Thai Cisco Club: 06/2012

Cisco SSL VPN Configuration

Step1: ทำการ format disk0 เพื่อที่มีที่เก็บ client software

R1 # format disk0:

Step2: upload the client software: (202.1.1.1 = ftp server)

R1 # copy ftp://cisco:cisco @ 202.1.1.1/anyconnect-win-2.4.0202-k9.pkg disk0 :/ anyconnect-win-2.4.0202-k9.pkg

Step3: Configure

### AAA Configure ใช้ username บน Local ###

R1 (config) # aaa new-model

R1 (config) # aaa authentication login thaiciscoclub.com local

R1 (config) # username cisco password cisco

### กำหนด ip pool to client ###

R1 (config) # ip local pool SSLVPNPOOL 192.168.1.10 192.168.1.100

### กำหนด software client ###

R1 (config) # webvpn install svc disk0:/anyconnect-win-2.4.0202-k9.pkg

### กำหนดค่า SSL VPN ###

R1 (config) # webvpn gateway thaiciscoclub.com

R1 (config-webvpn-gateway) # ip address 202.1.1.254 port 443 << IP สำหรับ on SSLVPN Web

R1 (config-webvpn-gateway) # inservice

R1 (config-webvpn-gateway) # exit

R1 (config) # webvpn context webtext

R1 (config-webvpn-context) # ssl authenticate verify all

R1 (config-webvpn-context) # policy group SSLVPNWEB

R1 (config-webvpn-group) # functions svc-enabled

R1 (config-webvpn-group) # banner #SSL-VPN Thaiciscoclub#

R1 (config-webvpn-group) # svc address-pool SSLVPNPOOL

R1 (config-webvpn-group) # svc split include 1.1.1.0 255.255.255.0 << Tunnel to this local network

R1 (config-webvpn-group) # svc dns-server primary 1.1.1.10

R1 (config-webvpn-group) # svc dns-server secondary 1.1.1.20

R1 (config-webvpn-group) # exit

R1 (config-webvpn-context) # default-group-policy SSLVPNWEB

R1 (config-webvpn-context) # aaa authentication list thaiciscoclub.com

R1 (config-webvpn-context) # gateway thaiciscoclub.com

R1 (config-webvpn-context) # inservice

R1 (config-webvpn-context) # exit

Verify: ทำการ connect และ install จากนั้น ก็ test ping ไปยัง server

Mission complete

Any Transport over MPLS (AToM)

Service provider ทำ L2VPN สำหรับลูกค้า ที่ ปลายทางด้านหนึ่งของลูกค้า ใช้ Frame-Relay และ ปลายทางด้านหนึ่งของลูกค้าใช้ Ethernet Lan โดยทำการเชื่อมเป็นแบบ Layer2 โดย over MPLS
โดย PE เป็น Router ที่ เชื่อมต่อกับ Router ลูกค้า CE จาก Diagram เมื่อทำการ Configure แล้ว router CE1และ CE2 จะสามารถ ping ถึงการได้โดยตรง (192.168.1.0/24)

Configure:
ใช้ Tunnel VC = 123, dlci = 123

P (R1)

!
ip cef
mpls label protocol ldp
mpls ldp router-id Loopback0 force
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
ip ospf network point-to-point
!
interface FastEthernet1/0
ip address 10.1.12.1 255.255.255.0
mpls ip
!
interface FastEthernet1/1
ip address 10.1.13.1 255.255.255.0
mpls ip
!
router ospf 100
router-id 1.1.1.1
network 1.1.1.1 0.0.0.0 area 0
network 10.1.12.1 0.0.0.0 area 0
network 10.1.13.1 0.0.0.0 area 0
!

