Vpn config-on-cisco-devices

I.VPN CONFIG ON CISCO ROUTER 1 Policy Base VPN Configuration on Cisco Router1.1 Site-to-Site IPSEC VPN1.1.1 Site-to-Site IPSEC-VPN with static IP

-Bước 1: Cấu hình Interesting trafic:

R1(config)#ip access-list extended VPN-ACL

R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

R2(config)#ip access-list extended VPN-ACL

R2(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

-Bước 2: Cấu hình loại bỏ các traffic sử dụng internet:

+R1:

R1(config)#ip access-list extended NAT-ACL

R1(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 : loại bỏ traffic từ LAN1 đến LAN2 trong hoạt động của NAT

R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any : cho phep tat ca traffic khac tu LAN1 duoc NAT

Kích hoạt chức năng NAT trên port:

R1(config)#ip nat inside source list NAT-ACL interface fa0/0 overload

R1(config)#int fa0/0

R1(config-if)#ip nat outside


R1(config-if)#ip nat inside

+R2: Làm tương tự như R1

-Bước 3: Cấu hình Phase 1(ISAKMP) : Để thiết lập 1 kênh sercure channel

+R1:

R1(config)#crypto isakmp policy 1 : tạo policy 1. Có thể có nhiều policyR1(config-isakmp)#encryption 3des(hoặc aes hoặc des)R1(config-isakmp)#hash md5(hoặc sha)R1(config-isakmp)#authentication pre-share : để xác thựcR1(config-isakmp)#group 2 (hoặc 5)R1(config-isakmp)#exitR1(config)# crypto isakmp key “secretkey” address “200.200.200.1” : định nghĩa 1 pre-shared key(“secretkey”) cho xác thực với remote peer IP 200.200.200.1


-Bước 4: Cấu hình Phase 2(IPSec)Để mã hóa và xác thực mạnh ta dùng 1 trong 2 cặp sau:+ESP-3DES and ESP-MD5-HMAC+ESP-AES and ESP-SHA-HMAC

+R1:R1(config)#crypto ipsec transform-set “TRSET” esp-md5-hmac : cấu hình 1 transform set với 3des để mã hóa và MD5-HMAC để xác thựcR1(cfg-crypto-trans)# exitR1(config)#crypto map VPNMAP 10 ipsec-isakmpR1(config-crypto-map)# set peer 200.200.200.1R1(config-crypto-map)#set transform-set “TRSET”R1(config-crypto-map)# match address VPN-ACLR1(config-crypto-map)# exitGán crypto-map vào interface WAN: R1(config)# int fa0/0R1(config-if)# crypto map VPNMAP


Note: Kiểm traR#show crypto isakmp sa : để kiểm tra thiết lập tunnelR#show crypto ipsec sa : để kiểm tra encrypted dữ liệu ở 2 đầu

1.1.2 IPSEC VPN Site-To-Site with dynamic IP

-Bước 1 & Bước 2 làm tương tự như mục 1.1: Cấu hình Interesting Traffic và loại bỏ traffic NAT

-Bước 3: Phase 1 Configuration

+R1:

R1(config)#crypto isakmp policy 1 : tạo policy 1. Có thể có nhiều policy

R1(config-isakmp)#encryption 3des(hoặc aes hoặc des)

R1(config-isakmp)#hash md5(hoặc sha)

R1(config-isakmp)#authentication pre-share : để xác thực

R1(config-isakmp)#group 2 (hoặc 5)

R1(config-isakmp)#exit

R1(config)# crypto isakmp key “secretkey” address 0.0.0.0 0.0.0.0 : định nghĩa 1 pre-shared key(“secretkey”) cho xác thực với remote peer IP

+R2: Config Phase 1 tương tự như cấu hình site-to-site

-Bước 4 : Cấu hình Phase 2:

R1(config)#crypto ipsec transform-set “TRSET” esp-md5-hmac : cấu hình 1 transform set với 3des để mã hóa và MD5-HMAC để xác thực

Đầu tiên tạo 1 dynamic crypto map(DYNMAP) trong đó có Transform Set và Crypto ACL:

R1(config)# crypto dynamic-map “DYNMAP” 10

R1(config-crypto-map)# set transform-set “TRSET”

R1(config-crypto-map)#match address “VPN-ACL”

R1(config-crypto-map)# exit

Tạo 1 static crypto map (VPNMAP) sử dụng dynamic map đã cấu hình trước đó

R1(config)# crypto map “VPNMAP” 10 ipsec-isakmp dynamic DYNMAP

Gán static crypto map (VPNMAP) vào cổng out WAN outside of router R1:

R1(config)# int fa0/0

R1(config-if)# crypto map “VPNMAP”

+R2: Cấu hình Phase 2 cho R2 tương tự như trong trường hợp Site-to-Site with static IP

1.2. HUB and SPOKE IPSEC VPN

-R1(HUB):

+Đầu tiên cấu hình xác định Interesting traffic:

R1(config)# ip access-list extended VPN-TO-REMOTE1

R1(config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

R1(config)# ip access-list extended VPN-TO-REMOTE2


+Loại bỏ Interesting traffic trong NAT:

R1(config)# ip access-list extended NAT-ACL

R1(config-ext-nacl)# deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255


R1(config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255 any

+ Cấu hình Phase 1 ISAKMP Parameters:

R1(config)# crypto isakmp policy 1

R1(config-isakmp)# encryption 3des

R1(config-isakmp)# hash md5

R1(config-isakmp)# authentication pre-share

R1(config-isakmp)# group 2

R1(config-isakmp)# exit

+ Cấu hình 1 pre-share key khác nhau cho mỗi Spoke Site:

R1(config)# crypto isakmp key “secretkey1” address 30.30.30.2

R1(config)# crypto isakmp key “secretkey2” address 40.40.40.2

+ Cấu hình Phase 2 Transform-set and Crypto Map:

R1(config)# crypto ipsec transform-set “TRSET” esp-3des esp-md5-hmac

R1(cfg-crypto-trans)# exit

+ Tạo crypto cho mỗi Spoke :

R1(config)# crypto map “VPNMAP 10” ipsec-isakmp

R1(config-crypto-map)# set peer 30.30.30.2


R1(config-crypto-map)# match address VPN-TO-REMOTE1


R1(config)# crypto map “VPNMAP 20” ipsec-isakmp


R1(config-crypto-map)# set transforms-set “TRSET”

R1(config-crypto-map)# match address VPN-TO-REMOTE2


+ Gán crypto map vào interface WAN:


R1(config-if)# crypto map VPNMAP

Note: R1 & R2 cấu hình tương tự như cấu hình R2 trong trường hợp Site-to-Site.

1.3 Remote Access IPSEC VPN

-Cấu hình trên Router R1:

+Bước 1: Cấu hình VPN POOL để gán IP cho remote access client:

R1(config)# ip local pool vpnpool “192.168.50.1 192.168.5.10”

+Bước 2: Cấu hình VPN Interesting Traffic and NAT Exemption:

Tạo access-list xác định traffic cho phép đi qua VPN

R1(config)# ip access-list extended “VPN-ACL”

R1(config-ext-nacl)# permit ip 192.168.1.0 .0.0.0.255 192.168.50.0 0.0.0.255

Loại bỏ interesting traffic va cho phep NAT traffic nao đi ra internet:




Gán NAT vào interface fa0/0(inside) & interface fa0/1(outside):

R1(config)# ip nat inside source list NAT-ACL int fa0/1 overload


R1(config-if)# ip nat outside


R1(config-if)# ip nat inside

+Bước 3: Cấu hình xác thực user:

Tạo 1 username/password cho mỗi remote user:

R1(config)# username “vpnuser” password “strongpassword”

Sau đó kích hoạt cơ chế AAA trên router:

R1(config)# aaa new-model

Cấu hình đăng nhập & ủy quyền:

R1(config)# aaa authentication login “USERAUTH” local

R1(config)# aaa authorization network “NETAUTHORIZE” local

+ Bước 4: Cấu hình IPSEC Phase 1(isakmp parameters):

Đầu tiên cấu hình 1 isakmp policy tương tự như site-to-site IPSEC:






Keyring : để lưu trữ pre-shared-keys.

