Hướng Dẫn Cấu Hình VPN Client-to-Site Trên Cisco Packet Tracer

VPN Client-to-Site (hay còn gọi là Remote Access VPN, Easy VPN) là giải pháp mạng bảo mật hàng đầu, cho phép người dùng từ xa (nhân viên làm việc tại nhà, đi công tác) truy cập an toàn vào mạng nội bộ của doanh nghiệp thông qua môi trường Internet.

Bài viết này cung cấp hướng dẫn toàn tập cách cấu hình VPN Client-to-Site trên Router Cisco bằng phần mềm giả lập Cisco Packet Tracer. Nội dung bao gồm mô hình mạng, quy hoạch IP, dòng lệnh CLI chi tiết có chú thích, cách kiểm tra (ping, tracert) và tổng hợp các lỗi thường gặp.

1. Mô Hình Mạng (Topology) & Quy Hoạch IP

Để bắt đầu bài Lab, bạn cần thiết lập một sơ đồ mạng (Topology) bao gồm các thiết bị và dải IP như sau:

• VPN_SERVER (Router 2911 – Đóng vai trò Router Công ty):
  • Cổng hướng vào LAN (G0/0): 192.168.1.254/24 (Gateway của mạng nội bộ).
  • Cổng WAN hướng ra Internet (G0/1): 203.0.113.2/30.
• ISP_ROUTER (Router trung gian – Giả lập môi trường Internet):
  • Cổng G0/0 (Nối với VPN_Server): 203.0.113.1/30
  • Cổng G0/1 (Nối với mạng của PC ở xa): 8.8.8.254/24
• PC1 (Remote PC – Máy tính nhân viên ở xa):
  • Cài đặt IP tĩnh: 8.8.8.8, Subnet Mask: 255.255.255.0, Gateway: 8.8.8.254.
• PC0 (LAN PC – Máy tính trong mạng nội bộ công ty):
  • Cài đặt IP tĩnh: 192.168.1.10, Subnet Mask: 255.255.255.0, Gateway: 192.168.1.254.
• VPN Pool (Dải IP ảo cấp phát cho VPN Client): 10.0.0.1 đến 10.0.0.50.

2. Các Bước Cấu Hình VPN Trên Cisco Packet Tracer (CLI)

Bước 2.0: Bật tính năng Security trên VPN_SERVER (Bắt buộc)

⚠️ LƯU Ý QUAN TRỌNG: Các dòng Router đời mới trong Packet Tracer (như 1941, 2901, 2911) mặc định bị tắt License bảo mật. Nếu không bật, khi gõ lệnh liên quan đến mã hóa crypto, Router sẽ báo lỗi % Invalid input detected.

Trên VPN_SERVER, kích hoạt license và khởi động lại Router:

Router> enable
Router# configure terminal

! Kích hoạt module security (Cho Router c2900 series)
Router(config)# license boot module c2900 technology-package securityk9

! Hệ thống hỏi Accept EULA? Gõ "yes" và nhấn Enter
Accept? [yes/no]: yes

! Lưu cấu hình và khởi động lại Router
Router(config)# exit
Router# write memory
Router# reload

Router> enable
Router# configure terminal

! Kích hoạt module security (Cho Router c2900 series)
Router(config)# license boot module c2900 technology-package securityk9

! Hệ thống hỏi Accept EULA? Gõ "yes" và nhấn Enter
Accept? [yes/no]: yes

! Lưu cấu hình và khởi động lại Router
Router(config)# exit
Router# write memory
Router# reload

(Lưu ý: Nếu dùng Router 1941, thay c2900 thành c1900).

Bước 2.1: Cấu hình IP và định tuyến trên Router ISP (Nhà mạng)

Router ISP đóng vai trò là “đám mây Internet”. Nhiệm vụ của nó chỉ là định tuyến thông suốt giữa 2 dải mạng, không cần cấu hình VPN.

