ยินดีต้อนรับสู่ show running-config ครับ

บล็อก show running-config นี้สร้างไว้เพื่อเป็นแหล่งรวบรวมเทคนิคการตั้งค่าอุปกรณ์เครือข่าย Cisco ไม่ว่าจะเป็น Cisco IOS Router, Cisco Catalyst Swtich, Cisco ASA Firewall, Cisco Mars เป็นต้น รวมทั้งอาจจะมีเทคนิคการตั้งค่าอุปกรณ์ในยี่ห้ออื่น ๆ บ้างเล็กน้อยครับ

ซึ่งบทความในบล็อกนี้ก็จะรวบรวมมาจากประสบการณ์ส่วนตัวของกระผมเองครับ (หากมีข้อผิดพลาดก็ขออภัยไว้ล่วงหน้าเลยละกันนะครับ) และก็อยากใช้พื้นที่แห่งนี้เป็นแหล่งในการแลกเปลี่ยนความรู้ รวมไปถึงวิธีการหรือเทคนิคการตั้งค่าอุปกรณ์เครือข่าย กับทุก ๆ คนครับ

Monday, February 21, 2011

การตั้งค่า Client to Site IPSec VPN แบบ Pre-shared Key Authentication บน Cisco IOS Router

configuration site to site ipsec vpn pre-shared key authentication on cisco ios router 

c2s ipsec vpn on cisco ios router           สวัสดีครับเพื่อน ๆ สำหรับวันนี้ผมก็จะมาแนะนำการตั้งค่า IPSec VPN อีกรูปแบบหนึ่งกันนะครับ หลังจากที่เคยแนะนำการตั้งค่า IPSec VPN แบบ Site to Site กันไปก่อนหน้านี้แล้ว ในวันนี้ผมก็จะมาแนะนำการตั้งค่า IPSec VPN แบบ Client to Site หรือที่เรียกว่า Cisco Easy VPN กันครับ ซึ่งเหมาะสำหรับผู้ที่ต้องการใช้งาน IPSec VPN จากเครือข่ายภายนอกองค์กร หรือจากที่ใด ๆ ก็ได้ที่สามารถเชื่อมต่อสู่อินเทอร์เน็ตได้ ทำให้เป็นการใช้งาน IPSec VPN ในแบบที่มีความคล่องตัวสูง สามารถเชื่อมต่อสู่เครือข่ายภายในขององค์กรได้จากทุกที่ เหมาะสำหรับผู้ที่ใช้งานแบบไม่ประจำที่หรือต้องออกไปทำงานนอกสถานที่บ่อยครั้ง เช่น พนักงานฝ่ายขาย หรือสำหรับสาขาขนาดเล็ก ๆ เป็นต้นครับ

          ในการทำงานของ Client to Site IPSec VPN นั้น ก็มีหลักการเหมือนกับ IPSec VPN ทั่วไปครับ สำหรับใครที่ยังไม่ทราบถึงวิธีการทำงานของ IPSec VPN ก็เชิญติดตามได้ที่บทความนี้เลยครับ บทความ : ทำความรู้จักกับ IPSec VPN (ภาคทฤษฎี) และในขั้นตอนของการตั้งค่าก็จะคล้ายกับการตั้งค่า Site to Site IPSec VPN (บทความ : การตั้งค่า Site to Site IPSec VPN แบบ Pre-Shared Key Authentication บน Cisco IOS Router) ครับ โดยจะแตกต่างกันในรายละเอียดบางอย่างเท่านั้นครับ

