Giải thích cấu hình IPSEC VPN #1
ฝัง
- เผยแพร่เมื่อ 21 ก.ค. 2024
- #kainguyen #ccna #ccnp
Giải thích cấu hình IPSEC VPN (phần 1)
00:00 - Intro
01:07 - Mô hình Lab
02:25 - Cấu hình Tunnel Pha 1
05:28 - Cấu hình Tunnel Pha 2
06:58 - Cấu hình Access List
08:03 - Cấu hình Crypto Map
10:49 - NAT Exempt
14:46 - Tóm tắt quá trình hoạt động của IPSEC
---
Template cấu hình :
--
crypto isakmp policy 10
encr aes 192
hash sha256
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp key kai address 200.0.0.2
!
crypto ipsec transform-set MYSET esp-aes 256 esp-sha512-hmac
mode tunnel
!
ip access-list extended IPSEC-VPN
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
ip access-list extended NAT
deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 192.168.1.0 0.0.0.255 any
!
crypto map MYMAP 10 ipsec-isakmp
set peer 200.0.0.2
set transform-set MYSET
match address IPSEC-VPN
!
interface FastEthernet0/0
ip nat outside
crypto map MYMAP
-----------------------------------------------------------------------------------------
Tham gia các khóa học của Kai tại : kai.edubit.vn/
-------------------------------------------------------------------------------------
By Kai Nguyen
CCNP & CWDP
Email : phuthinhbk31@gmail.com - วิทยาศาสตร์และเทคโนโลยี
Hay quá Kai ơi, cảm ơn nhiều!
Hay quá Thầy ơi, em hiểu và làm đc rồi Thầy!
hay quá , mong kênh anh phát triển hơn
rất bổ ích nha Kai Nguyễn
a ơi cho em hỏi, khi e dùng default route với going out interface connected trực tiếp với router wwan thì ping k dc, nhma sao sử dụng default route với next hop thì lại ping được, anh có thể giải thích giữa 2 cái này được không anh, khi nào thì nên dùng next hop, khi nào nên dùng going out interface
cho mình hỏi phần acl sao đã cấm dải ip cho nó qua vpn rồi sao dòng bên dưới lại cấp quyền cho nó
Anh hướng dẫn cấu hình cho Firewall đi ạ.
Anh ơi cho em hỏi, nếu mình bỏ qua bước NAT thì có thể tạo được đường hầm không ạ?
được nhé. Nếu ko có NAT thì không cần NAT Exempt. lúc này cấu hình đơn giản hơn
Mình có tí thắc mắc ở chỗ acc-list NAT. Nó phải đc apply vào interface nào đó thì nó mới có giá trị hiệu lực đúng ko Kai. Như coi clip mình không thấy .
đúng rồi nè. do bài về ipsec nên mình ko nói nhiều về NAT
a ơi em sắp bảo vệ đồ án về VPN a cho em 1 số câu hỏi phản biện mà gv có thể hỏi đc k a . tks a
bạn inbox fanpage mình nhé . mình qua đó chat cho tiện
facebook.com/kainguyen2020
Chào anh, cho em hỏi số policy, tên MYSET, tên MYMAP ở 2 router khác nhau được không ạ, bắt buộc pre-share key ở 2 đầu phải giống nhau đúng k anh
Pre-share key ở hai đầu phải giống nhau vì nó là mật khẩu dùng để xác thực hai đầu. Còn Các thông tin như số policy và tên các profile MYSET, MYMAP thì mình có thể điền khác nhau cũng được, nhưng mình nghĩ là nên tên đặt giống nhau để dễ quản lý ấy Duy.
@@hoangnguyenpham1296 vâng em cảm ơn.
chuẩn
bài này lắm trong kiến thức ccna hay ccnp vậy anh
cái này là trong CCNP bạn nhé
Ad cho em hỏi, trường hợp thêm 1 site nữa em sử dụng chung thông số pha 1 lẫn pha 2 nhưng áp dụng psk khác liệu có chạy được không ạ, hay mình phải tạo lại pha 1 pha 2 ạ
không được nhé. 2 đầu tunnel phải có psk giống nhau. Nhưng tunnel khác nhau thì psk khác nhau cũng được. Ví dụ HQ -> CN 1 dùng psk 1, HQ -> CN 2 dùng psk 2 vẫn được
@@KaiNguyen2020 dạ, ý e là nếu thiết lập Site A - site B với psk là 1, site A - site C với psk là 2 nhưng em chỉ khai báo thông số pha 1 + 2 một lần duy nhất được không ạ?
@@lonroi6457 à vẫn được nhé
anh cho em hỏi ipsec vpn và ipsec dmvpn giống nhau không ạ
khác nhau bạn nhé. dmvpn là dựa trên GRE VPN.
Anh ơi, em hỏi chút, chỗ ip access-list NAT
20 permit ip any any có được ko ạ?
E để permit ip any any thì ko buide đc tunnel
Nhờ a giải thích giúp e chỗ đó ạ ~
vẫn được chứ nhỉ. quan trọng là trước dòng permit ip any any thì phải có dòng deny traffic VPN nữa. Đoạn NAT Exempt í bạn
@@KaiNguyen2020 Dạ, e có để như hướng dẫn rồi. test thử để permit any any thì ko thành lập đc VPN @@
@@KaiNguyen2020 e thử làm bài khác thì okie rồi ạ! thanks a đã feedback ạ ~
Mong a ra nhiều bài về IPsec VPN hơn nữa :D
I'm a bigfan ~
A cho em hỏi là Cisco họ quy định là NAT trước cái crypto map à Anh
với Cisco và đa số các hãng là thế á
@@KaiNguyen2020 cho em hỏi thêm là ví dụ trong trường hợp mà bên trong muốn nat ra 2 đường 1 ra internet và 1 ra kênh partner thì dùng NAT route-map có chạy không Anh