Professional Documents
Culture Documents
Lab 08 - 2019
Lab 08 - 2019
LAB 08
Ipsec VPN cấu hình bằng CLI
IP Address Table:
Note: Phần in đậm là tham số mặc định có sẵn khi khai báo ISAKMP, chỉ cần cấu hình
thêm phần tham số in thường.
VPNs cung cấp phương thức bảo vệ cho việc truyền dữ liệu qua một mạng công
cộng như Internet, làm giảm chi phí liên quan khi sử dụng đường truyền leased lines. Kết
nối VPN site-to-site cung cấp một đường hầm bảo mật (IPsec) giữa văn phòng chi nhánh
và hội sở. Trong bài lab này, sinh viên sẽ xây dựng một mô hình mạng nhiều router và
cấu hình cài đặt cho các router và host, xây dựng một đường hầm IPsec VPN từ R1 đến
R3 thông qua R2, R2 xem như là router trung gian và không biết trước về đường hầm
VPN.
a. Show cấu hình ios đang chạy bằng câu lệnh show version
b. Bật licience Security Technology bằng câu lệnh
R1(config)# license boot module c1900 technology-package securityk9
c. Chọn yes để apply licence, lưu lại cấu hình và reboot lại thiết bị
R1#reload
R1>show version
Bước 3: Tạo access-list lọc traffic được gửi từ PC1 (LAN1) đến PC3 (LAN3)
Thực hành an ninh mạng 2019
Bước 4: Cấu hình IKE phase 1 ISAKMP policy 10 với các tham số như trên bảng
ISAKMP phase 1, password preshare key là vnppa55.
Ví dụ trên R1:
a. Show cấu hình ios đang chạy bằng câu lệnh show version
Thực hành an ninh mạng 2019
b. Bật licience Security Technology bằng câu lệnh
R1(config)# license boot module c1900 technology-package securityk9
c. Chọn yes để apply licence, lưu lại cấu hình và reboot lại thiết bị
R3#reload
R3>show version
Bước 2: Tạo access-list lọc traffic được gửi từ PC3 (LAN3) đến PC1 (LAN1)
Bước 3: Cấu hình IKE phase 1 ISAKMP policy 10 với các tham số như trên bảng
ISAKMP phase 1, password preshare key là vnppa55.
Ví dụ trên R3:
Bước 3: Tạo traffic qua đường hầm để kiểm tra hoạt động của VPN
a. Trên R1 ping đến int Fa0/0 của R3. Sử dụng lệnh show crypto ipsec sa,
kiểm tra liên kết SA đã được tạo hay chưa?
b. Trên R1 ping đến địa chỉ loopback 0 (192.168.3.1) của R3. Sử dụng lệnh show
crypto ipsec sa, kiểm tra liên kết SA đã được tạo hay chưa?
c. Trên R1 sử dụng lệnh extended ping đến địa chỉ loopback 0 của R3
R1#ping
Protocol [ip]:
Sử dụng lệnh show crypto ipsec sa, show crypto ipsec sa để kiểm tra
lần nữa, lúc này liên kết SA đã được thiết lập đường hầm VPN đã hoạt động, dữ liệu
(gói tin ICMP) đã được bảo vệ khi đi qua đường hầm.