          หากต้องการใช้งาน IPSec VPN สำหรับผู้ใช้ ที่ใช้งานอยู่นอกเครือข่ายขององค์กร หรือใช้งานจากสาขาขนาดเล็ก ๆ ก็สามารถที่จะใช้ Cisco Easy VPN ในการเชื่อมต่อสู่เครือข่ายภายในขององค์กรได้ โดย Cisco Easy VPN หรือ IPSec VPN Client to Site นี้มีส่วนประกอบหลัก ๆ อยู่ 2 ส่วน คือ IPSec VPN Server และ IPSec VPN Client โดยอุปกรณ์ที่ทำหน้าที่เป็น IPSec VPN Server นั้นอาจจะเป็น Cisco VPN 3000 Series, Cisco PIX Firewall, Cisco ASA หรือ Cisco IOS Router ก็ได้ ส่วนในฝั่งของ IPSec VPN Client นั้นก็สามารถที่จะใช้เป็น Cisco IOS Router, Cisco ASA 5505 หรือจะใช้เป็น Cisco IPSec VPN Client Software ที่ติดตั้งลงบนเครื่องคอมพิวเตอร์ของผู้ใช้ก็ได้ โดยในการทำงานในฝั่ง IPSec VPN Server จะเป็นผู้กำหนดนโยบายที่ใช้ในการรักษาความปลอดภัยให้กับฝั่ง IPSec VPN Client เสมอ

สำหรับขั้นตอนการตั้งค่า IPSec VPN Server ก็มีขั้นตอนดังนี้ครับ

  1. ทำการสร้าง IP Address Pool เพื่อนำไปจ่าย IP Address ให้กับฝั่ง IPSec VPN Client ที่ร้องขอการเชื่อมต่อเข้ามา
  2. ทำการตั้งค่า Group Policy lookup โดยใช้ AAA Model เพื่อการพิสูจน์ตัวตนของผู้ที่ทำการเชื่อมต่อเข้ามา
  3. ทำการกำหนด Group Policy เพื่อกำหนดนโยบายในการรักษาความปลอดภัยและรายละเอียดต่าง ๆ กับกับผู้ที่ทำการเชื่อมต่อเข้ามา
  4. ทำการตั้งค่า ISAKMP Policy Set เพื่อใช้ในการสร้าง ISAKMP SA ซึ่งจะมีค่าที่ต้องทำการกำหนด ดังต่อไปนี้
    • Authentication กำหนดวิธีการที่จะใช้ในการพิสูจน์ตัวตน ซึ่งเราจะใช้ Pre-shared Key
    • Encryption เลือก algorithm ที่จะใช้ในการเข้ารหัสข้อมูล โดยตัวเลือกที่เรียงตามระดับการรักษาความปลอดภัย มีดังนี้ DES, 3DES, AES
    • Hash เลือก algorithm ที่จะใช้ในการตรวจสอบความถูกต้องของข้อมูล โดยจะมีตัวเลือกเรียงตามระดับความปลอดภัย ดังนี้ MD5, SHA
    • DH Group เลือกขนาดของจำนวนเฉพาะที่จะนำมาใช้ในการแลกเปลี่ยน Key ระหว่างอุปกรณ์ โดยในการใช้งาน Client to Site IPSec VPN หรือ Cisco Easy VPN นี้ จะรองรับเฉพาะ DH Group 2 เท่านั้น
    • Life Time ทำการกำหนดช่างเวลาที่จะใช้ ISAKMP SA นี้ โดยเมือหมดช่วงเวลานี้ลงไป จะต้องทำการสร้าง ISAKMP SA ใหม่ขึ้นมาทดแทน
      • หมายเหตุ ในการเลือกใช้งาน algorithm ในรูปแบบต่าง ๆ ถ้าเลือกที่จะใช้งานระดับการรักษาความปลอดภัยที่สูงจนเกินไป ก็อาจจะส่งผลต่อประสิทธิภาพในการใช้งาน จึงควรที่จะเลือกระดับการรักษาความปลอดภัยที่เหมาะสมกับการใช้งาน
  5. ตั้งค่า IPSec transform Set เพื่อนำมาสร้าง IPSec SA โดยจะต้องทำการกำหนดค่าให้ตรงกันระหว่างอุปกรณ์ที่ใช้ในการทำ IPSec VPN ซึ่งจะมีค่าที่ต้องทำการกำหนด ดังต่อไปนี้
    • Encryption ทำการเลือก algorithm ที่จะนำมาใช้ในการเข้ารหัสข้อมูลที่จะส่งไปใน IPSec Tunnel โดยทั่วไปจะมีตัวเลือกเรียงตามระดับการรักษาความปลอดภัย ดังนี้ esp-des, esp-3des, esp-aes เป็นต้น
    • Authentication ทำการเลือก algorithm ที่จะนำมาใช้ในการตรวจสอบความถูกต้องของข้อมูลว่าไม่มีการเปลี่ยนแปลง โดยทั่วไปจะมีตัวเลือกเรียงตามระดับการรักษาความปลอดภัย ดังนี้ esp-md5-hmac, esp-sha-hmac
  6. ทำการสร้าง Dynamic Crypto Map พร้อมทั้งเปิดใช้งานคุณสมบัติ Reverse Route Injection (RPI)
  7. ทำการสร้าง Crypto Map และเชื่อมโยงเข้ากับ Dynamic Crypto Map
  8. นำ Crypto Map ที่สร้างขึ้นไปใช้งานบนอินเทอร์เฟสที่ต้องการ
  9. ตรวจสอบการทำงาน

