CHƯƠNG 1: KHÁI QUÁT VỀ MẠNG RIÊNG ẢO .
1.1. Định nghĩa mạng riêng ảo .
1.2. Chức năng và lợi ích của VPN
1.3. Các dạng kết nối VPN
1.4. Các thành phần cơ bản của một VPN.
CHƯƠNG 2: CÁC GIAO THỨC XÂY DỰNG VPN
2.1. Giao thức đường hầm điểm - điểm PPTP
2.2. Giao thức đường hầm tầng 2_L2TP(Layer two Tunneling Protocol)
2.3. Giao thức bảo mật IPSec .
CHƯƠNG 3: TỔNG QUAN VỀ HỆ ĐIỀU HÀNH CISCO ISO .
3.1. Kiến trúc hệ thống
3.2. Cisco IOS CLI .
3.3. Các đặc điểm của phần mềm Cisco IOS .
3.4. Hoạt động của phần mềm Cisco IOS .
3.5. Quy trình cấu hình 4 bước IPSec/VPN trên Cisco IOS.
3.6. Kiểm tra lại việc thực hiện IPSec
CHƯƠNG 4: ỨNG DỤNG XÂY DỰNG HỆ THỐNG SITE-TO-SITE VPN
CHO CÔNG TY TNHH THÀNH ĐẠT.
4.1. Giới thiệu .
4.2. Khảo sát hiện trạng hệ thống.
4.3. Sơ đồ hiện trạng hệ thống .
4.4 Giải pháp
4.5 Lựa chọn giải pháp
4.5 Ứng dụng cấu hình site-to-site VPN cho hệ thống
78 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 2943 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đề tài Nghiên cứu mạng riêng ảo và xây dựng hệ thống site-To-site VPN cho công ty TNHH Thành Đạt, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ec transform sets).
Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations).
- 37 -
Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an toàn của đường
hầm.
Thực hiện một trao đổi DH bổ xung (khi đó các SA và các khoá mới
được tạo ra, làm tăng tính an toàn của đường hầm).
IKE Phase 2 chỉ có một chế độ được gọi là: Quick Mode
Chế độ này diễn ra khi IKE đã thiết lập được đường hầm an toàn ở IKE
Phase 1. IKE Phase 2 thoả thuận một tập chuyển đổi IPSec chung , tạo các khoá
bí mật chung sủ dụng cho các thuật toán an ninh IPSec và thiết lập các SA IPSec.
Quick mode trao đổi các nonce mà được sử dụng để tạo ra khoá mật mã chung
mới và ngăn cản các tấn công “Replay” từ việc tạo ra các SA khong có thật.
Quick mode cũng được sử dụng để thoả thuận lại một SA IPSec mới khi
SA IPSec cũ đã hết hạn.
Các tập chuyển đổi IPSec
Mục đích cuối cùng của IKE Phase 2 là thiết lập một phiên IPSec an toàn
giữa các điểm đầu cuối. Trước khi thực hiện được điều này thì mỗi cặp điểm cuối
cần thoả thuận múc độ an toàn cần thiết (ví dụ, các thuật toán xác thực và mật mã
dung trong phiên đó). Thay vì phải thoả thuận từng giao thức riêng lẻ, các giao
thức được nhóm thành các tập, chính là các tập chuyển đổi IPSec. Các tập
chuyển đổi này được trao đổi giữa hai phía trong Quick Mode. Nếu tìm thấy một
tập chuyển đổi tương đương ở hai phía thì quá trình thiết lập phiên tiếp tục,
ngược lại phiên đó sẽ bị loại bỏ.
Hình 2.20: tập chuyển đổi IPSec
- 38 -
Ví dụ: Router A gửi IPSec transform set 30 và 40 tới Router B , Router B so
sánh với IPSec transform set 55 của nó và thấy tương đương với IPSec transform
set 30 của Router A, các thuật toán xác thực và mật mã rong các tập chuyển đổi
này hình thành một kết hợp an ninh SA.
Kết hợp an ninh (SA)
Khi một tập chuyển đổi đã được thống nhất giữa hai bên, mỗi thiết bị VPN
sẽ đưa thông tin này vào một cơ sở dữ liệu. Thông tin này bao gồm các thuật toán
xác thức, mật mã; địa chỉ của đối tác, Chế độ truyền dẫn, thồi gian sống của khoá
.v.v. Những thông tin này được biết đến như là một kết hợp an ninh SA. Một SA
là một kết nối logic một chiều cung cấp sự bảo mật cho tất cả lưu lượng đi qua
kết nối. Bởi vì hầu hết lưu lượng là hai chiều nên phải cần hai SA, một cho đầu
vào và một cho đầu ra.
Thiết bị VPN sau đó sẽ đánh số SA bằng một số SPI (Security Parameter
Index – chỉ số thông số bảo mật). Thay vì gửi từng thông số của SA qua đường
hầm, mỗi phía chỉ đơn giản chèn số SPI vào ESP Header. Khi bên thu nhận được
gói sẽ tìm kiếm địa chỉ đích và SPI trong cơ sở dữ liệu của nó SAD (Security
Association database), sau đó xử lý gói theo các thuật toán được chỉ định bởi SPI
/ ra trong SPD
Hình 2.21 : Các kết hợp an ninh
- 39 -
IPSec SA là một sự tổ hợp của SAD và SPD. SAD được sử dụng để định
nghĩa địa chỉ IP đối tác đích, giao thức IPSec, số SPI. SPD định nghĩa các dịch
vụ bảo mật được sử dụng cho đối tác SA, các thuật toán mã hoá và xác thực,
mode, và thời gian sống của khoá.
Ví dụ, đối với một kết nối mạng Công ty – Ngân hàng , một đường hầm rất
an toàn được thiết lập giữa hai phía, đường hầm này sử dụng 3DES, SHA, tunnel
mode, và thời hạn của khoá là 28800, giá trị SAD là 192.168.2.1, ESD và SPI là
12. Với người sử dụng từ xa truy nhập vào e-mail thì đường hầm có mức bảo mật
thấp hơn được thoả thuận, sử dụng DES, MD5, tunnel mode, thời hạn của khoá là
28800, tương ứng với SPI là 39.
Thời hạn (lifetime) của một kết hợp an ninh
Vấn đề tương đương với thời hạn của một mật khẩu sử dụng mật khẩu trong
máy tính, thời hạn càng dài thì nguy cơ mất an toàn càng lớn. Các khoá và các
SA cũng vậy, để đảm bảo tính an toàn cao thì các khoá và các SA phải được thay
đổi một cách thường xuyên. Có hai thông số cần được xác định để thay đổi khoá
và SA:
Lifetime type - Xác định kiểu tính là theo số Byte hay theo thời gian đã
truyền đi.
Duration – Xác định đơn vị tính là Kbs dữ liệu hay giây.
Ví dụ: lifetime là 10000Kbs dữ liệu đã truyền đi hoặc 28800s. Các khoá và
SAs còn hiệu lực cho đến khi lifetime hết hạn hoặc có một nguyên nhân bên
ngoài, chẳng hạn một bên ngắt đường hầm, khi đó khoá và SA bị xoá bỏ.
Bước 4 – Đường hầm mật mã IPSec
Sau khi đã hoàn thành IKE Phase 2 và quick mode đã thiết lập các kết hợp
an ninh IPSec SA, lưu lượng trao đổi giữa Host A và Host B thông qua một
đường hầm an toàn. Lưu lượng được mật mã và giải mã theo các thuật toán xác
định trong IPSec SA.