Router> enable
Router# configure terminal
Router(config)# hostname ISP_ROUTER

! Bật và đặt IP cổng nối về phía VPN_SERVER
ISP_ROUTER(config)# interface GigabitEthernet0/0
ISP_ROUTER(config-if)# ip address 203.0.113.1 255.255.255.252
ISP_ROUTER(config-if)# no shutdown
ISP_ROUTER(config-if)# exit

! Bật và đặt IP cổng nối về phía PC1 (Remote PC)
ISP_ROUTER(config)# interface GigabitEthernet0/1
ISP_ROUTER(config-if)# ip address 8.8.8.254 255.255.255.0
ISP_ROUTER(config-if)# no shutdown
ISP_ROUTER(config-if)# exit

Router> enable
Router# configure terminal
Router(config)# hostname ISP_ROUTER

! Bật và đặt IP cổng nối về phía VPN_SERVER
ISP_ROUTER(config)# interface GigabitEthernet0/0
ISP_ROUTER(config-if)# ip address 203.0.113.1 255.255.255.252
ISP_ROUTER(config-if)# no shutdown
ISP_ROUTER(config-if)# exit

! Bật và đặt IP cổng nối về phía PC1 (Remote PC)
ISP_ROUTER(config)# interface GigabitEthernet0/1
ISP_ROUTER(config-if)# ip address 8.8.8.254 255.255.255.0
ISP_ROUTER(config-if)# no shutdown
ISP_ROUTER(config-if)# exit

Bước 2.2: Cấu hình VPN Server toàn diện trên Router Công ty

1. Cấu hình IP và Định tuyến mặc định (Default Route)

Router> enable
Router# configure terminal
VPN_SERVER(config)# hostname VPN_SERVER

! Cổng LAN nội bộ
VPN_SERVER(config)# interface GigabitEthernet0/0
VPN_SERVER(config-if)# ip address 192.168.1.254 255.255.255.0
VPN_SERVER(config-if)# no shutdown
VPN_SERVER(config-if)# exit

! Cổng WAN kết nối Internet
VPN_SERVER(config)# interface GigabitEthernet0/1
VPN_SERVER(config-if)# ip address 203.0.113.2 255.255.255.252
VPN_SERVER(config-if)# no shutdown
VPN_SERVER(config-if)# exit

! Thiết lập Default Route đẩy toàn bộ traffic ra Internet (ISP)
VPN_SERVER(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1

Router> enable
Router# configure terminal
VPN_SERVER(config)# hostname VPN_SERVER

! Cổng LAN nội bộ
VPN_SERVER(config)# interface GigabitEthernet0/0
VPN_SERVER(config-if)# ip address 192.168.1.254 255.255.255.0
VPN_SERVER(config-if)# no shutdown
VPN_SERVER(config-if)# exit

! Cổng WAN kết nối Internet
VPN_SERVER(config)# interface GigabitEthernet0/1
VPN_SERVER(config-if)# ip address 203.0.113.2 255.255.255.252
VPN_SERVER(config-if)# no shutdown
VPN_SERVER(config-if)# exit

! Thiết lập Default Route đẩy toàn bộ traffic ra Internet (ISP)
VPN_SERVER(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1

📌 Giải thích: Lệnh ip route đảm bảo khi Client gửi gói tin VPN đến, Router biết cách trả lời ngược lại qua cổng của nhà mạng.

2. Cấu hình xác thực AAA và tạo VPN IP Pool

! Bật mô hình xác thực AAA
VPN_SERVER(config)# aaa new-model
VPN_SERVER(config)# aaa authentication login VPN_AUTH local
VPN_SERVER(config)# aaa authorization network VPN_GROUP local

! Tạo tài khoản để nhân viên đăng nhập VPN
VPN_SERVER(config)# username nhanvien password cisco123

! Tạo dải IP ảo cấp cho Client (VPN Client sẽ nhận IP trong dải này)
VPN_SERVER(config)# ip local pool VPN_POOL 10.0.0.1 10.0.0.50

! Bật mô hình xác thực AAA
VPN_SERVER(config)# aaa new-model
VPN_SERVER(config)# aaa authentication login VPN_AUTH local
VPN_SERVER(config)# aaa authorization network VPN_GROUP local

! Tạo tài khoản để nhân viên đăng nhập VPN
VPN_SERVER(config)# username nhanvien password cisco123

! Tạo dải IP ảo cấp cho Client (VPN Client sẽ nhận IP trong dải này)
VPN_SERVER(config)# ip local pool VPN_POOL 10.0.0.1 10.0.0.50