          เอาล่ะครับ เรามาเริ่มดูตัวอย่างการตั้งค่าในขั้นตอนแรกกันเลยดีกว่านะครับ นั่นก็คือการสร้าง IP Address Pool นั่นเองครับ IP Address Pool ใช้สำหรับสร้างชุด IP Address ที่จะทำการจ่ายให้กับ Peer หรือเครื่องของผู้ใช้ที่เชื่อมต่อเข้ามา โดยสามารถตั้งค่าได้โดยการใช้คำสั่ง "ip local pool" และยังสามารถที่จะใช้ keyword "group" ตามหลัง IP Address Pool ที่ต้องการเพื่อที่จะเชื่อมโยง Pool นั้นเข้ากับ group name ที่ต้องการ เพื่อที่จะทำการจ่าย IP Address แยกตามแต่ละ group ได้นั่นเองครับ

ตัวอย่าง
VPN-Server(config)#ip local pool remote-pool 10.0.1.100 10.0.1.150

          จากตัวอย่างด้านบน เป็นการสร้าง IP Address Pool ที่มีชื่อว่า remote-pool โดยกำหนดให้ใช้ช่วง IP Address 10.0.1.100 ถึง 10.0.1.150 สำหรับที่จะใช้ในการจ่ายให้กับเครื่องผู้ใช้ที่เชื่อมต่อเข้ามา

          จากนั้นในขั้นตอนต่อมาจะเป็นการตั้งค่า Group Policy Lookup ครับ เป็นการตั้งค่าการพิสูจน์ตัวตนและการกำหนดสิทธิในการใช้งานว่าจะใช้ database ที่ใดในการพิสูจน์ตัวตน โดยถ้าจะใช้ username และ password ที่เก็บอยู่บนตัวเราเตอร์ ก็สามารถทำได้โดยการใส่ keyword "local" ลงไป หรืออาจจะใช้ร่วมกับ Radius Server หรือ Tacacs+ Server ก็ได้ครับ

ตัวอย่าง
VPN-Server(config)#aaa new-model
VPN-Server(config)#aaa authentication login vpn-group local
VPN-Server(config)#aaa authorization network vpn-group local
VPN-Server(config)#username cisco password cisco123

          ขั้นตอนต่อมาจะเป็นการสร้าง Group Policy เพื่อที่จะใช้ในการกำหนดนโยบายการใช้งานของผู้ใช้แยกออกตาม group ดังนั้นผู้ใช้อาจจะตัดสินใจเลือกที่จะเชื่อมต่อโดยใช้ group id ที่ต่างกันออกไป เพื่อที่จะได้รับ policy ที่แตกต่างกันตามแต่ละ group ออกไปด้วย