- 40 -
Hình 2.22: Đường hầm IPSec được thiết lập
Bước 5 – Kết thúc đường hầm
Hình 2.23: Kết thúc đường hầm
Các kết hợp an ninh IPSec SA kết thúc khi bị xoá hoặc hết hạn. Một SA hết
hạn khi lượng thời gian chỉ ra dã hết hoặc một số lượng Byte nhất định đã truyền
qua đường hầm. Khi các SA kết thúc, các khoá cũng bị huỷ. Lúc đó các IPSec
SA mới cần được thiết lập, một IKE Phase 2 mới sẽ được thực hiện, và nếu cần
thiết thì sẽ thoả thuận một IKE Phase 1 mới. Một hoả thuận thành công sẽ tạo ra
cacSA và khoá mới. Các SA mới được thiết lập trước các SA cũ hết hạn để đảm
bảo tính liên tục của luồng thông tin.
- 41 -
2.3.3. Ví dụ về hoạt động của IPSec
Để tóm tắt toàn bộ quá trình hoạt động của IPSec, ta xét một ví dụ như
trong hình vẽ.
Hinh 2.24: Quá trình trao đổi thông tin
Trong ví dụ này, B muốn truyền thông an toàn với A. Khi gói dữ liệu tới
Router B, Router này sẽ kiểm tra chính sách an ninh và nhận ra gói này cần được
bảo vệ. Chính sách an ninh được cấu hình trước cũng cho biết Router A sẽ là
điểm cuối phía bên kia của đường hầm IPSec. Router B kiểm tra xem đã có
IPSec SA nào được thiết lập với Router A chưa? nếu chưa thì yêu cầu một quá
trình IKE để thiết lập IPSec SA. Nếu hai Router đã thoả thuận được một IPSec
SA thì IPSec SA có thể được tạo ra tức thời. Trong trưòng hợp, hai Router chưa
thoả thuận một IKE SA thì đầu tiên chúng phải thoả thuận một IKE SA trước khi
thoả thuận các IPSec SA. Trong quá trình này, hai Router trao đổi các chứng thực
số, các chứng thực này phải được ký trước bởi một CA mà hai phía cùng tin
tưởng. Khi phiên IKE đã được thiết lập, hai Router có thể thoả thuận IPSec SA.
Khi IPSec SA đã được thiết lập, hai Router sẽ thống nhất được thuật toán mật mã
(chẳng hạn DES), thuật toán xác thực (chẳng hạn MD5), và một khoá phiên sử
dụng chung. Tới đây, Router B có thể mật mã gói tin của B, đặt nó vào trong một
gói IPSec mới, sau đó gửi tới Router A. Khi Router A nhận gói IPSec, nó tìm
kiếm IPSec SA, xử lý gói theo yêu cầu, đưa về dạng gói tin ban đầu và chuyển
tới A. Quá trình phức tạp này được thực hiện hoàn toàn trong suốt đối với A và
B.
- 42 -
2.3.4. Các vấn đề còn tồn đọng trong IPSec
Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết cho việc bảo mật
một VPN thông qua mạng Internet nhưng nó vẫn còn trong giai đoạn phát triển
để hướng tới hoàn thiện. Tất cả các gói được sử lý theo IPSec sẽ làm tăng kích
thước gói tin do phải thêm vào các tiêu đề IPSec làm cho thông lượng của mạng
giảm xuống. Điều này có thể được giải quyết bằng cách nén dữ liệu trước khi mã
hóa, nhưng điều này chưa được chuẩn hóa.
- IKE vẫn là công nghệ chưa được chứng minh. Phương thức chuyển khoá
bằng tay lại không thích hợp cho mạng có số lượng lớn các đối tượng di động.
- IPSec được thiết kế chỉ để điều khiển lưu lượng IP mà thôi.
- Việc tính toán cho nhiều giải huật trong IPSec vẫn cồn là một vấn đề đối
với các trạm làm việc và máy PC cũ.
- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế
đối với chính phủ một số nước.
Sử dụng IPSec ở chế độ dường hầm cho phép các nút có thể có những địa
chỉ IP không hợp lệ nhưng vẫn có thể liên lạc được với các nút khác. Nhưng khi
chuyển xuống bảo mật mức Host thì các địa chỉ đó phải được quản lý cẩn thận
sao cho nhận dạng được nhau.
- 43 -
CHƯƠNG 3: TỔNG QUAN VỀ HỆ ĐIỀU HÀNH
CISCO ISO
3.1. Kiến trúc hệ thống
- CPU (đơn vị xử lý trung tâm): thực thi các câu lệnh của hệ điều hành để
thực hiện các nhiệm vụ như: khởi động hệ thống, định tuyến, điều khiển các cổng
giao tiếp mạng. CPU là một bộ vi xử lý. Trong các router lớn có thể có nhiều
CPU.
- RAM: Được sử dụng để lưu bảng định tuyến, cung cấp bộ nhớ cho chuyển
mạch nhanh, chạy tập tin cấu hình và cung cấp hàng đợi cho các gói dữ liệu.
Toàn bộ nội dung trên RAM sẽ bị xóa khi tắt điện.
- Flash: Bộ nhớ flash được sử dụng để lưu toàn bộ phần mềm hệ điều hành
Cisco IOS. Mặc định là router tìm IOS của nó trong flash. Ta có thể nâng cấp hệ
điều hành bằng cách chép phiên bản mới hơn vào flash. Đối với hầu hết các
router, IOS được chép lên RAM trong quá trình khởi động router. Còn một số
router thì IOS có thể chạy trực tiếp trên flash mà không cần chép lên RAM.
- NVRAM (Non-volative Random-acess Memory): Là bộ nhớ RAM không
bị mất thông tin, được sử dụng để lưu tập tin cấu hình. Trong một số thiết bị có
NVRAM và flash riêng, NVRAM được thực thi nhờ flash. Trong một số thiết bị,
flash và NVRAM là cùng 1 bộ nhớ. Trong cả 2 trường hợp, nội dung của
NVRAM vẫn được lưu giữ khi tắt điện.
- Bus: Phần lớn các router đều có bus hệ thống và CPU bus. Bus hệ thống
được sử dụng để thông tin liên lạc giữa CPU với các cổng giao tiếp và các khe
mở rộng. Loại bus này vận chuyển các gói dữ liệu đi và đến các cổng giao tiếp.
CPU sử dụng CPU bus để truy xuất các thành phần của router thông qua bộ nhớ
trên router. Loại bus này vận chuyển dữ liệu và các câu lệnh đi và đến các địa chỉ
của ô nhớ tương ứng.
- ROM (Read-Only Memory): Là nơi lưu đoạn mã của chương trình kiểm
tra khi khởi động. Nhiệm vụ chính của ROM là kiểm tra phần cứng của router
khi khởi động, sau đó chép phần mềm Cisco IOS từ flash vào RAM. Nội dung
- 44 -
của ROM không thể xóa được. Ta chỉ có thể nâng cấp ROM bằng cách thay chip
ROM mới.
- Các cổng giao tiếp: Là nơi router kết nối với bên ngoài. Router có 3 loại
cổng: LAN, WAN và console/AUX. Cổng LAN thường là cổng Ethenet hoặc
Token Ring. Các cổng này có thể gắn cố định trên router hoặc dưới dạng card
rời.
