Bài viết cung cấp hướng dẫn từng bước về cách cho phép Khách hàng VPN Client truy cập Internet kết nối với Bộ định tuyến Router Cisco IOS® thông qua IPSec VPN truy cập an toàn vào các tài nguyên của công ty và đồng thời cho phép truy cập Internet. Cấu hình này được gọi là tách đường hầm (split tunneling). Lưu ý: Phân chia đường hầm có thể gây ra rủi ro bảo mật khi được định cấu hình. Vì các ứng dụng khách VPN có quyền truy cập Internet không an toàn, họ có thể bị xâm nhập bởi kẻ tấn công. Kẻ tấn công đó sau đó có thể truy cập vào mạng LAN của công ty thông qua đường hầm IPsec. Một giải pháp an toàn là chỉ cho phép VPN Clients truy cập mạng LAN cục bộ. Thông tin trong tài liệu này dựa trên các phiên bản phần mềm và phần cứng sau: - Bộ định tuyến Cisco 3640 với Bản phát hành phần mềm Cisco IOS 12.4 (các Router Cisco mới có Version cao hơn) - Ứng dụng khách VPN của Cisco 4.8 (phiên bản mới Cisco AnnyConnect) VPN truy cập từ xa (Remote access VPNs) giải quyết yêu cầu : Người dùng di động có thể thiết lập kết nối an toàn bằng phần mềm VPN Client được cài đặt trên PC của họ. Máy khách VPN bắt đầu kết nối với thiết bị trung tâm được định cấu hình để chấp nhận các yêu cầu này. Trong ví dụ này, thiết bị trang trung tâm là Bộ định tuyến Cisco Router IOS . Khi bạn bật tính năng tách đường hầm cho các kết nối VPN, nó yêu cầu cấu hình danh sách kiểm soát truy cập (ACL) trên bộ định tuyến. Trong ví dụ này, lệnh access-list 101 được liên kết với nhóm cho các mục đích tách đường hầm và đường hầm được tạo thành mạng 10.10.10.x / 24. Các luồng lưu lượng không được mã hóa (ví dụ: Internet) đến các thiết bị bị loại trừ khỏi các mạng được định cấu hình trong ACL 101. access-list 101 permit ip 10.10.10.0 0.0.0.255 192.168.1.0 0.0.0.255 Áp dụng ACL trên các thuộc tính nhóm. crypto isakmp client configuration group vpngroup key cisco123 dns 10.10.10.10 wins 10.10.10.20 domain cisco.com pool ippool acl 101 Trong ví dụ cấu hình này, một đường hầm IPsec được định cấu hình với các phần tử sau: - Crypto maps được áp dụng cho các giao diện bên ngoài trên Router - Xác thực mở rộng (Xauth) của Máy khách VPN chống lại xác thực cục bộ - Gán động địa chỉ IP riêng cho một nhóm cho các máy khách VPN - Chức năng lệnh nat 0 access-list, cho phép các máy trên mạng LAN sử dụng địa chỉ IP riêng cho người dùng từ xa và vẫn nhận được địa chỉ NAT từ Router để truy cập mạng không đáng tin cậy. Cấu hình Sơ đồ mạng Lưu ý: Các lược đồ địa chỉ IP được sử dụng trong cấu hình này là địa chỉ Private (không thể định tuyến hợp pháp trên Internet). Cấu hình Router Cisco Router-VPN#show run Building configuration... Current configuration : 2170 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname VPN ! boot-start-marker boot-end-marker ! !--- Bật xác thực, ủy quyền và kế toán (AAA)! --- để xác thực người dùng và ủy quyền nhóm. aaa new-model !--- Để bật Xauth cho xác thực người dùng,! --- hãy bật các lệnh xác thực aaa. aaa authentication login userauthen local !--- Để kích hoạt ủy quyền nhóm, hãy kích hoạt! --- các lệnh ủy quyền aaa. aaa authorization network groupauthor local ! aaa session-id common ! resource policy ! !--- Để xác thực cục bộ người dùng IPsec,! --- tạo người dùng với mật khẩu.. username user password 0 cisco ! !--- Tạo một Internet Security Association và! --- Chính sách Giao thức Quản lý Khóa (ISAKMP) cho các cuộc đàm phán Giai đoạn 1. crypto isakmp policy 3 encr 3des authentication pre-share group 2 !--- Tạo một nhóm các server chỉ định! --- WINS, DNS và địa chỉ IP cho Máy khách VPN,! --- cùng với khóa chia sẻ trước để xác thực. Sử dụng ACL 101 được sử dụng cho! --- Phân tách đường hầm ở đầu VPN Clinet. crypto isakmp client configuration group vpnclient key cisco123 dns 10.10.10.10 wins 10.10.10.20 domain cisco.com pool ippool acl 101 ! !--- Tạo Phase 2 policy để mã hóa dữ liệu thực tế. crypto ipsec transform-set myset esp-3des esp-md5-hmac ! !--- Tạo một dynamic map và áp dụng! --- tập hợp biến đổi đã được tạo trước đó. crypto dynamic-map dynmap 10 set transform-set myset reverse-route ! !---Tạo crypto map thực tế,! --- và áp dụng các danh sách AAA đã được tạo trước đó. crypto map clientmap client authentication list userauthen crypto map clientmap isakmp authorization list groupauthor crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! interface Ethernet0/0 ip address 10.10.10.1 255.255.255.0 half-duplex ip nat inside ! !