ขั้นตอนในการสร้าง group policy มีดังนี้

  • ทำการกำหนด group profile
  • ทำการตั้งค่า ISAKMP pre-shared key
  • (ทางเลือก)ระบุ DNS Server
  • (ทางเลือก)ระบุ WINS Server
  • (ทางเลือก)ระบุ DNS Domain
  • ระบุ local IP Address Pool

ตัวอย่าง
VPN-Server(config)#crypto isakmp client configuration group administrator
VPN-Server(config-isakmp-group)#key cisco123
VPN-Server(config-isakmp-group)#dns 10.0.1.13 10.0.1.14
VPN-Server(config-isakmp-group)#wins 10.0.1.15 10.0.1.16
VPN-Server(config-isakmp-group)#domain running-config.blogspot.com
VPN-Server(config-isakmp-group)#pool remote-pool
VPN-Server(config-isakmp-group)#exit

          จากตัวอย่างด้านบน เป็นการตั้งค่า group policy ที่มีชื่อว่า administrator และกำหนดให้ใช้ key หรือ password ที่จะใช้ในการเชื่อมต่อกับ group นี้เป็น cisco123 และ ให้ใช้ pool ที่มีชื่อว่า remote-pool ในการจ่าย IP Address ให้กับผู้ใช้

          เมื่อทำการสร้าง Group Policy เรียบร้อยแล้ว ในขั้นตอนต่อมาจะเป็นการสร้าง ISAKMP Policy Set เพื่อที่จะใช้ในการสร้าง ISAKMP SA ระหว่าง IPSec VPN Server กับ IPSec VPN Client โดยในการตั้งค่า DH Group จะรองรับเฉพาะ DH Group 2 เท่านั้น จึงจะสามารถใช้งานกับ Cisco Easy VPN Client หรือ Cisco VPN Client Software ได้

ตัวอย่าง
VPN-Server(config)#crypto isakmp enable
VPN-Server(config)#crypto isakmp policy 100
VPN-Server(config-isakmp)#authentication pre-share
VPN-Server(config-isakmp)#encryption 3des
VPN-Server(config-isakmp)#group 2
VPN-Server(config-isakmp)#exit

          เมื่อทำการตั้งค่า Group Policy เรียบร้อยแล้ว ในขั้นตอนต่อมาจะเป็นการตั้งค่า IPSec Transform Set ที่ไว้ใช้สำหรับสร้าง IPSec SA ระหว่าง IPSec VPN Server กับ IPSec VPN Client ซึ่งในการตั้งค่าเพื่อที่จะใช้งานกับ Cisco Easy VPN นั้นจะต้องทำการตั้งค่าทั้งในส่วนของการเข้ารหัสและการพิสูจน์ตัวตน

ตัวอย่าง
VPN-Server(config)#crypto ipsec transform-set remote-transform esp-3des esp-sha-hmac
VPN-Server(cfg-crypto-trans)#exit

          ในตัวอย่างด้านบนเป็นการตั้งค่า IPSec Transform Set ที่มีชื่อว่า remote-transform โดยใช้อัลกอรึทึม 3des ในการเข้ารหัส และใช้โปรโตคอล sha ในการตรวจสอบความถูกต้องของข้อมูล

          ขั้นตอนต่อมาจะเป็นการสร้าง Dynamic Crypto Map พร้อมกับเปิดใช้งาน Reverse Route Injection (RPI) ซึ่งในส่วนนี้จะแตกต่างกับการตั้งค่า Site to Site IPSec VPN ที่มีการใช้งาน Crypto Map เพียงอย่างเดียว จะไม่มีการใช้งาน Dynamic Crypto Map เนื่องจากในการตั้งค่า Site to Site IPSec VPN นั้น เราจะทราบถึงหมายเลข IP Address ของ Peer หรืออุปกรณ์ฝั่งตรงข้ามอยู่แล้ว แต่ในการใช้งาน Client to Site IPSec VPN นั้น ในฝั่ง IPSec VPN Server จะไม่มีทางทราบได้เลยว่า ในขณะนี้ผู้ที่จะเชื่อมต่อเข้ามายังเครือข่าย นั้นมี IP Address เป็นอะไร (เนื่องจาก Client to Site IPSec VPN สามารถทำการเชื่อมต่อจากที่ใดก็ได้ ที่สามารถเชื่อมต่อสู่อินเทอร์เน็ตได้) เราจึงจำเป็นที่จะต้องใช้งาน Dynamic Crypto Map ซึ่งฝ่าย IPSec VPN Client จะต้องเป็นฝ่ายเริ่มติดต่อเข้ามายัง IPSec VPN Server ก่อนเสมอ จึงจะสามารถใช้งานได้