Cổng WAN có thể là cổng serial, ISDN, cổng tích hợp đơn vị kênh CSU
(Channel Service Unit). Tương tự như cổng giao tiếp LAN, các cổng giao tiếp
WAN cũng có thể cố định trên router hoặc ở dạng card rời.
Cổng console/AUX là cổng nối tiếp, chủ yếu được sử dụng để cấu hình
router. Hai cổng này không phải là loại cổng để kết nối mạng mà là để kết nối
vào máy tính thông qua modem hoặc thông qua cổng COM trên máy tính để thực
hiện cấu hình router.
- Nguồn điện: Cung cấp điện cho các thành phần của router. Một số router
lớn có thể sử dụng nhiều bộ nguồn hoặc nhiều card nguồn. Còn ở một số router
nhỏ, nguồn điện có thể là bộ phận nằm ngoài router.
3.2. Cisco IOS CLI
Cisco có 3 chế độ lệnh, với từng chế độ sẽ có quyền truy cập với những bộ
lệnh khác nhau.
- Chế độ người dùng: Đây là chế độ đầu tiên mà người sử dụng truy cập vào
sau khi đăng nhập vào router. Chế độ người dùng có thể được nhận ra bởi ký
hiệu “>” ngay sau tên router. Chế độ này chỉ cho phép thực thi một số câu lệnh
hiển thị các thông tin cơ bản của router như xem trạng thái của hệ thống. Hệ
thống không thể được cấu hình hay khởi động ở chế độ này.
- Chế độ đặc quyền: Chế độ này cho phép người dùng xem cấu hình của hệ
thống, khởi động lại hệ thống và đi vào chế độ cấu hình. Nó cũng cho phép thực
thi tất cả các câu lệnh ở chế độ người dùng. Chế độ này có thể được nhận ra bởi
ký hiệu “#” ngay sau tên router. Để chuyển từ chế độ người dùng sang chế độ đặc
quyền thì ta dùng lệnh enable tại dấu nhắc “>”. Nếu mật mã đã được cài đặt thì
- 45 -
ta phải gõ đúng mật khẩu thì mới có quyền truy cập vào chế độ đặc quyền. Chế
độ này cho phép người sử dụng làm bất cứ gì trên router, vì vậy nên sử dụng cẩn
thận. Để thoát khỏi chế độ đặc quyền, người dùng thực thi câu lệnh disable.
- Chế độ cấu hình: chế độ này cho phép người dùng chỉnh sửa cấu hình
đang chạy. Để vào chế độ cấu hình, ta gõ lệnh configure terminal từ chế độ đặc
quyền. Chế độ cấu hình lại có nhiều chế độ nhỏ khác nha, bắt đầu với chế độ cấu
hình toàn cục, nó được nhận ra bởi ký hiệu “(config)#” ngay sau tên router. Các
chế độ nhỏ trong chế độ cấu hình thay đổi tùy thuộc vào bạn muốn cấu hình cái
gì, từ bên trong dấu “(..)” sẽ thay đổi. Ví dụ: vào chế độ cổng giao tiếp thì ký
hiệu sẽ là “(config-if)#”. Để thoát khỏi chế độ cấu hình, người dùng có thể gõ
end hay nhấn tổ hợp phím Ctrl-Z.
Chú ý: ở các chế độ, tùy tình huống cụ thể mà câu lệnh “?” tại các vị trí sẽ
hiển thị lên các câu lệnh có thể có ở cùng mức. Ký hiệu này cũng có thể sử dụng
ở giữa câu lệnh để xem các tùy chọn phức tạp của câu lệnh.
3.3. Các đặc điểm của phần mềm Cisco IOS
Cisco cung cấp rất nhiều loại IOS cho các loại sản phẩm mạng khác nhau.
Để tối ưu hóa phần mềm IOS cho nhiều loại thiết bị, Cisco đã phát triển nhiều
loại phần mềm Cisco IOS. Mỗi loại phần mềm IOS phù hợp với từng loại thiết
bị, với mức dung lượng bộ nhớ và với nhu cầu của khách hàng.
Mặc dù có nhiều phần mềm IOS khác nhau cho nhiều loại thiết bị với nhiều
đặc tính khác nhau nhưng cấu trúc lệnh cấu hình cơ bản thì vẫn giống nhau. Do
đó kỹ năng cấu hình và xử lý sự cố của bạn có thể ứng dụng cho nhiều loại sản
phẩm khác nhau
Tên của Cisco IOS được quy ước chia ra thành 3 phần như sau:
- Phần thứ nhất thể hiện loại thiết bị mà phần mềm IOS này có thể sử dụng
được
- Phần thứ hai thể hiện các đặc tính của phần mềm IOS
- Phần thứ ba thể hiện nơi chạy phần mềm IOS trên router và cho biết
phần mềm này được cung cấp dưới dạng nén hay không nén.
- 46 -
Thông thường các phiên bản IOS mới thì có thêm nhiều đặc tính mới, do đó
nó cũng sẽ đòi hỏi thêm nhiều bộ nhớ. Ta có thể dùng lệnh show version để
kiểm tra phần mềm IOS hiện tại và dung lượng flash còn trống. Hoặc dùng lệnh
show flash để xem dung lượng của bộ nhớ flash
3.4. Hoạt động của phần mềm Cisco IOS
Thiết bị Cisco IOS có 3 chế độ hoạt động sau:
+ ROM monitor
+ Boot ROM
+ Cisco IOS
Thông thường trong quá trình khởi động của router, một trong các chế độ
hoạt động trên được tải lên RAM để chạy. Người quản trị hệ thống có thể cài đặt
giá trị cho thanh ghi để điều khiển chế độ khởi động mặc định của router.
Chế độ ROM monitor thực hiện quá trình bootstrap và kiểm tra phần cứng.
Chế độ này được sử dụng để khôi phục lại hệ thống khi bị lỗi nghiêm trọng hoặc
khi người quản trị mạng bị mất mật mã. Chúng ta chỉ có thể truy cập vào chế độ
ROM monitor bằng đường kết nối vật lý trực tiếp vào cổng console trên router.
Ngoài ra chúng ta không thể truy cập vào chế độ này bằng bất kỳ cổng nào khác.
Khi router ở chế độ Boot ROM, chỉ có phần chức năng của Cisco IOS là
hoạt động được. Chế độ boot ROM cho phép bạn chép được lên bộ nhớ flash nên
chế độ này thường được sử dụng để thay thế phần mềm Cisco IOS trong flash. Ta
dùng lệnh copy tftp flash để chép phần mềm IOS trên TFTP server vào bộ nhớ
flash trên router.
Router muốn hoạt động bình thường thì phải chạy được toàn bộ phần mềm
IOS trong flash. Ở một số thiết bị, phần mềm IOS được chạy trực tiếp từ flash.
Tuy nhiên, hầu hết các Cisco router đều chép phần mềm IOS lên RAM rồi chạy
từ RAM. Một số phần mềm IOS lưu trong flash dưới dạng nén và được giải nén
khi chép lên RAM.
- 47 -
3.5. Quy trình cấu hình 4 bước IPSec/VPN trên Cisco IOS
Ta có thể cấu hình IPSec trên VPN qua 4 bước sau đây:
3.5.1. Chuẩn bị cho IKE và IPSec
- Chỉ rõ lưu lượng cần được bảo vệ (permit) và lưu lượng không cần bảo vệ
(deny).