--- Áp dụng crypto map trên giao diện gửi đi. interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto crypto map clientmap ! !--- Tạo một nhóm địa chỉ! --- gán cho các máy Khách VPN Client. ip local pool ippool 192.168.1.1 192.168.1.2 ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 172.16.1.2 !--- Bật dịch địa chỉ mạng (NAT)! --- của địa chỉ nguồn bên trong khớp với danh sách truy cập 111! --- và được PAT bằng địa chỉ IP FastEthernet. ip nat inside source list 111 interface FastEthernet1/0 overload ! !---Danh sách truy cập được sử dụng để chỉ định lưu lượng nào! --- sẽ được dịch cho Internet bên ngoài access-list 111 deny ip 10.10.10.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 111 permit ip any any !--- Cấu hình lưu lượng truy cập quan tâm sẽ được mã hóa từ Máy khách VPN! --- tới bộ định tuyến trung tâm (danh sách truy cập 101). ! --- Áp dụng ACL này trong cấu hình ISAKMP. access-list 101 permit ip 10.10.10.0 0.0.0.255 192.168.1.0 0.0.0.255 control-plane ! line con 0 line aux 0 line vty 0 4 ! end Cấu hình trên máy PC VPN Client VPN Client 4.8 --> download từ trang Cisco.com -> install lên PC Hoàn tất những bước sau để cấu hình VPN Client 4.8. 1. Choose Start > Programs > Cisco Systems VPN Client > VPN Client. 2. Nhấp vào New để mở cửa sổ Tạo mục nhập kết nối VPN mới. 3. Nhập tên của Mục nhập kết nối cùng với mô tả, nhập địa chỉ IP bên ngoài của bộ định tuyến vào hộp Máy chủ lưu trữ và nhập tên và mật khẩu Nhóm VPN. Nhấp vào để lưu. 4. Nhấp vào kết nối bạn muốn sử dụng và nhấp vào Kết nối từ cửa sổ chính của VPN Client. 5. Khi được nhắc, hãy nhập thông tin Tên người dùng và Mật khẩu cho Xauth và nhấp vào OK để kết nối với mạng từ xa. 6. Máy khách VPN được kết nối với bộ định tuyến tại trang trung tâm. 7.Chọn Trạng thái> Thống kê để kiểm tra thống kê đường hầm của Máy khách VPN. 8. Chuyển đến tab Chi tiết tuyến đường để xem các tuyến đường mà Máy khách VPN bảo mật cho bộ định tuyến. Trong ví dụ này, VPN Client bảo mật quyền truy cập vào 10.10.10.0/24 trong khi tất cả các lưu lượng khác không được mã hóa và không được gửi qua đường hầm. Mạng bảo mật được tải xuống từ ACL 101 được cấu hình trong bộ định tuyến trang trung tâm. Kiểm tra Phần này cung cấp thông tin bạn có thể sử dụng để xác nhận cấu hình của bạn hoạt động bình thường. show crypto isakmp sa —> Hiển thị tất cả các Bảo mật IKE (SA) hiện tại ở một mức ngang hàng. VPN#show crypto ipsec sa interface: FastEthernet1/0 Crypto map tag: clientmap, local addr 172.16.1.1 protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (192.168.1.1/255.255.255.255/0/0) current_peer 10.0.0.2 port 500 PERMIT, flags={} #pkts encaps: 270, #pkts encrypt: 270, #pkts digest: 270 #pkts decaps: 270, #pkts decrypt: 270, #pkts verify: 270 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 172.16.1.1, remote crypto endpt.: 10.0.0.2 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet1/0 current outbound spi: 0xEF7C20EA(4017889514) inbound esp sas: spi: 0x17E0CBEC(400608236) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2001, flow_id: SW:1, crypto map: clientmap sa timing: remaining key lifetime (k/sec): (4530341/3288) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xEF7C20EA(4017889514) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2002, flow_id: SW:2, crypto map: clientmap sa timing: remaining key lifetime (k/sec): (4530354/3287) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: show crypto ipsec sa —> Hiển thị các cài đặt được sử dụng bởi SA hiện tại. VPN#show crypto isakmp sa dst src state conn-id slot status 172.16.1.1 10.0.0.2 QM_IDLE 15 0 ACTIVE Khắc phục sự cố Công cụ thông dịch đầu ra hỗ trợ một số lệnh hiển thị nhất định. Sử dụng debug để xem phân tích đầu ra lệnh hiển thị. Lưu ý: Tham khảo thông tin quan trọng về lệnh gỡ lỗi trước khi bạn sử dụng lệnh gỡ lỗi. debug crypto ipsec —> Hiển thị các cuộc đàm phán IPsec của Giai đoạn 2. debug crypto isakmp —> Hiển thị các cuộc đàm phán ISAKMP của Giai đoạn 1. Bài viết hướng dẫn cấu hình VPN client to site trên bộ định tuyến Router Cisco đến đây đã hoàn tất. Lưu ý: Bài viết thực hiện trên các Router Cisco đời cũ với Cisco IOS 12.4 (các router đời mới có Version cao hơn) và Cisco VPN Client 4.8 (đã thay bằng Cisco Any Connect) nhưng về cơ bản các bước cấu hình cho các dòng mới IOS sau này cũng không thay đổi nhiều . Cám ơn các bạn đã theo dõi. Chúc các bạn thực hiện thành công!
