logo

Hướng dẫn cài đặt Client to Site VPN trên Router Cisco

Khi việc làm từ xa trở nên phổ biến, bảo mật thông tin và duy trì kết nối ổn định là ưu tiên hàng đầu cho mọi doanh nghiệp. Do đó, Client to Site VPN Cisco xuất hiện như một công cụ thiết yếu, giúp doanh nghiệp bảo vệ dữ liệu an toàn trong quá trình kết nối từ xa. Trong bài viết này, Techsys Việt Nam sẽ hướng dẫn cách sử dụng phần mềm Packet Tracer để thực hiện cấu hình một cách dễ dàng và hiệu quả.

Cài đặt Client to Site VPN Cisco
Cài đặt Client to Site VPN Cisco

Khái niệm về VPN Client to Site

IPSec VPN Client to Site là công nghệ cho phép người dùng kết nối các thiết bị như laptop, máy tính bàn hoặc máy tính bảng tới mạng nội bộ của công ty, chi nhánh hoặc văn phòng từ bất kỳ đâu có internet. Qua đó, người dùng có thể truy cập và sử dụng các tài nguyên chia sẻ, thực hiện quản trị hoặc cấu hình thiết bị từ xa một cách dễ dàng và an toàn.

Yêu cầu

Mô hình mạng bao gồm site HQ và site BR.

       Mạng HQ có hai VLAN: VLAN 10 với địa chỉ IP 10.0.0.0/24 và VLAN 20 với địa chỉ IP 10.0.1.0/24.

       Mạng BR hoạt động trên VLAN 1 với dải IP 172.16.1.0/24.

Mục tiêu của bài lab này là cấu hình VPN Client to Site trên Router Cisco ISR4321, nhằm cho phép các client trong mạng BR truy cập vào hai VLAN của mạng HQ thông qua giao thức IPSec và MD5. Địa chỉ IP của client truy cập từ xa sẽ nằm trong dải từ 192.168.1.20 đến 192.168.1.50.

IP WAN của HQ là 100.0.0.100/24 và IP WAN của BR là 100.0.0.1/24, cả hai sử dụng NAT để truy cập internet. Trong cấu hình này, đã đảm bảo rằng cả hai site đều có thể ping ra internet.

IP WAN của HQ và IP WAN của BR
IP WAN của HQ và IP WAN của BR

Từ máy chủ với địa chỉ IP 10.0.0.10, thực hiện lệnh ping đến địa chỉ IP 100.0.0.1 để kiểm tra kết nối từ trụ sở chính đến chi nhánh.

C:\>ping 100.0.0.1

Pinging 100.0.0.1 with 32 bytes of data:

Reply from 100.0.0.1: bytes=32 time<1ms ttl="253"Reply from 100.0.0.1: bytes=32 time=1ms TTL=253

Reply from 100.0.0.1: bytes=32 time<1ms ttl="253"Ping statistics for 100.0.0.1:

Packets: Sent=4, Received=4, Lost=0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum=0ms, Maximum=1ms, Average=0ms

 C:\>

Kiểm tra kết nối từ site BR đến IP wan của HQ: từ Client 172.16.1.10 ping đến IP 100.0.0.100

C:\>ping 100.0.0.100

Pinging 100.0.0.100 with 32 bytes of data:
Reply from 100.0.0.100: bytes=32 time=2ms TTL=255
Reply from 100.0.0.100: bytes=32 time=1ms TTL=255
Reply from 100.0.0.100: bytes=32 time=3ms TTL=255
Reply from 100.0.0.100: bytes=32 time<1ms ttl="255">Ping statistics for 100.0.0.100:
Packets: Sent=4, Received=4, Lost=0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum=0ms, Maximum=3ms, Average=1ms

C:\>

Các bước cấu hình VPN Client to Site trên Router Cisco

Hướng dẫn cài đặt Cisco Vpn Client trên Router Cisco bao gồm 7 bước như sau:

Bước 1. Kích hoạt aaa new-model và tạo user.

Bước 2. Khởi tạo ISAKMP Policy.