P1 (R2)

!
ip cef
frame-relay switching
mpls label protocol ldp
mpls ldp router-id Loopback0 force
!
pseudowire-class atom-eth-fr
encapsulation mpls
interworking ip
!
interface Loopback0
ip address 2.2.2.2 255.255.255.255
ip ospf network point-to-point
!
interface FastEthernet1/0
ip address 10.1.12.2 255.255.255.0
mpls ip
!
interface Serial2/0
no ip address
encapsulation frame-relay
serial restart-delay 0
clock rate 2016000
frame-relay intf-type dce
!
router ospf 100
router-id 2.2.2.2
passive-interface Serial2/0
network 2.2.2.2 0.0.0.0 area 0
network 10.1.12.2 0.0.0.0 area 0
!
connect atom Serial2/0 123 l2transport
xconnect 3.3.3.3 123 pw-class atom-eth-fr
!
!

P2 (R3)

ip cef

mpls label protocol ldp

mpls ldp router-id Loopback0 force

pseudowire-class atom-eth-fr

encapsulation mpls

interworking ip

interface Loopback0

ip address 3.3.3.3 255.255.255.255

ip ospf network point-to-point

interface FastEthernet1/0

ip address 10.1.13.3 255.255.255.0

mpls ip

interface FastEthernet1/1

no ip add

interface FastEthernet1/1.123

encapsulation dot1Q 123

xconnect 2.2.2.2 123 pw-class atom-eth-fr

router ospf 100

router-id 3.3.3.3

passive-interface FastEthernet1/1

network 3.3.3.3 0.0.0.0 area 0

network 10.1.13.3 0.0.0.0 area 0

CE1 (R4)

!

interface Serial0/0
ip address 192.168.1.4 255.255.255.0
encapsulation frame-relay
serial restart-delay 0
frame-relay map ip 192.168.1.4 123
frame-relay map ip 192.168.1.5 123 broadcast
no frame-relay inverse-arp
!

CE2 (R5)
!

interface FastEthernet0/0
no ip address
!
interface FastEthernet0/0.123
encapsulation dot1Q 123
ip address 192.168.1.5 255.255.255.0
!

Verify:

PE1#sh mpls ldp neighbor
Peer LDP Ident: 1.1.1.1:0; Local LDP Ident 2.2.2.2:0
TCP connection: 1.1.1.1.646 - 2.2.2.2.19965
State: Oper; Msgs sent/rcvd: 194/195; Downstream
Up time: 02:45:00
LDP discovery sources:
FastEthernet1/0, Src IP addr: 10.1.12.1
Addresses bound to peer LDP Ident:
10.1.12.1 10.1.13.1 1.1.1.1
Peer LDP Ident: 3.3.3.3:0; Local LDP Ident 2.2.2.2:0
TCP connection: 3.3.3.3.53939 - 2.2.2.2.646
State: Oper; Msgs sent/rcvd: 156/147; Downstream
Up time: 02:01:10
LDP discovery sources:
Targeted Hello 2.2.2.2 -> 3.3.3.3, active, passive
Addresses bound to peer LDP Ident:
3.3.3.3 10.1.13.3

PE1#sh mpls l2transport binding
Destination Address: 3.3.3.3, VC ID: 123
Local Label: 19
Cbit: 1, VC Type: IP, GroupID: 0
MTU: 1500, Interface Desc: n/a
VCCV: CC Type: CW [1], RA [2]
CV Type: LSPV [2]
Remote Label: 19
Cbit: 1, VC Type: IP, GroupID: 0
MTU: 1500, Interface Desc: n/a
VCCV: CC Type: CW [1], RA [2]
CV Type: LSPV [2]

PE1#sh mpls l2transport vc

Local intf Local circuit Dest address VC ID Status
------------- -------------------------- --------------- ---------- ----------
Se2/0 FR DLCI 123 3.3.3.3 123 UP

PE2#sh mpls l2transport vc

Local intf Local circuit Dest address VC ID Status
------------- -------------------------- --------------- ---------- ----------
Fa1/1.123 Eth VLAN 123 2.2.2.2 123 UP
R3#

ตอนนี้ CE1 CE2 สามารถ ping บน network interface 192.168.1.0/24 เจอแล้ว !!!!!

Thai Cisco Club

26/6/55

Cisco SSL VPN Configuration

Cisco SSL VPN Configuration

24/6/55