          จากนั้นจะต้องทำการตั้งค่าเปิดใช้งาน Reverse Route Injection (RPI) เพื่อให้แน่ใจว่าข้อมูลจะสามารถส่งคืนกลับมาในขากลับได้ เพราะ RPI จะไปทำการสร้าง Static Route ในฝั่ง IPSec VPN Server เพื่อบอกเส้นทางการติดต่อสื่อสารไปยังปลายทางในแต่ละ Peer ที่เชื่อมต่อเข้ามา เช่น "S 10.0.1.101/32 [1/0] via 183.89.161.204" โดยขั้นตอนในการสร้าง Dynamic Crypto Map พร้อมกับ RPI มีดังนี้

  • ทำการสร้าง Dynamic Crypto Map
  • ทำการเชื่อมโยง IPSec Transform Set ที่สร้างขึ้นมาเข้ากับ Dynamic Crypto map
  • ทำการเปิดการใช้งาน Reverse Route Injection

ตัวอย่าง
VPN-Server(config)#crypto dynamic-map dynamic-easy 10
VPN-Server(config-crypto-map)#set transform-set remote-transform
VPN-Server(config-crypto-map)#reverse-route
VPN-Server(config-crypto-map)#exit

          ในตัวอย่างด้านบน เป็นการตั้งค่า Dynamic Crypto Map ที่มีชื่อว่า dynamic-easy โดยใช้ Sequence Number เท่ากับ 10 และทำการตั้งค่าให้ใช้ IPSec Transform Set ที่มีชื่อว่า remote-transform และทำการเปิดใช้งาน Reverse Route Injection ด้วยการใช้คำสั่ง reverse-route

          ในขั้นตอนต่อมาจะเป็นการสร้าง Crypto Map เพื่อที่จะนำเอาการตั้งค่าในส่วนต่าง ๆ ที่ได้กำหนดไว้ในขั้นตอนด้านบน มารวมกันไว้ใน Crypto Map นี้ โดยจะมีรายละเอียดที่สำคัญที่จะต้องทำการกำหนด ดังนี้

  • ทำการตั้งค่าให้ IPSec VPN Server ทำการส่งนโยบายการรักษาความปลอดภัยและหมายเลข IP Address ไปยัง Peer ที่ร้องขอการเชื่อมต่อเข้ามา
  • ทำการตั้งค่าให้ทำการกำหนดการพิสูจน์ตัวตนและกำหนดสิทธิการใช้งานโดยดูจาก authentication list และ authorization list ที่สร้างขึ้นไว้ในขั้นตอนก่อนหน้า
  • ทำการเชื่อมโยง Dynamic Crypto Map ที่สร้างขึ้นไว้ในขั้นตอนที่ผ่านมาเข้ากับ Crypto Map นี้

ตัวอย่าง
VPN-Server(config)#crypto map easy-map client configuration address respond
VPN-Server(config)#crypto map easy-map client authentication list vpn-group
VPN-Server(config)#crypto map easy-map isakmp authorization list vpn-group
VPN-Server(config)#crypto map easy-map 10 ipsec-isakmp dynamic dynamic-easy