- Thiết lập các chính sách sẽ sử dụng để bảo vệ kết nối giữa 2 đối tác, bao
gồm : kiểu xác thực (khóa dùng chung, mã hóa RSA, hoặc chữ ký RSA), các
thuật toán mã hóa (DES, 3DES, AES), các giao thức (AH và ESP), khóa trao đổi
Diffe-Hellman,...
3.5.2. Cấu hình cho IKE Phase 1
a) IKE Phase 1 : Quản lý việc kết nối
Định nghĩa các chính sách IKE Phase 1: Để tạo một IKE Phase 1 quản lý
việc kết nối, bạn cần phải chỉ ra các chính sách sẽ chỉ rõ cách mà kết nối này
được bảo vệ. Nếu tất cả các đối tác có nhiều chính sách giống nhau, bạn chỉ cần
một chính sách để áp dụng cho tất cả các đối tác. Tuy nhiên nếu có 2 đối tác với
2 chính sách khác nhau thì phải tạo 2 chính sách riêng rẽ. Để tạo một chính sách
IKE Phase 1, ta sử dụng lệnh sau:
Router(config)# crypto isakmp policy priority_#
Trong đó : priority_# có thể là từ 1 đến 10.000. Tham số này là rất quan
trọng vì nó quyết định chính sách nào sẽ được sử dụng, khi đó các đối tác sẽ so
sánh từ cao đến thấp tham số này để quyết định. Chính sách đầu tiên mà đối tác
chấp nhận sẽ được sử dụng. Nếu không có chính sách thống nhất nào được tìm
thấy giữa 2 đối tác thì việc kết nối dữ liệu an toàn sẽ không được thiết lập.
Cú pháp đầy đủ để định nghĩa IKE Phase 1 cho quản lý kết nối:
Router(config)# cryto isakmp policy priority_#
Router(config-isakmp)#authentication {rsa-sig | rsa-encr | pre-shre}
Router(config-isakmp)#encrytion {des | 3des | aes | aes 192 | aes 256}
Router(config-isakmp)#hash {md5 | sha}
Router(config-isakmp)#group {1 | 2 | 5}
Router(config-isakmp)#lifetime #_of_seconds
- 48 -
b) Xác thực đối tác IKE Phase 1
Có nhiều cách để xác thực đối tác IKE Phase 1, sau đây là một số cách xác
thực thường dùng:
+ Nhận dạng bằng kiểu: địa chỉ (address), tên đối tác (hostname), đặc trưng
của đối tác (dn).
Cú pháp :
Router(config)# crypto isakmp identity {address | hostname | dn}
+ Xác thực với khóa chung:
Cú pháp:
Router(config)#crypto isakmp key the_key address IP_address_of_peer
hoặc: Router(config)# crypto isakmp key the_key hostname
hostname_of_peer
3.5.3. Cấu hình cho IKE Phase 2
a) Cấu hình dạng mã hóa cho gói dữ liệu
- Sau đây ta sẽ cấu hình Cisco IOS IPSec bằng cách sử dụng chính sách
bảo mật IPSec (IPSec Security Policy) để định nghĩa các chính sách bảo mật
IPSec (transform set).
- Transform set là sự kết hợp của các nhân tố sau:
+ Cơ chế cho việc chứng thực : chính sách AH
+ Cơ chế cho việc mã hóa: chính sách ESP
+ Chế độ IPSec (phương tiện truyền thông cùng với đường hầm bảo mật)
- 49 -
Hình 3.1: cấu hình transform sets
- Transform set bằng với việc kết hợp các AH transform, ESP transform và
chế độ IPSec (hoặc cơ chế đường hầm bảo mật hoặc chế độ phương tiện truyền
thông). Transform set giới hạn từ một cho tới hai ESP transform và một AH
transform.
- Cú pháp
Router(config)#crypto ipsec transform-set transform-set-name
transform1 [transform2[transform3] ]
trong đó:
transform-set-name : chỉ định tên của transform được tạo hay được thay
đổi
transform1, transform2, transform3 : Những transform được định nghĩa
cho giao thức bảo mật IPSec (IPSec Security Protocol) và thuật toán.
- Bạn có thể cấu hình nhiều transform set và chỉ rõ một hay nhiều transform
set trong mục crypto map. Định nghĩa các transform set trong mục crypto map
được sử dụng trong trao đổi IPSec SA để bảo vệ dữ liệu được định nghĩa bởi
- 50 -
ACL của mục crypto map. Trong suốt quá trình trao đổi, cả 2 bên sẽ tìm kiếm
các transform set giống nhau ở cả 2 phía. Khi mà các transform set được tìm
thấy, nó sẽ được sử dụng để bảo vệ dữ liệu trên đường truyền như là một phần
của các IPSec SA ở cả 2 phía.
- Khi ISAKMP không được sử dụng để thiết lập các SA, một transform set
riêng rẽ sẽ được sử dụng. Transform set đó sẽ không được trao đổi.
- Thay đổi cấu hình Transform set:
B1: Xóa các transform set từ crypto map
B2: Xóa các transform set trong chế độ cấu hình global
B3: Cấu hình lại transform set với những thay đổi
B4: Gán transform set với crypto map
B5: Xóa cơ sở dữ liệu SA (SA database)
B6: Theo dõi các trao đổi SA và chắc chắn nó hoạt động tốt
- Cấu hình cho việc trao đổi transform:
Hình 3.2 Cấu hình cho việc trao đổi transform
- Transform set được trao đổi trong suốt chế độ quick mode trong IKE
phase 2 là các transform set mà bạn cấu hình ưu tiên sử dụng. Bạn có thể cấu
- 51 -
hình nhiều transform set và có thể chỉ ra một hay nhiều transform set trong mục
crypto map. Những transform set được định nghĩa trong mục crypto map được
sử dụng trong trao đổi IPSec SA để bảo vệ dữ liệu được định nghĩa bởi ACL của
mục crypto map.
Trong suốt quá trình trao đổi mỗi bên sẽ tìm kiếm các transform set giống
nhau ở cả 2 bên như minh họa ở hình trên. Các transform set của Router A được
so sánh với một transform set của Router B và cứ tiếp tục như thế. Router A
transform set 10, 20, 30 được so sánh với transform set 40 của router B. Nếu
không trả về kết quả đúng thì tất cả các transform set của router A sau đó sẽ được
so sánh với transform set tiếp theo của router B. Cuối cùng transform set 30 của
router A giống với transform set 60 của router B. Khi transform set được tìm
thấy, nó sẽ được chọn và áp dụng cho việc bảo vệ đường truyền như là một phần
của IPSec SA của cả 2 phía. IPSec ở mỗi bên sẽ chấp nhận một transform duy
nhất được chọn cho mỗi SA.
b) Cấu hình thời gian tồn tại của gói dữ liệu và các tùy chọn bảo mật khác
- IPSec SA được định nghĩa là thời gian tồn tại của IPSec SA trước khi thực
hiện lại quá trình trao đổi tiếp theo. Cisco IOS hỗ trợ giá trị thời gian tồn tại có
thể áp dụng lên tất cả các crypto map. Giá trị của global lifetime có thể được ghi
đè với những mục trong crypto map.