3. Cấu hình ISAKMP Phase 1 (Đường hầm quản lý khóa)

! Thiết lập chính sách mã hóa (Policy 10)
VPN_SERVER(config)# crypto isakmp policy 10
VPN_SERVER(config-isakmp)# encr aes 256
VPN_SERVER(config-isakmp)# hash sha
VPN_SERVER(config-isakmp)# authentication pre-share
VPN_SERVER(config-isakmp)# group 2
VPN_SERVER(config-isakmp)# exit

! Tạo Group cấu hình cho Client
VPN_SERVER(config)# crypto isakmp client configuration group CONGTY_VPN
VPN_SERVER(config-isakmp-group)# key secretkey123
VPN_SERVER(config-isakmp-group)# pool VPN_POOL
VPN_SERVER(config-isakmp-group)# exit

! Thiết lập chính sách mã hóa (Policy 10)
VPN_SERVER(config)# crypto isakmp policy 10
VPN_SERVER(config-isakmp)# encr aes 256
VPN_SERVER(config-isakmp)# hash sha
VPN_SERVER(config-isakmp)# authentication pre-share
VPN_SERVER(config-isakmp)# group 2
VPN_SERVER(config-isakmp)# exit

! Tạo Group cấu hình cho Client
VPN_SERVER(config)# crypto isakmp client configuration group CONGTY_VPN
VPN_SERVER(config-isakmp-group)# key secretkey123
VPN_SERVER(config-isakmp-group)# pool VPN_POOL
VPN_SERVER(config-isakmp-group)# exit

📌 Giải thích: Group Name CONGTY_VPN và Key secretkey123 là các thông số bắt buộc người dùng phải điền vào phần mềm VPN Client để được phép bắt tay Phase 1.

4. Cấu hình IPsec Phase 2 (Đường hầm dữ liệu)

! Tạo bộ biến đổi dữ liệu mã hóa IPsec (Transform-set)
VPN_SERVER(config)# crypto ipsec transform-set TS esp-aes 256 esp-sha-hmac

! Tạo Dynamic Crypto Map để hỗ trợ kết nối từ các IP Public động
VPN_SERVER(config)# crypto dynamic-map DYN_MAP 10
VPN_SERVER(config-crypto-map)# set transform-set TS
VPN_SERVER(config-crypto-map)# reverse-route
VPN_SERVER(config-crypto-map)# exit

! Tạo bộ biến đổi dữ liệu mã hóa IPsec (Transform-set)
VPN_SERVER(config)# crypto ipsec transform-set TS esp-aes 256 esp-sha-hmac

! Tạo Dynamic Crypto Map để hỗ trợ kết nối từ các IP Public động
VPN_SERVER(config)# crypto dynamic-map DYN_MAP 10
VPN_SERVER(config-crypto-map)# set transform-set TS
VPN_SERVER(config-crypto-map)# reverse-route
VPN_SERVER(config-crypto-map)# exit

5. Đóng gói vào Crypto Map tĩnh và Gán vào cổng WAN

! Gom nhóm các thiết lập AAA, Phase 1 và Phase 2
VPN_SERVER(config)# crypto map VPN_MAP client authentication list VPN_AUTH
VPN_SERVER(config)# crypto map VPN_MAP isakmp authorization list VPN_GROUP
VPN_SERVER(config)# crypto map VPN_MAP client configuration address respond
VPN_SERVER(config)# crypto map VPN_MAP 10 ipsec-isakmp dynamic DYN_MAP

! Áp dụng Crypto Map vào cổng kết nối Internet (G0/1)
VPN_SERVER(config)# interface GigabitEthernet0/1
VPN_SERVER(config-if)# crypto map VPN_MAP
VPN_SERVER(config-if)# end
VPN_SERVER# write memory

! Gom nhóm các thiết lập AAA, Phase 1 và Phase 2
VPN_SERVER(config)# crypto map VPN_MAP client authentication list VPN_AUTH
VPN_SERVER(config)# crypto map VPN_MAP isakmp authorization list VPN_GROUP
VPN_SERVER(config)# crypto map VPN_MAP client configuration address respond
VPN_SERVER(config)# crypto map VPN_MAP 10 ipsec-isakmp dynamic DYN_MAP