          ในตัวอย่างด้านบนเป็นการสร้าง Crypto Map เพื่อที่จะใช้งานกับ Client to Site IPSec VPN โดยใช้ชื่อ Crypto Map นี้ว่า easy-map

          จากนั้นจะเป็นการนำ Crypto Map ที่สร้างขึ้นมาไปประกาศใช้งานในอินเทอร์เฟสที่เชื่อมต่อไปยังเครือข่ายภายนอกหรืออินเทอร์เน็ต

ตัวอย่าง
VPN-Server(config)#int fa0/0
VPN-Server(config-if)#crypto map easy-map
*Mar  1 15:46:55.108: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
VPN-Server(config-if)#exit

          เพียงเท่านี้ ก็จะเสร็จสิ้นการตั้งค่า IPSec VPN Server กันแล้วครับ แต่ในการใช้งานเราจะต้องทำการตั้งค่าในฝั่ง IPSec VPN Client กันต่อ ซึ่งสามารถที่จะใช้ Cisco IOS Router, Cisco ASA 5505, หรือจะใช้ Cisco IPSec VPN Client Software ที่ติดตั้งลงบนเครื่องคอมพิวเตอร์ของผู้ใช้ก็ได้ครับ ซึ่งในตัวอย่างการตั้งค่าในวันนี้ ผมจะขอแนะนำให้ใช้ Cisco IPSec VPN Client Software ที่ติดตั้งลงบนเครื่องคอมพิวเตอร์ของผู้ใช้ก่อนครับ

          Cisco IPSec VPN Client Software สามารถใช้งานได้ง่าย ช่วยให้ผู้ใช้สามารถสร้างการเชื่อมต่อที่มีการรักษาความปลอดภัยไปยัง IPSec VPN Server โดยจะถูกกำหนดนโยบายที่จะใช้ในการรักษาความปลอดภัยมาจาก IPSec VPN Server เมื่อเริ่มทำการเชื่อมต่อกัน ซึ่งโปรแกรม Cisco IPSec VPN Client นี้สามารถดาวน์โหลดได้จากเวปไซต์ Cisco.com นะครับ (หรือหลังไมค์มาก็ได้ครับ) โดยโปรแกรม Cisco VPN Client นี้รองรับระบบปฏิบัติการ ดังนี้ครับ Windows x86 (32-bit) XP, Vista (including SP1 & SP2), and Windows 7; Linux (Intel); Solaris (UltraSparc 32- and 64-bit); and Mac OS X 10.4 & 10.5.

          เมื่อทำการดาวน์โหลดมาติดตั้งเรียบร้อยแล้ว (ในขั้นตอนการติดตั้งไม่ขอพูดถึงนะครับ เนื่องจากติดตั้งเหมือนโปรแกรมทั่ว ๆ ไปครับ) เปิดใช้งานขึ้นมาก็จะพบหน้าต่างตามรูปด้านล่างนี้นะครับ

21-2-2554 14-21-09

          เนื่องจากในตัวอย่างในวันนี้ต้องการที่จะเชื่อมต่อมายัง IPSec VPN Server ตามที่ตั้งค่าไว้ด้านบน ก็จะต้องทำการตั้งค่า โดยคลิ้กที่ New แล้วจะพบหน้าต่าง ตามตัวอย่างด้านล่าง ให้ทำการตั้งค่าดังนี้

21-2-2554 14-20-13

  • ในช่อง Connection Entry ให้ทำการตั้งชื่อ connection ที่จะทำการสร้างขึ้นมา โดยสามารถที่จะใช้ชื่ออะไรก็ได้ครับ
  • ในช่อง Description ให้ใส่ คำบรรยายสำหรับ Connection นี้
  • ในช่อง Host ให้ทำการใส่ IP Address หรือ Hostname ของ VPN Server ที่ต้องการเชื่อมต่อลงไป
  • ใน tab Authentication ให้ทำการใส่ข้อมูลสำหรับวิธีการที่ต้องการใช้ในการพิสูจน์ตัวตน ซึ่งตามตัวอย่างนี้จะเชื่อมต่อโดยใช้ Group Authentication ครับ โดยมีขั้นตอนดังนี้
    • คลิ้กที่ Group Authentication
    • ในช่อง Name ให้ทำการใส่ชื่อของ Group Policy ที่ได้ทำการกำหนดไว้
    • ในช่อง Password ให้ทำการใส่ Password ของ Group Policy ที่ได้ทำการกำหนดไว้ จากนั้นทำการใส่ Password อีกครั้งในช่อง Confirm Password ครับ
  • จากนั้นคลิ้กที่ Save ครับ

