1668.1.20 đến 192.168.1.5.
• IP WAN của mạng BR (100.0.0.1/24) và IP WAN của mạng HQ (100.0.0.100/24 ) sử dụng giao thức NAT để truy cập vào mạng internet.

Để kiểm tra kết nối từ Server 10.0.0.10 ping của site HQ đến IP 100.0.0.1 của mạng BR, bạn có thể thực hiện đoạn mã sau:

>>Bắt đầu

C:\>ping 100.0.0.1

Pinging 100.0.0.1 with 32 bytes of data:

Reply from 100.0.0.1: bytes=32 time<1ms ttl=”253″Reply from 100.0.0.1: bytes=32 time=1ms TTL=253

Reply from 100.0.0.1: bytes=32 time<1ms ttl=”253″Ping statistics for 100.0.0.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 1ms, Average = 0ms

C:\>

Kết thúc<<

Để kiểm tra kết nối từ Client 172.16.1.10 ping của site BR đến IP 100.0.0.100 của mạng HQ, bạn có thể thực hiện đoạn mã sau:

>>Bắt đầu

C:\>ping 100.0.0.100

Pinging 100.0.0.100 with 32 bytes of data:

Reply from 100.0.0.100: bytes=32 time=2ms TTL=255

Reply from 100.0.0.100: bytes=32 time=1ms TTL=255

Reply from 100.0.0.100: bytes=32 time=3ms TTL=255

Reply from 100.0.0.100: bytes=32 time<1ms ttl=”255″>Ping statistics for 100.0.0.100:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 3ms, Average = 1ms

C:\>

Kết thúc<<

Kết nối VPN từ BR và Kiểm tra

Từ Client 172.16.1.10 ở mạng BR, bạn hãy mở VPN Configuration và thiết lập các thông số VPN bằng cách điền vào các trường sau:

• Group Name: Group Nam mà bạn đã tạo ở bước 4.
• Group Key: Group Key mà bạn cũng đã tạo ở bước 4.
• Host IP (Server IP): Địa chỉ IP WAN của mạng HQ (ở ví dụ sẽ là 100.0.0.100)
• Username: Username mà bạn đã tạo ở bước 1 (ở đây mình đặt là quynguyen)
• Password: Password mà bạn đã tạo ở bước 1 (trong ví dụ sẽ là: Quynguyen@123)

Nhấn nút connect và đợi đến khi có thông báo VPN is Connected là bạn đã thực hiện kết nối VPN thành công trên Router Cisco.

Bạn có thể xem lại địa chỉ IP mà Client nhận tự Local Pool ở trường Desktop. Sau đó, bạn có thể Ping thử từ Client 172.16.1.10 tới 2 Server 10.0.0.10 và 10.0.1.10 tại mạng HQ.

Bạn cũng có thể kiểm tra trên Router với lệnh “show crypto isakmp sa” và “show crypto ipsec sa” lần lượt:

Với lệnh lệnh “show crypto isakmp sa”:

>>Bắt đầu

HQ#show crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst src state conn-id slot status

100.0.0.1 100.0.0.100 QM_IDLE 1010 0 ACTIVE

IPv6 Crypto ISAKMP SA

HQ#

Kết thúc<

Với lệnh “show crypto ipsec sa”:

>>Bắt đầu

HQ#show crypto ipsec sa

interface: GigabitEthernet0/0/1

Crypto map tag: map1, local addr 100.0.0.100

protected vrf: (none)

local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)

remote ident (addr/mask/prot/port): (192.168.1.21/255.255.255.255/0/0)

current_peer 100.0.0.1 port 500

PERMIT, flags={origin_is_acl,}

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0

#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0

#pkts not decompressed: 0, #pkts decompress failed: 0

#send errors 0, #recv errors 0

local crypto endpt.: 100.0.0.100, remote crypto endpt.:100.0.0.1

path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0/1

current outbound spi: 0x793A6AEB(2033871595)

inbound esp sas:

spi: 0x230401A3(587465123)

transform: esp-3des esp-md5-hmac ,

in use settings ={Tunnel, }

conn id: 2003, flow_id: FPGA:1, crypto map: map1

sa timing: remaining key lifetime (k/sec): (4525504/1008)

IV size: 16 bytes

replay detection support: N

Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:

spi: 0x793A6AEB(2033871595)

transform: esp-3des esp-md5-hmac ,

in use settings ={Tunnel, }

conn id: 2004, flow_id: FPGA:1, crypto map: map1

sa timing: remaining key lifetime (k/sec): (4525504/1008)

IV size: 16 bytes

replay detection support: N

Status: ACTIVE

outbound ah sas:

outbound pcp sas:

HQ#

Kết thúc<

Trên đây là hướng dẫn các bước cấu hình VPN trên thiết bị Cisco chi tiết từ A – Z, được cập nhật mới nhất trong năm 2023. Chúc các bạn thực hiện cấu hình thành công tại nhà!

Ngoài ra, nếu bạn chưa biết mua thiết bị Cisco ở đâu uy tín, chất lượng và có mức giá thành phải chăng thì Công ty Cổ phần Hệ thống Công nghệ Hoàng Hải sẽ là một lựa chọn mà bạn có thể tham khảo.

Xem thêm sản phẩm và nhận tư vấn mua hàng tại:

Công ty Cổ phần Hệ thống Công nghệ Hoàng Hải

• Địa chỉ: Hoàng Hải Tech, số 536/43C đường Âu Cơ, phường 10, quận Tân Bình, thành phố Hồ Chí Minh.
• Điện thoại: 028 7300 2626.