Sau khi cấu hình định tuyến cho các mạng liên lạc được với nhau, tiến hành cấu hình VPN trên hai router RA và RB
Các bước cấu hình như sau:
Bước1: Cấu hình IKE
- Bật IKE (mặc định là đã được bật):
Router(config)#crypto isakmp enable
- Tạo IKE policy
Router(config)#crypto isakmp policy priority
- Tạo các IKE policy ở chế độ config-isakmp (authentication, encryption, hash, …)
Bước 2: Cấu hình Ipsec
- Cấu hình transform-set: Tạo transform set để áp dụng các chính sách bảo mật cho lưu lượng mạng. Chế độ mặc định cho transform là chế độ đường hầm
Router(config)#crypto ipsec transform-set name [trans1[trans2[trans3]]]
- Tạo Crypto ACL: để xác định thông tin cần bảo vệ bởi Ipsec, chọn outbound traffic được bảo vệ
+ Tạo ACL để xác định lưu lượng cần mã hóa + Cấu hình Crypto map
Router(config)#crypto map name seq ipsec-manual | ipsec-isakmp
+ Áp dụng crypto map vào interface
RA
RA(config)#crypto isakmp enable <= Bật crypto isakmp RA(config)#crypto isakmp policy 100
RA(config-isakmp)#hash md5
RA(config-isakmp)#authentication pre-share (chọn kiểu chứng thực) RA(config-isakmp)#exit
RA(config)#crypto isakmp identity address (xác định peer thông qua địa chỉ )
RA(config)#crypto isakmp key cisco address 172.16.3.1 (xác định pre-shared key của peer)
RA(config)#crypto ipsec transform-set hanoi esp-des
(chọn thuật toán mã hóa là esp-des cho transform-set tên hanoi) RA(cfg-crypto-trans)#exit
RA(config)#crypto map bachkhoa 10 ipsec-isakmp (tạo crypto map tên bachkhoa)
RA(config-crypto-map)#set peer 172.16.3.1 (xác định peer là interface bên kia) RA(config-crypto-map)#set transform-set hanoi
(áp dụng transform-set hanoi vào crypto map bachkhoa) RA(config-crypto-map)#match address 110
(xác định access list) RA(config-crypto-map)#exit
RA(config)#access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0 0.0.0.255 (xác định lưu lượng được mã hóa)
RA(config)#interface s1/0
RA(config-if)#crypto map bachkhoa
(Áp dụng crypto map bachkhoa vào interface s1/0)
RB
RB(config)#crypto isakmp enable <= Bật crypto isakmp RB(config)#crypto isakmp policy 100
RB(config-isakmp)#hash md5
RB(config-isakmp)#authentication pre-share (chọn kiểu chứng thực) RB(config-isakmp)#exit
RB(config)#crypto isakmp identity address
RB(config)#crypto isakmp key cisco address 172.16.2.1 RB(config)#crypto ipsec transform-set hanoi esp-des RB(cfg-crypto-trans)#exit
RB(config)#crypto map bachkhoa 10 ipsec-isakmp RB(config-crypto-map)#set peer 172.16.2.1
RB(config-crypto-map)#set transform-set hanoi RB(config-crypto-map)#match address 100 RB(config-crypto-map)#exit
RB(config)#access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 RB(config)#interface s1/0
RB(config-if)#crypto map bachkhoa