Bước 1: Tạo project cấu hình mạng (IP) như topology phía trên Dùng các lệnh cơ bản như sau để cấu hình:
Để cấu hình cơ bản cần vào mode configure terminal bằng lện "configure terminal" hay "conf t".
"Interface <cổng interface>" vào cổng interface để cấu hình ví dụ như: interface s0/1.
Để cấu hình địa chỉ IP cho card mạng dùng lệnh "ip add <ip> <netmask>", nên dùng lệnh "no shutdown" để up card vừa cấu hình IP.
Cấu hình IP như trên topology mạng phía trên. Phần cấu hình DHCP cho ISP
Internet(config)# ip dhcp pool hn
Internet(dhcp-config)# network 114.115.116.0 255.255.255.0 Internet(dhcp-config)# default-router 114.115.116.1
Internet(config)# ip dhcp exclude-address 114.115.116.1
Bước 2: cấu Hình default route cho 2 router HCM và HN. HCM(config)#ip route 0.0.0.0 0.0.0.0 s0/1
Bước 3: Cấu hình NAT cho 2 router để các client trong 2 site có thể truy cập được internet.
Tạo access list để NAT ra ngoài:
HCM(config)# access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 HCM(config)# access-list 101 permit ip any any
HCM(config)# access-list 101 permit ip any any
Cấu hình NAT:
HCM(config)# ip nat insite source list 101 interface s1/0 HCM(config-if)# ip nat inside => interface f2/0
HCM(config-if)# ip nat outside => interface s1/0
HN(config)# ip nat insite source list 101 interface s1/0 HN(config-if)# ip nat inside => interface f2/0
HN(config-if)# ip nat outside => interface s1/0
Bước 4: Cấu hình VPN site to site kết hợp giao thức IPSec để 2 site có thể truy vấn lẫn nhau.
Bước 4.1: Trên router HCM
Bước 4.1.1: Cấu hình chính sách “isakmp policy” HCM(config)# crypto isakmp policy 10
HCM(config-isakmp)#encr 3des
HCM(config-isakmp)#authentication pre-share HCM(config-isakmp)#group 2
Bước 4.1.2: Cấu hình pre-share key HCM(config)# crypto keyring hcm
HCM(conf-keyring)#pre-shared_key address 0.0.0.0 0.0.0.0 key 123456
Bước 4.1.3: Cấu hình profile VPN HCM(config)# crypto isakmp profile L2L
HCM(conf-isa-prof)#description VPN LAN to LAN HCM(conf-isa-prof)#keyring hcm
HCM(conf-isa-prof)#match identity address 0.0.0.0
Bước 4.1.4: Giải pháp mã hóa ipsec
HCM(config)# Crypto ipsec transport-set HCM esp-3des esp-sha-hmac
Bước 4.1.5: Tạo dynamic-map HCM(config)# crypto dynamic-map HCM 10 HCM(config-crypto-map)#set transport-set HCM
HCM(config-crypto-map)#set isakmp-profile LAN-TO-LAN HCM(config)# crypto map HCM 10 ipsec-isakmp dynamic HCM
Bước 4.1.6: Gán map vào interface HCM(config)#inter s1/0
HCM(config-if)#crypto map HCM Bước 4.2: Trên Roter HN
Bước 4.2.1: Cấu hình chính sách “isakmp policy” HN(config)# crypto isakmp policy 10
HN(config-isakmp)#encr 3des
HH(config-isakmp)#authentication pre-share HN(config-isakmp)#group 2
Bước 4.2.2: Cấu hình pre-share key
HN(config)# crypto isakmp key 123456 address 113.114.115.2
Bước 4.2.3: Giải pháp mã hóa ipsec
Bước 4.2.4: Tạo access-list ip cho phép VPN
HN(config)# access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Bước 4.2.5: Tạo dynamic-map HN(config)# crypto map HN 10 ipsec-iaskmp HN(config-crypto-map)#set peer 113.114.115.2 HN(config-crypto-map)#set transport-set HN HN(config-crypto-map)#match address 100
Bước 4.2.6: Gán map vào interface HN(config)#inter s1/0
HN(config-if)#crypto map HN