Cấu hình 1 pre-shared key cho remote access VPN clients:

R1(config)# crypto keyring “vpnclientskey”

R1(config-keyring)# pre-shared-key address 0.0.0.0 0.0.0.0 key “cisco123”

Cấu hình policy and parameters cho Group of remote users sẽ kế thừa:

R1(config)# crypto isakmp client configuration group remotevpn <- Group name (see below)

R1(config-isakmp-group)# key cisco123 <- Group Password (see picture below)

R1(config-isakmp-group)# dns 192.168.1.2

R1(config-isakmp-group)# wins 192.168.1.2

R1(config-isakmp-group)# domain “mycompany.com”

R1(config-isakmp-group)# pool vpnpool <- IP address pool configured before

R1(config-isakmp-group)# acl VPN-ACL <- Split-Tunnel Access List

Note: - Câu lệnh “acl VPN-ACL” thiết lập chia nhỏ tunnel. Nghĩa là, traffic sẽ đi qua VPN tunnel chỉ nếu nó matches với access-list VPN-ACL. Nếu bạn remove ACL này thì tất cả traffic sẽ đi qua VPN tunnel (tức là không cho phép truy cập internet từ vị trí của remote user).

- Tên của Group cấu hình ở trên (remotevpn) and key (cisco123) phải được sử dụng trong “Group Authentication” (“Name”/”Password”) của phần mềm VPN client như hình dưới đây:

Cấu hình 1 isakmp profile:

R1(config)# crypto isakmp profile remoteclients

R1(config-isa-prof)# description “Remote Access VPN clients”

R1(config-isa-prof)# keyring “vpnclientskey” : cấu hình trước đó

R1(config-isa-prof)# match identity group “remotevpn” : cấu hình trước đó

R1(config-isa-prof)# client authentication list “USERAUTH” : cấu hình trước đó

R1(config-isa-prof)# isakmp authorization list “NETAUTHORIZE” : cấu hình trước đó

R1(config-isa-prof)# client configuration addres respond : Respond IP address request từ client.

+ Bước 5 : Cấu hình IPSEC Phase 2 (tương tự như trường hợp Site—to-Site with dynamic IP) :

Cấu hình Phase 2 Transform Set and Crypto Map (tương tự trường hợp site-to-site VPN):



Tạo 1 dynamic crypto map (DYNMAP) có Transform Set ở trên và isakmp profile (“remoteclients”) cấu hình trước đó :

R1(config)# crypto dynamic-map DYNMAP 10

R1(config-crypto-map)# set transform-set “TRSET” : sử dụng tranform-set có tên “TRSET” đã tạo trước đó

R1(config-crypto-map)# set isakmp-profile “remoteclients”


Tạo 1 static crypto map (VPNMAP) sử dụng dynamic map cấu hình trước đó:

R1(config)# crypto map VPNMAP 10 ipsec-isakmp dynamic DYNMAP

Gán static crypto map (VPNMAP) vào int fa0/1 WAN outside của router :



1.4 Site-to-Site and Remote Access IPSEC VPN on same device

-Router R1 (HUB)

+Bước 1: Cấu hình VPN POOL để gán IP cho remote access client:

R1(config)# ip local pool vpnpool “192.168.50.1 192.168.5.10”

+ Bước 2 : Cấu hình Interesting Traffic and NAT Exemption:

Đầu tiên xác định Interesting Traffic để mã hóa. Có 3 crypto ACLs:

R1(config)# ip access-list extended VPNsite1-ACL


R1(config)# ip access-list extended VPNsite2-ACL

R1(config-ext-nacl)# permit ip 192.168.1.0 .0.0.255 192.168.3.0 0.0.0.255

R1(config)# ip access-list extended VPNclient-ACL

R1(config-ext-nacl)# permit ip 192.168.1.0 0.0.0. 255 192.168.50.0 0.0.0.255

Loại bỏ Interesting traffic từ hoạt động của NAT:






Gán NAT vào interface fa0/0(inside) & interface fa0/1(outside):

R1(config)# ip nat inside source list NAT-ACL int fa0/1 overload


R1(config-if)# ip nat outside


R1(config-if)# ip nat inside

+Bước 2: Cấu hình xác thực user:

Tạo 1 username/password cho mỗi remote user:

R1(config)# username “vpnuser” password “strongpassword”

Sau đó kích hoạt cơ chế AAA trên router:

R1(config)# aaa new-model

Cấu hình đăng nhập & ủy quyền:

R1(config)# aaa authentication login “USERAUTH” local

R1(config)# aaa authorization network “NETAUTHORIZE” local

+ Bước 3: Cấu hình Phase 1 IPSEC:

Cấu hình phase 1 isakmp policy:



R1(config-isamkp)# hash md5




Cấu hình crypto keyring để lưu trữ pre-shared keys:

R1(config)# crypto keyring “vpnclientskey” : cho remote user

R1(conf-keyring)# pre-shared-key address 0.0.0.0 0.0.0.0 key “cisco123”

R1(conf-keyring)# exit

R1(config)# crypto keyring “staticbranch” : cho site with static IP

R1(conf-keyring)# pre-shared-key address 30.30.30.2 key “secretkey1” : nếu có nhiều site sử dụng static IP public thì thêm địa chỉ bởi câu lệnh này.


R1(config)# crypto keyring “dynamicbranch”

R1(conf-keyring)# pre-shared-key address 0.0.0.0 0.0.0.0 key “secretkey2”


Cấu hình policy and parameters cho Group of remote users sẽ kế thừa:

R1(config)# crypto isakmp client configuration group “remotevpn” <- Group name (see below)

R1(config-isakmp-group)# key “cisco123” <- Group Password (see picture below)

R1(config-isakmp-group)# dns 192.168.1.2

R1(config-isakmp-group)# wins 192.168.1.2

R1(config-isakmp-group)# domain “asahi-intecc.com”

R1(config-isakmp-group)# pool vpnpool <- IP address pool configured before

R1(config-isakmp-group)# acl VPNclient-ACL<- Split-Tunnel Access List

Cấu hình of ISAKMP Profiles.

R1(config)# crypto isakmp profile “staticL2L” : cho Branch với static IP public

R1(conf-isa-prof)# keyring “staticbranch” : “staticbranch” đã tạo trước đó

R1(conf-isa-prof)# match identity address 30.30.30.2 255.255.255.255 ->Router R2 static IP

R1(conf-isa-prof)# exit

R1(config)# crypto isakmp profile “dynamicL2L” : cho Branch với dynamic IP public

R1(conf-isa-prof)# keyring “dynamicbranch” : cấu hình trước đó

R1(conf-isa-prof)# match identity address 0.0.0.0 : Bất kỳ 1 Remote Branch nào đều truy cập được.

R1(config)# crypto isakmp profile “remoteclients” :cho Remote User

R1(conf-isa-prof)# keyring vpnclientskey

R1(conf-isa-prof)# match identity group remotevpn

R1(conf-isa-prof)# client authentication list USERAUTHEN

R1(conf-isa-prof)# isakmp authorization list NETAUTHORIZE

R1(conf-isa-prof)# client configuration address respond : trả lời yêu cầu IP từ remote user

+ Bước 4 : Cấu hình IPSEC Phase 2:

Cấu hình Transform Set and Crypto Map:



Cấu hình dynamic crypto map & static crypto map:



R1(config-crypto-map)# set isakmp-profile “remoteclients” : Attach isakmp profile of VPN

clients configured before




R1(config-crypto-map)# set isakmp-profile “dynamicL2L” : attach isakmp profile of dynamic IP branch configured before

R1(config-crypto-map)# match address VPNsite2-ACL


R1(config)# crypto map VPNMAP 10 ipsec-isakmp : This is the static tunnel crypto map



R1(config-crypto-map)# set isakmp-profile “staticL2L” : Attach isakmp profile of static IP branch configured before

R1(config-crypto-map)# match address VPNsite1-ACL


R1(config)# crypto map VPNMAP 20 ipsec-isakmp dynamic DYNMAP : Attach the dynamic crypto map on a new entry of the static crypto map

Attach the static crypto map VPNMAP to the WAN outside finterface(fa0/1) of the Hub router:



Những điểm cần nhớ:

-Tạo 1 keyring cho mỗi loại VPN tunnel(static IP branch, dynamic IP branch, VPN clients).