          เมือ Save เรียบร้อยแล้ว ในกรณีที่ต้องการทำการเชื่อมต่อสู่ IPSec VPN Server ก็ให้เลือก Connection ที่ต้องการจากนั้นก็คลิ้กที่ Connect ครับ เมื่อคลิ้กที่ Connect ไปแล้วถ้าทำการตั้งค่าอย่างถูกต้องหรือเชื่อมต่อสำเร็จก็จะมีหน้าต่างขึ้นมาให้ทำการใส่ Username และ Password เพื่อทำการพิสูจน์ตัวตนผู้ใช้อีกชั้นนึงครับ

21-2-2554 14-22-37

          เมื่อทำการพิสูจน์ตัวตนสำเร็จจึงจะเริ่มทำการเชื่อมต่อสู่ IPSec VPN Server ได้ครับ และจึงจะสามารถใช้งานทรัพยากรภายในเครือข่ายขององค์กรได้ครับ

          ในการตรวจสอบการทำงานนั้น ก็จะคล้าย ๆ กับการตรวจสอบการทำงานของ Site to Site IPSec VPN นะครับ คือสามารถใช้คำสั่งดังต่อไปนี้ในการตรวจสอบการทำงานได้ครับ

  • show crypto isakmp sa
  • show crypto ipsec sa
  • show crypto session
  • show crypto map
  • show ip route

ตัวอย่าง
VPN-Server#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst                    src                   state               conn-id  slot  status
115.87.214.87   183.89.161.204  QM_IDLE           2003    0   ACTIVE

IPv6 Crypto ISAKMP SA

VPN-Server#show crypto ipsec sa

interface: FastEthernet0/0
    Crypto map tag: easy-map, local addr 115.87.214.87

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (10.0.1.101/255.255.255.255/0/0)
   current_peer 183.89.161.204 port 28409
     PERMIT, flags={}
    #pkts encaps: 70, #pkts encrypt: 70, #pkts digest: 70
    #pkts decaps: 731, #pkts decrypt: 731, #pkts verify: 731
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 12

     local crypto endpt.: 115.87.214.87, remote crypto endpt.: 183.89.161.204
     path mtu 1492, ip mtu 1492, ip mtu idb FastEthernet0/0
     current outbound spi: 0x9842FB4F(2554526543)

     inbound esp sas:
      spi: 0x4AD7D66D(1255659117)
        transform: esp-256-aes esp-sha-hmac ,
        in use settings ={Tunnel UDP-Encaps, }
        conn id: 1, flow_id: Motorola SEC 1.0:1, crypto map: easy-map
        sa timing: remaining key lifetime (k/sec): (4545795/3416)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x9842FB4F(2554526543)
        transform: esp-256-aes esp-sha-hmac ,
        in use settings ={Tunnel UDP-Encaps, }
        conn id: 2, flow_id: Motorola SEC 1.0:2, crypto map: easy-map
        sa timing: remaining key lifetime (k/sec): (4545892/3415)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

VPN-Server#show crypto session
Crypto session current status

Interface: FastEthernet0/0
Username: cisco
Group: administrator
Assigned address: 10.0.1.101
Session status: UP-ACTIVE
Peer: 183.89.161.204 port 28409
  IKE SA: local 115.87.214.87/4500 remote 183.89.161.204/28409 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 10.0.1.101
        Active SAs: 2, origin: dynamic crypto map