Bước 3. Thiết lập IP Local Pool cấp IP cho VPN Client.

Bước 4. Tạo ISAKMP Key.

Bước 5. Thiết lập Crypto IPSec Transform Set.

Bước 6. Tạo Crypto Map.

Bước 7. Áp dụng Crypto Map vào interface wan.

Bước 1. Kích hoạt aaa new-model và tạo user

Router#configure terminal

HQ(config)#aaa new-model

HQ(config)#aaa authentication login VPN-AUTHEN local

HQ(config)#aaa authorization network VPN-AUTHOR local

HQ(config)#username admin password Admin@123

Bước 2. Khởi tạo ISAKMP Policy

HQ(config)#crypto isakmp policy 10

HQ(config-isakmp)#encryption 3des

HQ(config-isakmp)#hash md5

HQ(config-isakmp)#authentication pre-share

HQ(config-isakmp)#group 2

Bước 3. Thiết lập IP Local Pool để cấp IP cho VPN Client

HQ(config)#ip local pool VPN-CLIENT 192.168.1.20 192.168.1.50

Bước 4. Tạo ISAKMP Key & gán pool

HQ(config)#crypto isakmp client configuration group cisco

HQ(config-isakmp-group)#key Cisco@123

HQ(config-isakmp-group)#pool VPN-CLIENT

Bước 5. Thiết lập Crypto IPSec Transform Set

HQ(config)#crypto ipsec transform-set SET1 esp-3des esp-md5-hmac

Bước 6. Tạo Crypto Map và gán transform-set vào

HQ(config)#crypto dynamic-map MAP1 10

HQ(config-crypto-map)#set transform-set SET1

HQ(config-crypto-map)#reverse-route

HQ(config-crypto-map)#exit

HQ(config)#crypto map MAP1 client authentication list VPN-AUTHEN

HQ(config)#crypto map MAP1 client configuration address respond

HQ(config)#crypto map MAP1 isakmp authorization list VPN-AUTHOR

HQ(config)#crypto map MAP1 10 ipsec-isakmp dynamic MAP1

Bước 7. Áp dụng Crypto Map vào interface wan

HQ(config)#interface g0/0/1

HQ(config-if)#crypto map MAP1

***Xem thêm: Hướng dẫn cấu hình Router Cisco cơ bản

Kết nối VPN từ BR và Kiểm tra

Bước 1. Từ Client 172.16.1.10 ở BR, mở VPN Configuration và thiết lập các thông số cần thiết.

Bước 2. Nhấn Connect khi thấy thông báo “VPN is Connected” là bạn đã kết nối VPN thành công

Bước 3. Kiểm tra chỉ IP mà client nhận từ local pool

Bước 4. Ping thử từ Client 172.16.1.10 tới hai máy chủ 10.0.0.10 và 10.0.1.10 tại HQ.

Bước 5. Kiểm tra trên Router bằng cách sử dụng lệnh "show crypto isakmp sa" và "show crypto ipsec sa" để kiểm tra tình trạng kết nối.

Lệnh: show crypto isakmp sa

Lệnh: show crypto isakmp sa
Lệnh: show crypto isakmp sa

Lệnh: show crypto ipsec sa

Lệnh: show crypto ipsec sa
Lệnh: show crypto ipsec sa

***Đọc thêm: Tổng hợp các lệnh show trong Router Cisco

Trên đây là hướng dẫn chi tiết từ Techsys về cấu hình Client to Site VPN Cisco giúp bạn thiết lập kết nối từ xa một cách hiệu quả. Hy vọng rằng bạn sẽ thành công trong việc thực hiện các thao tác này! Đừng quên truy cập Techsys Việt Nam để khám phá thêm các bài viết và thủ thuật mới nhất trong lĩnh vực mạng.

***Tham khảo thêm cấu hình switch cisco cơ bản:

Hướng dẫn cấu hình Switch Cisco dành cho người mới

Hướng dẫn chia Vlan Switch Cisco cơ bản

Hướng dẫn chia VLAN Switch Cisco