-Gán mỗi keyring cho 1 “isakmp profile” tương ứng

-Tạo một dynamic crypto map với 2 entries. Trên 1 entry gán “isakmp profile” cho dynamic Lan-to-Lan tunnel và trên entry khác gán “isakmp profile” cho remote clients tunnel.

-Tạo 1 static crypto map với 2 entries. Trên 1 entry gán cho “isakmp profile” của static Lan-to-Lan tunnel, và trên entry tiếp theo gán dynamic crypto map.

2. Route Base VPN Configuration On Cisco Router2.1 Site-to-Site VPN Using GRE with IPSEC Protection

- Bước 1: Cấu hình GRE Tunnel:Router R1:

R1(config)# int Tunnel 0R1(config-if)# ip address 10.0.0.1 255.255.255.0R1(config-if)# tunnel source 20.20.20.2R1(config-if)# tunnel destination 30.30.30.2R1(config-if)# exit

Router R2:R2(config)# int Tunnel 0R2(config-if)# ip address 10.0.0.2 255.255.255.0R2(config-if)# tunnel source 30.30.30.2R2(config-if)# tunnel destination 20.20.20.2 R2(config-if)# exit

-Bước 2: Cấu hình định tuyến giữa 2 đầu VPN Tunnel

Có thể sử dụng dynamic routing(khi đó ta network dải mạng của tunnel) hoặc static routing

-Bước 3: Cấu hình IPSEC Phase 1:

Router R1:







R1(config)# crypto isakmp key “testkey123” address 30.30.30.2

Router R2:


R2(config-isakmp# encryption 3des


R2(config-isakmp)# authenication pre-share




-Bước 4: Cấu hình IPSEC Phase 2 (IPSEC Profile):

Router R1:

R1(config)# crypto ipsec transform-set “TRSET” esp-3des esp-md5-hmac : Transform-set này định nghĩa giao thức mã hóa và xác thực của IPSEC.


R1(config)# crypto ipsec profile “GRE-PROTECTION” : Đây là ipsec profile sẽ sử dụng để bảo vệ GRE Tunnel.

R1(ipsec-profile)# set transform-set “TRSET” : Gán transform-set đã cấu hình ở trên

R1(ipsec-profile)# exit

Router R2:

R2(config)# crypto ipsec transform-set “TRSET” esp-3des esp-md5-hmac : Transform-set này định nghĩa giao thức mã hóa và xác thực của IPSEC.


R2(config)# crypto ipsec profile “GRE-PROTECTION” : Đây là ipsec profile sẽ sử dụng để bảo vệ GRE Tunnel.

R2(ipsec-profile)# set transform-set “TRSET” : Gán transform-set đã cấu hình ở trên


-Bước 5: Attach IPSEC Protection profile to GRE Tunnel

Router R1:

R1(config)# int Tunnel 0

R1(config-if)# tunnel protection ipsec profile GRE-PROTECTION : Gắn IPSEC Profile cấu hình trước đó để bảo vệ cho GRE tunnel.

Router R2:

R2(config)# int Tunnel 0

R2(config-if)# tunnel protection ipsec profile GRE-PROTECTION

2.2 Hub-and-Spoke VPN Using with GRE IPSEC ProtectionCấu hình tương tự như Site-to-Site GRE with IPSEC Protection. Router HUB cấu hình mỗi tunnel riêng tương ứng với 1 Spoke, điều này không hợp lý trong một mạng lớn. GRE VPN yêu cầu tất cả các site đều phải có static IP Public.