Hình 3.3 Cấu hình thời gian tồn tại của IPSec
- Cấu trúc và các tham số của câu lệnh được định nghĩa như sau:
- 52 -
cypto ipsec security-association lifetime {seconds seconds|kilobytes
kilobytes}
Trong đó:
sconds seconds : chỉ định khoảng thời gian tồn tại của IPSec SA. Mặc định
là 3600 giây (1 giờ)
kilobytes kilobytes : chỉ định dung lượng trong lưu thông IPSec giữa 2 bên
sử dụng để đưa SA trước khi SA hết hạn. Giá trị mặc định 4.608.000 KB
- Cisco khuyến cáo nên sử dụng các giá trị mặc định. Bản thân thời gian tồn
tại của mỗi IPSec SA có thể được cấu hình bằng cách sử dụng crypto map.
- Để trả về giá trị mặc định ban đầu sử dụng dạng câu lệnh no.
c) Tạo crypto ACLs bằng danh sách truy cập mở rộng (Extends access list)
- Crypto ACLs được định nghĩa để bảo vệ những dữ liệu được truyền tải
trên mạng. Danh sách truy cập mở rộng (Extend IP ACLs) sẽ chọn những luồng
dữ liệu (IP traffic) để mã hóa bằng cách sử dụng các giao thức truyền tải
(protocol), địa chỉ IP (IP address), mạng (network), mạng con (subnet) và cổng
dịch vụ (port). Mặc dù cú pháp ACL và extend IP ACLs là giống nhau, nghĩa là
chỉ có sự khác biệt chút ít trong crypto ACLs. Đó là cho phép (permit) chỉ những
gói dữ liệu đánh dấu mới được mã hóa và từ chối (deny) với những gói dữ liệu
được đánh dấu mới không được mã hóa. Crypto ACLs hoạt động tương tự như
extends IP ACL đó là chỉ áp dụng trên những luồng dữ liệu đi ra (outbound
traffic) trên một interface.
Hình 3.4 Tạo Crypto ACLs sử dụng Access list mở rộng
- 53 -
- Cú pháp câu lệnh và các tham số được định nghĩa cho dạng cơ bản của
danh sách extend IP ACL như sau:
access-list access-list-number { permit | deny} protocol source
Source-wildcard destination destination-wildcard [precedence
precedence] [tos tos] [log]
Trong đó :
access-list-number : tham số
Permit : cho biết lưu lượng cần được bảo vệ
Deny : cho biết lưu lượng không cần được bảo vệ
d) Cấu hình IPSec crypto maps
Một crypto map liên kết tất cả các thành phần của IKE Phase 2 để xây
dựng những kết nối dữ liệu cần được bảo vệ với các đối tác ở xa. Nó chứa các
thông tin sau:
+ Tên hoặc địa chỉ của đối tác từ xa.
+ Lưu lượng cần được bảo vệ, được chỉ ra trong crypto ACL
+ Transform set được dùng để bảo vệ lưu lượng
+ Thời gian sống lifetime của gói dữ liệu
Một số nguyên tắc khi tạo Crypto map :
+ Nó phải chứa địa chỉ IP của đối tác
+ Nó phải chứa phương thức thỏa thuận : có thể tạo bằng tay hoặc
ISAKMP/IKE động
+ Nó phải chứa lưu lượng cần được bảo vệ
+ Crypto ACLs tránh sự trùng lặp giữa các mục khác nhau của Crypto
map (Đây là vấn đề thường gặp trong trường hợp tạo nhiều kết nối IPSec với
nhiều đối tác).
+ Ít nhất một transform set thống nhất phải tồn tại trên các đối tác.
Một Crypto map có thể có một hoặc nhiều mục. Chúng ta nên có nhiều
mục trong Crypto map khi gặp các trường hợp sau:
+ Khi cần kết nối tới nhiều đối tác.
- 54 -
+ Khi muốn nhiều kiểu bảo mật khác nhau tới cùng một đối tác hoặc với các
đối tác khác nhau.
+ Khi sử dụng ISAKMP tạo bằng tay. Trong trường hợp này, Crypto ACL
yêu cầu bạn chỉ rõ lưu lượng được bảo vệ có thể chỉ có trạng thái permit trong
đó. Nếu bạn cần nhiều trạng thái permit, bạn cần một Crypto map riêng biệt
cho mỗi trạng thái permit.
Để tạo một Crypto map, ta dùng lệnh sau:
Router(config)# crypto map name_of_crypto_map sequence_#
{ipsec-isakmp | ipsec-manual | cisco}
trong đó :
name_of_crypto_map : tên của Crypto map. Tên này phải là duy nhất
trong tất cả các tên của Crypto map trên router của bạn.
sequence_# : xác định mục cụ thể cho crypto map. Router sử dụng
những số thứ tự này để quyết định những tham số dùng để bảo vệ cho những đối
tác riêng biệt. Số thứ tự này là rất quan trọng vì router xử lý chúng theo trình tự
từ thấp đến cao : Mục cần bảo mật cao nhất nên có số thứ tự thấp nhất và mục
cần bảo mật thấp nhất nên có số thứ tự cao nhất.
ipsec-isakmp : phương thức này sử dụng ISAKMP/IKE để thỏa thuận các
tham số bảo mật, bao gồm thông tin về khóa
ipsec-manual : phương thức này yêu cầu bạn cấu hình bằng tay các tham số
ISAKMP/IKE, bao gồm xác thực gói tin và các khóa mã hóa được sử dụng (chỉ
nên dùng khi side đối tác không hỗ trợ ISAKMP/IKE)
cisco : phương thức này sử dụng công nghệ cũ của Cisco VPN gọi là Cisco
Encryption Technology (CET). Cisco đã thay thế CET với IPSec
e) Áp dụng các Crypto maps vào các cổng giao tiếp:
Sau khi đã tạo Crypto map, ta cần phải kích hoạt nó trên một cổng của
router. Với crypto maps, chỉ có một crypto map có thể được kích hoạt trên một
cổng của router. Tuy nhiên bạn có thể có nhiều crypto map giống hoặc khác
nhau được kích hoạt trên các cổng khác nhau của router. Để kích hoạt crypto
map trên một cổng, ta sử dụng lệnh sau:
- 55 -
Router(config)# interface type [slot_#/]port_#
Router(config-if)#crypto map name_of_the_crypto_map
Xác nhận việc cấu hình một Crypto map :
Router# show crypto map [{interface interface_name] | tag
crypto_map_name}]
Lệnh này sẽ hiển thị cấu hình Crypto map của bạn. Trong đó :
Interface_name : cổng mà crypto map được kích hoạt trên đó.
Crypto_map_name : tên của crypto map
3.6. Kiểm tra lại việc thực hiện IPSec
- Kiểm tra IKE Phase 1
Router# show crypto isakmp sa
Kết quả :
ISAKMP/IKE
Mode
State Chú thích
MM_NO_STATE quản lý SA đã được tạo ra
trên router, nhưng vẫn chưa
được thỏa thuận giữa các đối
tác.
MM_SA_SETUP Các đối tác thỏa thuận
thành công chính sách IKE.
MM_KEY_EXCH Trao đ ổi DH xảy ra và
một khóa bảo mật dùng chung
được tạo ra
IKE Phase 1
chế độ chính
MM_KEY_AUTH Xác nhận thành công và
IKE Phase 2 có thể bắt đầu.
- 56 -
ISAKMP/IKE
Mode
State Chú thích
AG_NO_STATE Quản lý SA đã được tạo ra
nhưng chưa được thỏa thuận
giữa các đối tác.
AG_INIT_EXCH Các đối tác thỏa thuận
thành công chính sách IKE và
trao đổi DH xảy ra với 1 khóa
bảo mật chung được tạo ra.
