Mình có một router 1721 , muốn kết nối VPN site to site tới chi nhánh tại TP HCM , đồng thời đến công ty mẹ bên Hongkong.
Không hiểu có thể setup 2 tunnel VPN trên cùng 1 con router không nhỉ , rồi sau đó sẽ đặt 2 route khác nhau đến 2 điểm trên , còn gateway chính để đi ra mạng vẫn theo đường của ISP.

Nếu bạn dùng IOS 12.2T trở lên thì có thể cấu hình DMVPN (Dynamic Multipoint VPN) trên Router và lúc đó thì chỉ cần 1 interface tunnel để dùng cho tất cả các VPN peer khác

Mode của tunnel lúc đó sẽ là Multipoint GRE (mGRE). Với mô hình Hub and Spokes thì các điểm Spokes sẽ dùng NHRP để kết nối trực tiếp với nhau mà không cần đi qua site Hub

Hi anh Minute61!

Các VPN Tunnel được hình thành dựa trên nền tảng Cisco Router về cơ bản sẽ dựa vào việc thiết lập các VPN gateway hay còn gọi là VPN Peer. Điều này có nghĩa là nếu router ở cả 2 phía đều có IOS hỗ trợ VPN và mỗi site đều có một static public IP, thì VPN tunnel hoàn toàn có thể được tạo ra. Từ một router ta có thể tạo rất nhiều VPN Tunnel đến các VPN Gateway khác, miễn sao thông số về phase 1 đựoc thiết lập phải tương đồng với nhau.

Ngòai ra, trong một kết nối VPN nào đó, sau giai đoạn thiết lập và bắt tay giữa các VPN Peer(Phase 1), chúng ta có thể cấu hình để tạo ra đồng thời nhiều Tunnel khác nhau (Phase 2) dựa trên nền tảng của Phase 1 đã đựoc thiết lâp. Các Tunnel này sẽ khác nhau về giải thuật mã hóa và Preshare key tương ứng.

Trong thực tế, ngòai việc thiết lập VPN Tunnel giữa các Router với nhau, ta còn có thể xây dựng VPN giữa Cisco ROuter với PIX Firewall, PIX-PIX, Cisco Router - 3 rd party, PIX - 3 rd party (Netscreen, Nokia, Fortigate,....)
Đối với các sản phẩm của hãng thứ 3, một số còn cho phép xây dựng VPN dưới dạng Dial-up VPN, có nghĩa là chỉ cần một phía là cần IP tĩnh, site còn lại k đòi hỏi điều kiện này . Tuy nhiên, trong ngữ cảnh này, VPN Tunnel chỉ đựoc thiết lập dựa trên nhu cầu của site không có IP tĩnh, và hiển nhiên là chỉ có 1 hướng

Mong được trao đổi thêm cùng anh
Thân mến

Hi cvo15303

Bạn có thể post cấu hình mẫu lên để tiện tham khảo không?

Thanks

Hi all,

các bạn có thể cấu hình đơn giản như sau:

VPN-GW (10.0.0.1) <---------- Internet --------------> VPN-Client (10.0.0.2)

- VPN-GW
interface FastEthernet0/0
ip address A. B.C.D B.B.B.B
speed 100
full-duplex

interface Tunnel0
bandwidth 10000
ip address 10.0.0.1 255.255.255.0
no ip redirects
ip mtu 1436
ip nhrp authentication test
ip nhrp map multicast dynamic
ip nhrp network-id 100000
ip nhrp holdtime 600
delay 1000
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 100000
end


-VPN-Client

interface Tunnel0
bandwidth 1000
ip address 10.0.0.2 255.255.255.0
ip mtu 1436
ip nhrp authentication test
ip nhrp map 10.0.0.1 A. B.C.D
ip nhrp network-id 100000
ip nhrp holdtime 300
ip nhrp nhs 10.0.0.1
delay 1000
no clns route-cache
tunnel source Dialer0
tunnel destination A. B.C.D
tunnel key 100000

Để check lại

show ip nhrp

10.0.0.2/32 via 10.0.0.2, Tunnel0 created 2d22h, expire 00:03:30
Type: dynamic, Flags: authoritative unique registered
NBMA address: A.B.C.D

P/S: Ngoài ra để an toàn và bảo mật bạn nên dùng IOS support IPSEC

Trần Xuân Hồng

hi anh Hồng

NHRP là gì vậy? anh có thể giải thích giùm em được không?

cám ơn anh

chào bạn,

NHRP = Next Hop Resolution Protocol
là một solution cho Dynamic Multipoint IPsec VPNs (DMVPN)

Trần Xuân Hồng

Hi all

Cty mình có mô hình mạng như sau:

- Tunnel VPN thứ nhất kết nối giữa Văn phòng HCM và Hà Nội đã chạy
- Setup thêm tunnel VPN thứ hai kết nồi từ văn phòng Hanoi đến Campuchia

VPN gateway la Cisco 3725

Đứng trên từ địa chỉ WAN của router Hanoi và router Campuchia có thể ping thấy nhau.

Tunnel giữa hai văn phòng Hanoi và Campuchia up nhưng tunnel ko ping thấy nhau.
Sử dụng lệnh Show crypto ipsec sa thì nhận được thông báo " No SAs found"
Cambodia-C3725#sh cry ips sa

No SAs found
Cambodia-C3725#

Mình ko biết bị lỗi gì, có ai biết xin chỉ giúp

Chào các bạn

Mình đã tìm ra được lỗi. Do VPN đang chạy o mode Tunnel, không chạy ở mode IPSec vì thế khi dùng lệnh Show crypto ipsec sa thì nhận được kết quản No SAs found