-Bước 1: Cấu hình GRE Tunnels:

Router R1:

R1(config)# interface Tunnel0 : GRE Tunnel for Site-to-Site VPN with R2

R1(config-if)# ip address 10.0.0.1 255.255.255.0 : Đặt IP cho tunnel

R1(config-if)# tunnel source 20.20.20.2 : IP public of port WAN

R1(config-if)# tunnel destination 30.30.30.2 : IP public of R2

R1(config-if)# exit

R1(config)# interface Tunnel1 : GRE tunnel for site-to-site VPN with R3

R1(config-if)# ip address 10.1.1.1 255.255.255.0

R1(config-if)# tunnel source 20.20.20.2

R1(config-if)# tunnel destination 40.40.40.2

R1(config-if)# exit

-Bước 2: Cấu hình định tuyến giữa các tunnel và IP LAN

-Bước 3: Cấu hình IPSEC Phase 1:

Router Hub :R1

R1(config)# cypto isakmp policy 10






Tạo 2 pre-share key cho mỗi Spoke Branch Router:



-Bước 4: Cấu hình IPSEC Phase 2 (ipsec profile):

Router R1:

R1(config)# crypto transform-set “TRSET” esp-3des esp-md5-hmac

R1(cfg-crypto-trans)#exit

R1(config)# crypto ipsec profile “GRE-PROTECTION”

R1(config)# set transform-set “TRSET”

R1(config-profile)# exit

-Bước 5: Gán IPSEC Protection profile to GRE Tunnels

Router R1:

R1(config)#interface Tunnel0

R1(config-if)# tunnel protection ipsec profile “GRE-PROTECTION”

R1(config)# interface Tunnel1

R1(config-if)# tunnel protection ipsec profile “GRE-PROTECTION”

Note: R2 và R3 cấu hình tương tự như trong trường hợp Site-to-Site GRE with IPSEC Protection.

2.3 Dynamic Multipoint VPN (DMVPN)

Config trên các Spoke tương tự nhau, dưới đây ta chỉ cấu hình Spoke R3.

-Bước 1 : Cấu hình Multipoint GRE Tunnel:

+Router R1 (HUB):

R1(config)# interface fa0/1 : Public WAN interface on Hub router

R1(config-if)# ip address 20.20.20.2 255.255.255.0 : Đặt ip public cho port WAN

R1(config-if)# exit

R1(config)# int Tunnel : mGRE interface

R1(config-if)# ip add 10.0.0.1 255.255.255.0 : IP address of Tunnel

R1(config-if)# tunnel source fa0/1 : Source of Tunnel is the WAN interface

R1(config-if)# tunnel mode gre multipoint : Set tunnel mode as mGRE

R1(config-if)# ip mtu 1440 : Reduce the MTU to allow extra overhead from mGRE and IPSEC

+Router Spoke : 2 Spoke config tương tự nhau

R3(config)# int fa0/1 : public WAN interface on Spoke Router.

R3(config-if)# ip address dhcp : R3 sử dụng dynamic ip public

R3(config-if)# exit

R3(config)# int Tunnel0 : This is the mGRE interface

R3(config-if)# ip address 10.0.0.3 255.255.255.0 : IP of Tunnel cùng subnet với ip tunnel of HUB

R3(config-if)#tunnel source fa0/1 : source của tunnel là cổng WAN

R3(config-if)# tunnel mode gre multipoint : Set the tunnel mode as mGRE

R3(config-if)# ip mtu 1440 : Reduce the MTU to allow extra overhead from mGRE and IPSEC

-Bước 2 : Cấu hình Next Hop Resolution Protocol (NHRP) :

Router R1 (HUB):

Note : Địa chỉ của NHRP Server (NHS) luôn luôn là địa chỉa của Tunnel Interface of Hub.

R1(config)# int Tunnel0

R1(config-if)# ip nhrp authentication “NHRPkey” : Key để xác thực clients.

R1(config-if)# ip nhrp map multicast dynamic : Enable forwarding of multicast traffic across the tunnel.

R1(config-if)# ip nhrp network-id “100” : Indentifies the DMVPN cloud. Tất cả router phải có network-id giống nhau.