IKE Phase 1
chế độ nhanh
AG_AUTH Xác nhận thành công và
IKE Phase 2 có thể bắt đầu.
IKE Phase 2
Quick Mode
QM_IDLE Thiết lập thành công một
kết nối với đối tác từ xa
- Kiểm tra IKE Phase 2
Router# show crypto ipsec sa
Nếu kết nối thành công ta sẽ thấy được số gói tin được đóng gói và mã hóa
- Sử dụng lệnh debug để sửa lỗi : Sau đây là một số lệnh cơ bản :
+ debug crypto engine : dùng để khắc phục quá trình mã hóa và giải mã bởi
router
+ debug crypto isakmp : Xử lý các kết nối IKE Phase 1
+ debug crypto key-exchange : Xử lý các vấn đề trao đổi khóa
+ debug crypto pki transactions : Xử lý khóa PKI
+ debug crypto ipsec : Xử lý các kết nối IKE Phase 2
- 57 -
CHƯƠNG 4: ỨNG DỤNG XÂY DỰNG HỆ THỐNG SITE-TO-SITE VPN
CHO CÔNG TY TNHH THÀNH ĐẠT
4.1. Giới thiệu
Công ty TNHH Thành Đạt là nhà phân phối chuyên nghiệp các sản phẩm
Công nghệ thông tin-tin học viễn thông, máy văn phòng, thiết bị ngân hàng, thiết
bị an ninh, thiết bị giáo dục, …Dịch vụ tư vấn thiết kế, lắp đặt, triển khai các dự
án công nghệ thông tin (tổng đài điện thoại, hệ thống mạng LAN,
WAN,…).Chuyển giao công nghệ trong lĩnh vực điện tử tin học, viễn thông…
Sửa chữa bảo hành, bảo trì bảo dưỡng các sản phẩm điện, điện tử-tin học, điện
lạnh…Lắp ráp, mua bán, cung cấp vật tư thiết bị điện tử tin học, viễn thông, máy
văn phòng, phần mềm ứng dụng, thiết bị ngân hang, giáo dục, an ninh…
Trong quá trình hoạt động của mình, công ty không ngừng phát triển lớn
mạnh, mở rộng tầm hoạt động với nhiều chi nhánh, hợp tác với các đối tác trong
và ngoài nước để làm chủ và đi đầu các công nghệ mới nhất trong lĩnh vực Công
nghệ, đặc biệt là công nghệ thông tin, internet và thương mại điện tử.
Công ty có trụ sở chính tại số 12-T18-TT Cầu Diễn – Thành phố Hà Nội.
4.2. Khảo sát hiện trạng hệ thống
Qua quá trình khảo sát trụ sở chính của công ty ở Hà Nội và một chi nhánh
của công ty ở TP Hồ Chí Minh, ta thu được kết quả như sau:
Ở Hà Nội :
+ Đã có kết nối mạng nội bộ trong công ty
+ Số lượng máy tính : 93 máy tính (dùng hệ điều hành Windows XP)
+ Có 04 máy chủ : Database server, Mail server, Web server, Backup server
sử dụng hệ điều hành Linux.
+ Đường kết nối Internet hiện tại là đường thuê bao ADSL 4Mbps của
VDC, tốc độ tối đa: Download/Upload là 4096 Kbps/640 Kbps, với cước trọn gói
là 1.818.181 VNĐ/tháng, được cấp 01 IP tĩnh (miễn phí)
+ Các thiết bị mạng hiện có gồm :01 modem ADSL, 01 Switch Planet 16
cổng RJ45, 06 Switch Planet 24 cổng RJ45.
Ở TP Hồ Chí Minh:
+ Cũng đã có kết nối mạng nội bộ
- 58 -
+ Số lượng máy tính : 86 (cài đặt hệ điều hành Windows XP)
+ Cũng có 04 máy chủ: Database server, Mail server, Web server, Backup
server, sử dụng hệ điều hành Linux
+ Đường kết nối internet hiện tại là đường thuê bao ADSL 4Mbps của
VDC, tốc độ tối đa: Download/Upload là 4096 Kbps/640Kbps, cước trọn gói là
1.818.181 VNĐ/tháng, được cấp 01 IP tĩnh (miễn phí)
+ Các thiết bị mạng hiện có gồm :01 modem ADSL, 01 Switch Planet 16
cổng RJ45, 06 Switch Planet 24 cổng RJ45.
4.3. Sơ đồ hiện trạng hệ thống
Hình 4.1: Sơ đồ hiện trạng hệ thống mạng ở Hà Nội
Vì sơ đồ hệ thống của trụ sở ở Hà Nội và chi nhánh ở TP Hồ Chí Minh là
tương đồng nhau nên ta chỉ cần xét sơ đồ hệ thống mạng ở Hà Nội như hình 4.1
để thấy được hiện trạng hệ thống mạng của chi nhánh.
- 59 -
Đánh giá hệ thống:
+ Sơ đồ mạng được mô phỏng một cách khái quát căn cứ vào kết quả khảo
sát hiện trạng hệ thống mạng ở Hà Nội và chi nhánh ở TP Hồ Chí Minh.
+ Các thiết bị sử dụng trong hệ thống khá đạt yêu cầu về chất lượng cũng
như các tính năng cần thiết cho mục đích sử dụng của công ty.
+ Hệ thống mạng nội bộ đã được lắp đặt đạt tiêu chuẩn
+ Đường truyền ADSL tốc độ cao và khá đảm bảo, ổn định
+ Các nhân viên có trình độ chuyên môn đáp ứng được nhu cầu sử dụng
Tuy nhiên vẫn còn tồn tại một số vấn đề về bảo mật :
+ Nguy cơ mất mát thông tin từ ngoài Internet: Mạng của công ty đã kết
nối đến Internet, nhưng không có một thiết bị bảo mật nào bảo vệ hệ thống khỏi
các nguy cơ xâm nhập từ bên ngoài vào. Những hacker có thể sử dụng virus dưới
dạng Trojan để truy cập vào hệ thống ăn cắp hoặc phá hoại thông tin. Trong khi
đó, các nhân viên của công ty thường xuyên phải trao đổi với nhau qua Mail,
Web chia sẻ,…trên mạng Internet, do đó khả năng dữ liệu bị tấn công là rất cao,
mất an toàn thông tin.
+ Nguy cơ mất mát thông tin từ bên trong hệ thống : Với các Switch hiện tại
(của hãng Planet), những người trong hệ thống mạng có thể dễ dàng dùng các
chương trình nghe lén (sniffer) để lấy cắp các thông tin được truyền đi trong
mạng và nguy cơ mất mát thông tin từ trong hệ thống là nguy cơ ngày càng cao
trong các hệ thống mạng hiện nay.