! Áp dụng Crypto Map vào cổng kết nối Internet (G0/1)
VPN_SERVER(config)# interface GigabitEthernet0/1
VPN_SERVER(config-if)# crypto map VPN_MAP
VPN_SERVER(config-if)# end
VPN_SERVER# write memory

3. Các Lệnh Show Kiểm Tra Hệ Thống VPN

Tại chế độ Privileged EXEC (VPN_SERVER#), bạn có thể dùng các lệnh sau để rà soát cấu hình:

1. show ip interface brief: Kiểm tra trạng thái cổng (Up/Up).
2. show ip route: Đảm bảo đã có dòng định tuyến S* 0.0.0.0/0 via 203.0.113.1.
3. show crypto isakmp sa: Kiểm tra trạng thái đường hầm Phase 1 (Sẽ hiện QM_IDLE khi có Client kết nối).
4. show crypto ipsec sa: Thống kê gói tin đã được mã hóa (encaps) và giải mã (decaps).
5. show crypto session: Hiển thị danh sách các Client đang kết nối thành công.

4. Kiểm Tra Thực Tế Trên Máy Client (PC1)

Đây là bước xác thực cuối cùng xem hệ thống Remote Access VPN đã hoạt động hoàn hảo hay chưa.

Bước 1: Khởi động ứng dụng VPN

1. Click vào PC1 (Remote PC).
2. Vào thẻ Desktop, mở ứng dụng VPN.

Bước 2: Điền thông số bảo mật và Kết nối

Nhập chính xác các thông tin đã thiết lập trên VPN_SERVER (Không để dư khoảng trắng):

• Group Name: CONGTY_VPN
• Group Key: secretkey123
• Host IP: 203.0.113.2 (IP mặt ngoài cổng WAN của VPN_Server)
• Username: nhanvien
• Password: cisco123

Nhấn Connect. Trạng thái hiển thị “Connected” nghĩa là bạn đã kết nối an toàn vào mạng công ty.

Bước 3: Xác minh IP và Kiểm tra thông mạng bằng Ping & Tracert

Mở Command Prompt trên PC1 và gõ lần lượt các lệnh:

Kiểm tra IP được cấp phát:

ipconfig

ipconfig

(Bạn sẽ thấy PC1 nhận thêm một IP ảo từ VPN Pool, ví dụ: 10.0.0.1).

Ping đến thiết bị trong LAN nội bộ:

ping 192.168.1.10

ping 192.168.1.10

(Thông báo Reply from 192.168.1.10... xác nhận đường hầm IPsec hoạt động tốt).

Kiểm tra đường đi của gói tin bằng lệnh Tracert:

tracert 192.168.1.10

tracert 192.168.1.10

(Lệnh này giúp bạn thấy rõ gói tin từ máy Client 8.8.8.8 được mã hóa, chui qua đường hầm VPN về Gateway 203.0.113.2 rồi mới đến đích 192.168.1.10).

5. Tổng Hợp Các Lỗi Thường Gặp (Troubleshooting)

1. Lỗi Invalid input detected khi gõ lệnh Crypto: Do chưa bật License Security (Xem lại Bước 2.0). Cần write memory và reload lại Router sau khi bật.
2. Lỗi “Connection timed out” trên phần mềm VPN: * Mạng nền chưa thông (PC1 không ping được 203.0.113.2). Kiểm tra lại cấu hình IP trên PC1 và ISP_ROUTER.
   • Thiếu lệnh ip route 0.0.0.0 0.0.0.0 203.0.113.1 trên VPN_SERVER.
   • Quên gán lệnh crypto map VPN_MAP vào cổng G0/1 của VPN_SERVER.
   • Gõ sai chính tả, dư khoảng trắng (Space) ở phần điền thông tin Client.
3. Lỗi Packet Tracer bị kẹt (Treo tiến trình ISAKMP): Dù cấu hình đúng nhưng VPN vẫn báo Timeout do phần mềm bị kẹt. Khắc phục bằng cách vào VPN_SERVER gõ write memory sau đó gõ reload để khởi động lại tiến trình.