R1(config-if)# tunnel key “100” : Có thể có hoặc ko. Chỉ từ IOS 12.3 trở lên mới có option này

SPOKE (ROUTER R3) :

R3(config)# interface Tunnel0 : Get back into the Tunnel Interface

R3(config-if)# ip nhrp authentication “NHRPkey” : Secret key for authenticating with Hub

R3(config-if)# ip nhrp map multicast dynamic : Enables forwarding of multicast traffic

across the tunnel.

R3(config-if)# ip nhrp network-id 100 : Identifies the DMVPN cloud. All routers must have

the same network ID.

R3(config-if)# tunnel key 100 : OPTIONAL. Needed only on older IOS versions such as 12.3

R3(config-if)# ip nhrp map 10.0.0.1 20.20.20.2 : Map the NHS address (10.0.0.1 on Hub)

with the Hub’s WAN public IP (20.20.20.2)

R3(config-if)# ip nhrp map multicast 20.20.20.2 : Send multicast traffic to the Hub only. Hub

will receive all multicast traffic (e.g routing protocol updates) and then send out updates to

all the Spoke routers.

R3(config-if)# ip nhrp nhs 10.0.0.1 : Specify the NHS IP (this is always the private IP of the

Tunnel Interface on Hub router)

R3(config-if)# exit

-Bước 3: Cấu hình giao thức định tuyến động (Dynamic Routing):

Nhớ quảng bá dải IP của tunnel

Nếu sử dụng EIGRP thì phải disable split-horizon như sau:

HUB :

R1(config)# router eigrp 90 Create an EIGRP instance with Autonomous System 90

R1(config-router)# no auto-summary Disable automatic summarization of subnets

R1(config-router)# network 10.0.0.0 0.0.0.255 DMVPN Tunnel Interface Subnet

R1(config-router)# network 192.168.1.0 0.0.0.255 Hub LAN subnet

R1(config-router)# exit

R1(config)# interface Tunnel0 Get back into the Tunnel Interface

R1(config-if)# no ip split-horizon eigrp 90 Disable Split Horizon

R1(config-if)# no ip next-hop-self eigrp 90 Disable next hop self

R1(config-if)# no ip redirects Useful to have

R1(config-if)# exit

Spoke (Router R3):

R3(config)# router eigrp 90Create an EIGRP instance with Autonomous System 90

R3(config-router)# no auto-summaryDisable automatic summarization of subnets

R3(config-router)# network 10.0.0.0 0.0.0.255DMVPN Tunnel Interface Subnet

R3(config-router)# network 192.168.3.0 0.0.0.255LAN subnet

R3(config-router)# exit

R3(config)# interface Tunnel0Get back into the Tunnel Interface

R3(config-if)# no ip split-horizon eigrp 90Disable Split Horizon

R3(config-if)# no ip next-hop-self eigrp 90Disable next hop self

R3(config-if)# no ip redirects Useful to have

R1(config-if)# exit

Bước 4: Cấu hình IPSEC PROTECTION:

Router-1 (HUB):







R1(config)# crypto isakmp key strongsecretkey address 0.0.0.0 0.0.0.0

R1(config)# crypto ipsec transform-set TRSET esp-3des esp-sha-hmac


R1(config)# crypto ipsec profile PROTECT-DMVPN

R1(ipsec-profile)# set transform-set TRSET



R1(config-if)# tunnel protection ipsec profile PROTECT-DMVPN

Router-3 (SPOKE):







R3(config)# crypto isakmp key strongsecretkey address 0.0.0.0 0.0.0.0 Spoke routers must

allow also connections from any IP in order to form IPSEC VPN tunnels with other Spokes.

R3(config)# crypto ipsec transform-set TRSET esp-3des esp-sha-hmac


R3(config)# crypto ipsec profile PROTECT-DMVPN

R3(ipsec-profile)# set transform-set TRSET



R3(config-if)# tunnel protection ipsec profile PROTECT-DMVPN

Vpn config-on-cisco-devices

Technology

Transcript of Vpn config-on-cisco-devices