Chi phí cho hệ thống mạng ở Hà Nội:
+ Các thiết bị:
STT Thiết bị Đơn giá Số lượng Thành tiền
1 Modem ADSL 100$ 1 100$
2 Switch Planet 16 cổng 40$ 1 40$
3 Switch Planet 24 cổng 60$ 6 360$
4 Máy chủ IBM 3.000$ 4 12.000$
5 Tổng tiền 12.500$
- 60 -
Cước phí mạng hàng tháng : 1.818.181 VNĐ
4.4 Giải pháp
Từ hiện trạng hệ thống đã khảo sát ở trên và những yêu cầu mới đặt ra về
chat luong duong truyen va an toàn thông tin, ta có thể đưa ra 2 giải pháp sau:
4.4.1 Sử dụng dịch vụ Internet Leased line
Đây là kênh thuê riêng có tốc độ tải xuống và tải lên ngang bằng nhau tại
mọi thời điểm, đảm bảo độ an toàn, tin cậy cao. Tuy nhiên chi phí lắp đặt và
cước phí hàng tháng là rất cao, chưa kể những chi phí khác phát sinh (bảo
trì,khắc phục sự cố,). Có thể tham khảo bảng giá dưới đây để thấy rõ điều đó:
Cước tính theo lưu lượng STT
Tốc độ (Kbps)
Cước thuê cổng
(VNĐ/tháng)
Cước l/lượng
(VNĐ/Mb)
Cước tối đa
(VNĐ/tháng)
1 64 3,000,000 540 10,485,000
2 128 3,750,000 540 15,761,000
3 192 4,500,000 540 20,913,000
4 256 5,250,000 540 26,066,000
5 320 6,000,000 540 30,410,000
6 384 6,750,000 540 34,755,000
7 448 7,500,000 540 39,250,000
8 512 8,250,000 540 43,746,000
9 576 9,000,000 540 48,141,000
10 640 9,750,000 540 52,536,000
11 704 10,500,000 540 56,930,000
12 768 11,250,000 540 61,841,000
13 832 12,000,000 540 65,126,000
14 892 12,750,000 540 68,412,000
15 960 13,500,000 540 71,698,000
16 1024 15,000,000 540 74,984,000
17 1088 15,200,000 540 77,492,000
18 1152 16,059,000 540 80,001,000
19 1216 16,588,000 540 82,510,000
- 61 -
Bảng giá trên là của VDC cung cấp có hiệu lực bắt đầu từ tháng 11 năm
2005, áp dụng cho các doanh nghiệp và các mức cước trên chưa bao gồm thuế
GTGT.
Sơ đồ hệ thống leased-line tổng quát:
Hình 4.2: Sơ đồ leased-line kết nối 2 chi nhánh
Xét trụ sở ở Hà Nội khi sử dụng đường leased-line 128Kbps, ta có sơ đồ hệ
thống mạng như sau:
Hình 4.3: Sơ đồ hệ thống mạng ở Hà Nội sử dụng đường Leased-line
- 62 -
Chi phí cho việc lắp đặt hệ thống sẽ như sau:
+ Các thiết bị:
STT Thiết bị Đơn giá Số lượng Thành tiền
1 Router Cisco 2.200$ 1 2.000$
2 Switch CAT 2950 16 cổng 800$ 1 800$
3 Switch CAT 2950 24 cổng 1.300$ 6 7.800$
4 Máy chủ IBM 3.000$ 4 12.000$
5 Modem Leased-line 600$ 1 600$
6 Tông tiền 23.200$
+ Chi phí lắp đặt : 3.000.000 VNĐ
+ Cước trọn gói hàng tháng : 15.761.000 VNĐ
4.4.2 Thiết lập mạng riêng ảo VPN
Từ Hiện trạng hệ thống đã khảo sát ở trên và các loại VPN đã tìm hiểu ở
phần lý thuyết, ta có thể áp dụng cấu hình site-to-site VPN cho công ty, cụ thể là
Intranet VPN cho 2 chi nhánh trên.
Hình 4.4: Sơ đồ VPN kết nối 2 chi nhánh
- 63 -
Xét trụ sở ở Hà Nội sử dụng thuê bao ADSL 4Mbps, sơ đồ sẽ như sau:
Hình 4.5: Sơ đồ hệ thống mạng ở Hà Nội khi sử dụng VPN
Chi phí cho việc lắp đặt hệ thống sẽ như sau:
+ Các thiết bị:
STT Thiết bị Đơn giá Số lượng Thành tiền
1 Router Cisco 2.200$ 1 2.000$
2 Switch CAT 2950 16 cổng 800$ 1 800$
3 Switch CAT 2950 24 cổng 1.300$ 6 7.800
4 Máy chủ IBM 3.000$ 4 12.000$
5 Card WIC-ADSL 70$ 1 70$
6 Tổng tiền 22.670$
Tổng chi phí cho các thiết bị : 22.670$ (tương đương 362.720.000 VNĐ)
+ Chi phí lắp đặt : 400.000 VNĐ
+ Cước trọn gói hàng tháng : 1.818.181 VNĐ
- 64 -
Về vấn đề bảo mật, giải pháp này bảo mật dựa trên những cơ chế sau
+ Thiết lập tài khoản và mật khẩu chỉ dành cho những người có đặc quyền
đăng nhập vào router. Đồng thời các tài khoản và mật khẩu này cũng có thể được
mã hóa bằng những thuật toán mã hóa mạnh nhằm tăng tính bảo mật.
+ Thiết lập danh sách điều khiển truy cập ACLs để cho phép hay không cho
phép một lưu lượng qua router.
+ Dữ liệu được trao đổi ngầm trong đường hầm VPN sẽ được mã hóa bằng
những thuật toán phức tạp và được giải mã ở phía thu. Như vậy không một ai có
thể truy cập thông tin mà không được phép. Thậm chí nếu có lấy được thì cũng
không đọc được.
+ Địa chỉ IP cũng được bảo mật vì thông tin được gửi đi trên VPN đã được
mã hóa, do đó các địa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các
địa chỉ bên ngoài Internet.
4.5 Lựa chọn giải pháp
Dựa trên những phân tích nêu trên có thể thấy về mặt chất lượng và bảo mật
thông tin thì giải pháp leased-line đáp ứng tốt yêu cầu, nhưng về tài chính thì lại
quá lớn (cụ thể là cước phí thuê bao mạng leased-line hàng tháng) , nhất là đối
với công ty có nhiều chi nhánh như công ty TNHH Thành Đạt.
Với giải pháp site-to-site VPN : chất lượng đường truyền khá tốt và ngày
càng được cải thiện hơn; dữ liệu được truyền trong đường hầm VPN cũng rất an
toàn; chi phí để lắp đặt, vận hành và khai thác hệ thống VPN lại thấp, phù hợp
với công ty có nhiều chi nhánh như công ty TNHH Thành Đạt.
Từ đó có thể thấy ứng dụng site-to-site VPN cho công ty TNHH Thành Đạt
là giải pháp khả thi vì nó đảm bảo một số yêu cầu : chi phí thấp, hiệu quả cao,
bảo mật khá an toàn, phù hợp với tình hình hoạt động của công ty hiện nay cũng
như mở rộng về sau.
- 65 -
4.5 Ứng dụng cấu hình site-to-site VPN cho hệ thống :
4.5.1 Mô hình hệ thống
Hình 4.6: Mô hình hệ thống mạng
4.5.2 Các bước cấu hình
- Bước 1: Cấu hình cho Router R: Xem phụ lục trang 68
- Bước 2 Cấu hình cho Router HN : Xem phụ lục trang 68
- Bước 3: Cấu hình cho Router HCM : Xem phụ lục trang 70
- Bước 4 : Kiểm tra lại việc thực hiện IPSec VPN
+ Kiểm tra trên Router HN
Hình 4.7: Kiểm tra IKE phase 1 trên Router ở Hà Nội
- 66 -
Hình 4.8: Kiểm tra IKE phase 2 trên Router ở Hà Nội
+ Kiểm tra trên Router HCM
Hình 4.9: Kiểm tra IKE phase 1 trên Router ở TP Hồ Chí Minh
- 67 -
Hình 4.10: Kiểm tra IKE phase 2 trên Router ở TP Hồ Chí Minh
- 68 -
KẾT LUẬN
Công nghệ mạng riêng ảo VPN cho phép tận dụng cơ sở hạ tầng mạng công
cộng (Internet) để xây dựng mạng WAN riêng, với những ưu điểm về mặt giá
thành, phạm vi không hạn chế, linh hoạt trong triển khai và mở rộng mạng. Ngày
nay, VPN đã rất hữu ích và sẽ càng hữu ích trong tương lai. Các chuẩn đã được
thi hành, điều đó sẽ cải tiến khả năng liên vận hành và quản lý. Chất lượng mạng
trên các VPN cũng sẽ được cải thiện, cho phép cung cấp các ứng dụng mới như
hội nghị truyền hình, điện thoại IP, các dịch vụ đa phương tiện.
