Chào bạn,

Bạn xem bài này

IPsec - Vietnamese Professional

http://vnpro.org/forum/showthread.php?t=26802

Implementing Secure Converged Wide Area Networks

IOS hỗ trợ NAT T từ 12.2(13)T về sau.


NAT T bạn không cần phải cấu hình. Chỉ cần Juniper SSG140 có support NAT T là được.
Hoặc bạn muốn client quay VPN vào 1721 thì hầu như chắc chắn phải bật NAT T để tìm xem có thiết bị NAT nào nằm giữa client VPN và 1721 hay không. Nếu không có những nhu cầu này thì cứ Disable NAT T để router giảm bớt công việc bằng lệnh
Router(config)# no crypto ipsec nat-transparency udp-encapsulation

Chao anh Tuan;
Cảm ơn anh nhiều vì tin phản hồi rất nhanh.
Đọc datasheet của Juniper , thì được biết rằng con Juniper SSG140 này đã support NAT T
Như thế con cisco 1721 của đệ có version như dưới đây :
Cisco IOS Software, C1700 Software (C1700-ADVSECURITYK9-M), Version 12.4(5a), RE
là đã tích hợp sẵn NAT T rồi phải không anh ?

Cảm ơn anh trước

Chào bạn,

Muốn biết có NAT T được hay không dễ lắm. Chỉ cần bạn cấu hình thử Easy VPN bằng SDM hay bằng tay.
Sau đó về nhà bạn cài Cisco-vpn-client rồi móc vào công ty qua kết nối này. Nếu chạy được thì chắn chắn có hỗ trợ NAT T vì ở nhà bạn qua modem thế nào cũng phải có NAT.

Chào anh Tuấn;
Nếu có thể được , anh có thể làm ơn cho mình thêm một vài lời khuyên trong việc cấu hình router Cisco 1721 ip sec vpn site to site.
Cụ thể : Phía đầu Việt Nam hiện nay . Mình chỉ có đường truyền ADSL với IP tĩnh ( chính xác là FTTH). Router 1721 có 2 interfaces là Ethernet , Fast Ethernet.

Nhà cung cấp dịch vụ config một interface khác để router 1721 của mình giao tiếp với BRAS của họ . IP Public tĩnh sẽ được gán trên động trên Dialer0 .
Chi tiết về các interface , route, nat overload ,acl như dưới đây.

interface Ethernet0
description to Internet
no ip address
ip nat outside
ip virtual-reassembly
ip route-cache flow
load-interval 30
full-duplex
pppoe enable
pppoe-client dial-pool-number 1
traffic-shape rate 1024000 25600 25600 1000
no cdp enable
!
interface FastEthernet0
description Vietnam LAN
ip address 10.196.246.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip route-cache flow
speed auto
!
interface Dialer0
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
ip route 0.0.0.0 0.0.0.0 Dialer0
ip nat inside source list 101 interface Dialer0 overload
!
access-list 10 permit 10.196.246.1 0.0.0.255
access-list 101 permit ip 10.196.246.1 0.0.0.255 any


Các máy trong LAN truy cập được ra internet thông qua cơ chế NAT Overload 1 ip public duy nhất.IP này là tĩnh ví dụ theo dạng 113.61.60.41 do dialer0 lấy về.

Chờ tin và Cảm ơn anh và mọi người trước.

Chào bạn,

Bạn cứ làm VPN site-to-site bình thường.
Có điều cần chú ý ACL cho nat bạn phải loại bỏ mạng Lan của site A đến mạng Lan của site B.
ví dụ của bạn:
access-list 101 deny ip 10.196.246.1 0.0.0.255 192.168.10.0 0.0.0.255 (với 192.168.1.0 là Lan của site B)
access-list 101 permit ip 10.196.246.1 0.0.0.255 any