line aux 0 line vty 0 4 end Thực hiện: 1. Cấu hình PPPoE: PPP over Ethernet là một sự phát triển dựa trên kỹ thuật PPP truyền thống. PPPoE cung cấp khả năng kết nối nhiều host trong mạng qua một thiết bị chuyển mạch vào một DSLAM, để cung cấp một kết nối PPPoE, mỗi phiên PPP phải học địa chỉ Ethernet của remote peer và thiết lập một danh định duy nhất. PPPoE gồm 2 pha: Discovery và Session: · Discovery: khi một router muốn khởi tạo 1 phiên PPPoE, nó phải xác định địa chỉ MAC của thiết bị bên kia (Lát nửa debug sẽ cho thấy điều này) và thiết lập một PPPoE Session-ID. Trong quá trình này, CPE sẽ tìm các DSLAM và chọn một cái để sử dụng. Khi quá trình này chấm dứt, cả CPE và DSLAM đều sẽ có thông tin mà nó sử dụng để xây dựng kết nối PPPoE. Khi PPPsession được thiết lập thì cả CPE và DSLAM sẽ phải phân phát tài nguyên của mình cho một PPP virtual interface. · Session: khi được thiết lập thì dữ liệu sẽ được gửi. Để cấu hình, ta thực hiện các bước sau: PPPoE server(R1): R1(config)#vpdn enable ßbật PPPoE R1(config)#vpdn-group 1 R1(config-vpdn)#accept-dialin ßxác định đây là PPPoE server R1(config-vpdn-acc-in)#protocol pppoe R1(config-vpdn-acc-in)#virtual-template 1 ßsử dụng virtual để giao tiếp với client R1(config-vpdn-acc-in)#exit R1(config)#int lo1 R1(config-if)#ip add 203.162.3.2 255.255.255.255 R1(config-if)#int e0/0 R1(config-if)#pppoe enable ßbật PPPoE trên interface kết nối với client R1(config)#int virtual-template 1 ßtạo virtual template R1(config-if)#ip unnumbered lo1 PPPoE client(R3): R3(config)#vpdn enable R3(config)#vpdn-group 1 R3(config-vpdn)#request-dialin ßxác định PPPoE client R3(config-vpdn-req-in)#protocol pppoe R3(config)#int e0/0 R3(config-if)#pppoe enable ßbật PPPoE trên interface nối với server R3(config-if)#pppoe-client dial-pool-number 1 ßsử dụng dialer 1 để giao tiếp với server R3(config-if)#exit R3(config)#int dialer 1 R3(config-if)#mtu 1492 R3(config-if)#ip add 203.162.3.1 255.255.255.0 R3(config-if)#ip nat outside R3(config-if)#encapsulation ppp R3(config-if)#dialer pool 1 R3(config-if)#dialer-group 1 R3(config-if)#exit R3(config)#dialer-list 1 protocol ip permit 2. Cấu hình VPN: Để thực hiện cấu hình VPN giữa 2 chi nhánh qua môi trường DSL, ta cũng thực hiện tương tự như các bài lab VPN trước: R2: R2(config)#crypto isakmp policy 10 R2(config-isakmp)#hash md5 R2(config-isakmp)#authentication pre-share R2(config-isakmp)#exit R2(config)#crypto isakmp key cisco address 203.162.3.1 R2(config)#crypto ipsec transform-set vnpro esp-des R2(cfg-crypto-trans)#exit R2(config)#crypto map lee 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured. R2(config-crypto-map)#set peer 203.162.3.1 R2(config-crypto-map)#set transform-set vnpro R2(config-crypto-map)#match address 120 R2(config-crypto-map)#exit R2(config)#int s0/0 R2(config-if)#crypto map lee R2(config)#ip nat inside source route-map nonat interface s0/0 overload R2(config)#access-list 120 permit ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255 R2(config)#access-list 130 deny ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255 R2(config)#access-list 130 permit ip any any R2(config)#route-map nonat R2(config-route-map)#match ip address 130 R3: R3(config)#crypto isakmp policy 10 R3(config-isakmp)#authentication pre-share R3(config-isakmp)#hash md5 R3(config-isakmp)#exit R3(config)#crypto isakmp key cisco address 203.30.30.2 R3(config)#crypto ipsec transform-set vnpro esp-des R3(cfg-crypto-trans)#exit R3(config)#crypto map lee 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured. R3(config-crypto-map)#set peer 203.30.30.2 R3(config-crypto-map)#set transform-set vnpro R3(config-crypto-map)#match address 120 R3(config-crypto-map)#exit R3(config)#int dialer 1 R3(config-if)#crypto map lee R3(config)#ip nat inside source route-map nonat interface dialer 1 overload R3(config)#access-list 120 permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255 R3(config)#access-list 130 deny ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255 R3(config)#access-list 130 permit ip any any R3(config)#route-map nonat R3(config-route-map)#match ip address 130 Kiểm tra: 1. Kiểm tra VPN: Ta sử dụng các lệnh show để xem thông tin về VPN: R3: R3#sh crypto map Crypto Map "lee" 10 ipsec-isakmp Peer = 203.30.30.2 Extended IP access list 120 access-list 120 permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255 Current peer: 203.30.30.2 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ vnpro, } Interfaces using crypto map lee: Virtual-Access1 Dialer1 R3#sh crypto isakmp policy Protection suite of priority 10 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit R3#sh crypto ipsec transform-set Transform set vnpro: { esp-des } will negotiate = { Tunnel, }, R2: R2#sh crypto isakmp policy Protection suite of priority 10 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit R2#sh crypto ipsec transform-set Transform set vnpro: { esp-des } will negotiate = { Tunnel, }, R2#sh crypto map Crypto Map "lee" 10 ipsec-isakmp Peer = 203.162.3.1 Extended IP access list 120 access-list 120 permit ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255 Current peer: 203.162.3.1 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ vnpro, } Interfaces using crypto map lee: Serial0/0 Tunnel0 2. Kiểm tra PPPoE: Ta sử dụng các lệnh show và debug để xem quá trình tạo kết nối và trao đổi dữ liệu như thế nào giữa client và server: R3#sh int Ethernet0/0 is up, line protocol is up Hardware is AmdP2, address is 0005.5e96.2cc0 (bia 0005.5e96.2cc0) MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, reliability 192/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:41, output 00:00:05, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue :0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 47 packets input, 4752 bytes, 0 no buffer Received 6 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 input packets with dribble condition detected 317 packets output, 21918 bytes, 0 underruns 251 output errors, 0 collisions, 1 interface resets 0 babbles, 0 late collision, 0 deferred 251 lost carrier, 0 no carrier . R1(config-vpdn)#accept-dialin ßxác định đây là PPPoE server R1(config-vpdn-acc -in) #protocol pppoe R1(config-vpdn-acc -in) #virtual-template 1 ßsử dụng virtual để giao tiếp với client R1(config-vpdn-acc -in) #exit. client R3(config-vpdn-req -in) #protocol pppoe R3(config)#int e0/0 R3(config-if)#pppoe enable ßbật PPPoE trên interface nối với server R3(config-if)#pppoe-client dial-pool-number 1 ßsử dụng. R2(config-crypto-map)#set transform-set vnpro R2(config-crypto-map)#match address 120 R2(config-crypto-map)#exit R2(config)#int s0/0 R2(config-if)#crypto map lee R2(config)#ip nat inside source