VPN-Server#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

S       10.0.1.101 [1/0] via 183.89.161.204
S*   0.0.0.0/0 is directly connected, FastEthernet0/0

VPN-Server#show crypto map
Crypto Map "easy-map" 10 ipsec-isakmp
        Dynamic map template tag: map

Crypto Map "easy-map" 65536 ipsec-isakmp
        Peer = 183.89.161.204
        Extended IP access list
            access-list  permit ip any host 10.0.1.101
            dynamic (created from dynamic map map/10)
        Current peer: 183.89.161.204
        Security association lifetime: 4608000 kilobytes/3600 seconds
        PFS (Y/N): N
        Transform sets={
                set1,
        }
        Reverse Route Injection Enabled
        Interfaces using crypto map easy-map:
                Virtual-Access1

                FastEthernet0/0

10 comments :

  1. เยี่ยมยุทธครับ อิอิ

    ReplyDelete
  2. ผมอยากได้ cisco vpn client สำหรับ windows7 64bit อ่ะครับ
    ช่วยแนะนำด้วยครับ มือใหม่ครับลองหาดูใน Cisco แลัวไม่เจอครับ ขอขอบคุณล่วงหน้านะครับ ^_^
    wissnu_20@hotmail.com

    ReplyDelete
  3. ปัจจุบันนี้ Cisco VPN Client รองรับเฉพาะ Windows 2000, XP, Vista, Windows 7 - 32bit เท่านั้นครับ ยังไม่รองรับ 64 bit ครับผม

    ถ้าต้องการใช้ VPN บน Windows 7 64bit ก็คงต้องใช้ anyconnect เอาครับ (ต้องตั้งค่า ssl vpn client ครับ) ตามลิ้งค์ด้านล่างนี้เลยครับ
    http://www.cisco.com/en/US/products/ps5855/products_configuration_example09186a0080af314a.shtml?referring_site=smartnavRD

    The Cisco VPN Client for Windows Vista and Windows 7 does NOT support the following:

    * System upgraded from Windows XP to Vista or Windows 7 (clean OS installation required).
    * Start Before Logon
    * Integrated Firewall - See workaround below.
    * InstallShield
    * 64bit support
    * AutoUpdate
    * Translated Online Help - Provided only in English

    ReplyDelete
  4. ขอบพระคุณ มากๆเลยนะครับงัยจะลองดูครับผม

    ReplyDelete
  5. แต่ว่าัมนต้อง set ถึงขนาดนั้นเชียวเหรอ ^_^

    ReplyDelete
  6. จริง ๆ ไม่เยอะขนาดนั้นหรอกครับ ที่ต้องตั้งค่าจริง ๆ มีนิดเดียว แต่บังเอิญบทความนี้ผมยังไม่ได้เริ่มเขียนเลยอ่า(แบบว่า แอบขี้เกียจนิดนึงครับ 55)ครับ ยังไงลองดูที่ cisco ไปก่อนนะครับ ไว้ยังไงจะรีบปั่นมาแนะนำการใช้งานให้ครับ

    ReplyDelete
  7. This comment has been removed by the author.

    ReplyDelete
  8. ทำ Client to Site IPSec VPN กับ Site to Site IPSec VPN ที่ขาเดียวกันได้หรือปล่าวครับ

    ReplyDelete
  9. สามารถทำบนอินเทอร์เฟสเดียวกันได้ครับ โดยสามารถใช้ isakmp policy กับ ipsec transform set ชุดเดียวกัน หรือแยกชุดกันก็ได้ครับ

    ReplyDelete
  10. ขอบคุณมากครับจะเอาไปลองทำดู

    อยากโปรแกรมCisco IPSec VPN Client Softwareมั่งครับ download cisco.com ไม่ได้อ่ะต้องเป็น partner อ่ะครับ

    phitsanu.nu@hotmail.com

    ขอบคุณครับ

    ReplyDelete