Đề tài này đã tìm hiểu một số vấn đề kỹ thuật liên quan đến việc thực hiện
VPN, nội dung gồm những vấn đề chính sau:
- Các khái niệm cơ bản, đặc điểm của các giao thức đường hầm PPTP, L2TP
và IPSec. Trong đó, IPSec đáp ứng được tốt các nhu cầu cao về an toàn dữ liệu,
là giải pháp chính cho bảo mật các VPN của các tổ chức, công ty.
- Các thành phần cơ bản của mạng VPN : các yêu cầu về các thiết bị phần
cứng, phần mềm để xây dựng một mạng VPN. Một điều thuận lợi là hiện nay do
sự phát triển của công nghệ nên các thiết bị phần cứng và phần mềm được tích
hợp nhiều chức năng, dễ sử dụng và dễ quản lý. Hơn nữa cơ sở hạ tầng mạng
công cộng ngày một hoàn thiện nên việc xây dựng mạng VPN dễ dàng hơn và
chất lượng của VPN cũng tốt hơn, đáp ứng được các dịch vụ mới.
- Giao thức bảo mật IPSec : bảo mật IP ở cấp độ gói, thực hiện 2 quá trình
chính là xác thực mà mật mã. Phần này giới thiệu một số thuật toán xác thực mật
mã thường được sử dụng trong VPN như MD, SHA, MAC...,DES, AES, DH và
hoạt động cơ bản của IPSec để tạo ra đường hầm bảo mật giữa 2 thiết bị đầu
cuối.
- Một số khái niệm tổng quan về hệ điều hành Cisco IOS: Ciso IOS là hệ điều
hành được cài trên các Cisco router. Để có thể thiết lập một mạng VPN, đòi hỏi
người lập trình mạng phải nắm vững kiến thức về Cisco IOS và các câu lệnh cấu
hình, cụ thể phần này đã giới thiệu quy trình cấu hình 4 bước IPSec/VPN trên
Cisco router và các câu lệnh cơ bản để cấu hình IPSec/VPN.
- 69 -
Sau khi đã tìm hiểu một cách tổng quan về mạng riêng ảo VPN, em đã nắm
vững được một số vấn đề cơ bản nêu trên, từ đó ứng dụng cấu hình Site – to –
Site VPN cho công ty TNHH Thành Đạt. Mặc dù Site – to – Site VPN chưa được
sử dụng rộng rãi như Remote Access VPN, nhưng ngày càng có nhiều công ty, tổ
chức sử dụng Site-to-Site VPN do những ưu điểm sau :
- Giảm được chi phí kết nối cũng như số nhân viên kỹ thuật hỗ trợ
mạng.
- Dễ mở rộng và bảo trì hệ thống mạng
- Cho phép lựa chọn giải pháp phù hợp với nhu cầu của mỗi công ty.
Cuối cùng, do VPN liên quan đến nhiều giao thức và thuật toán phức tạp và
thời gian nghiên cứu đề tài còn hạn hẹp nên phạm vi của đề tài khó có thể đề cập
hết, em rất mong nhận được những ý kiến đóng góp của thầy cô và các bạn.
Em xin chân thành cảm ơn
Thái Nguyên, tháng 6 năm 2009
Sinh viên:
Hoàng Đăng Huy
- 70 -
TÀI LIỆU THAM KHẢO
Tài liệu tiếng việt:
[1]. Khương Anh (chủ biên), Nguyễn Hồng Sơn (hiệu đính), Giáo trình hệ
thống mạng máy tính CCNA 1,2; Nhà xuất bản Lao động – Xã hội
Trang Web
[1]. WWW.CISCO.NETACAD.NET
[2]. WWW.SUPPORT.VNN.VN
[3]. WWW.EBOOK.EDU.VN
[4].
[5].
[6].
[7].
- 71 -
PHỤ LỤC
1. Cấu hình cho Router R :
Router(config)# hostname R
R (config)#interface s1/0
R (config)#ip address 10.1.1.2 255.255.255.252
R (config-if)#clock rate 64000
R (config-if)#no shutdown
R (config-if)#exit
R (config)#interface s1/1
R (config-if)#ip address 10.2.2.1 255.255.255.252
R(config-if)#clock rate 64000
R(config-if)#no shutdown
R(config-if)#exit
R(config)#router eigrp 101
R(config-router)#network 10.1.1.0 0.0.0.3
R(config-router)#network 10.2.2.0 0.0.0.3
R#copy running-configure startup-config
2. Cấu hình cho router HN:
Router(config)# hostname HN
HN (config)#interface fa2/0
HN (config)#ip address 192.168.1.1 255.255.255.0
HN (config-if)#clock rate 64000
HN (config-if)#no shutdown
HN (config-if)#exit
- 72 -
HN (config)#interface s1/1
HN (config-if)#ip address 10.1.1.1 255.255.255.252
HN(config-if)#clock rate 64000
HN(config-if)#no shutdown
HN(config-if)#exit
HN(config)#router eigrp 101
HN(config-router)#network 10.1.1.0 0.0.0.3
HN(config-router)#network 192.168.1.0 0.0.0.255
HN(config-router)#exit
HN (config)#crypto isakmp enable
HN (config)#crypto isakmp policy 10
HN (config-isakmp)#authentication pre-share
HN (config-isakmp)#encryption aes 256
HN (config-isakmp)#hash sha
HN (config-isakmp)#group 5
HN (config-isakmp)#lifetime 3600
HN (config-isakmp)#end
HN (config)#crypto isakmp key 12345 address 10.2.2.2
HN (config)#cryto ipsec transform-set 50 esp-aes 256 esp-sha-hmac
HN(cfg-crypto-trans)#exit
HN(config)#cryto ipsec security-association lifetime seconds 1800
HN (config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0
0.0.0.255
HN (config)#cryto map HUY 10 ipsec-isakmp
- 73 -
HN(config-cryto-map)#match address 101
HN(config-cryto-map)#set peer 10.2.2.2
HN(config-cryto-map)#set pfs group5
HN(config-cryto-map)#set transform-set 50
HN(config-cryto-map)#set security-association lifetime seconds 900
HN(config-cryto-map)#exit
HN(config)#interface s1/1
HN(config-if)#cryto map HUY
HN#copy running-configure startup-config
3. Cấu hình cho router HCM:
Router(config)# hostname HCM
HCM (config)#interface fa2/0
HCM (config)#ip address 192.168.3.1 255.255.255.0
HCM (config-if)#clock rate 64000
HCM (config-if)#no shutdown
HCM (config-if)#exit
HCM (config)#interface s1/1
HCM (config-if)#ip address 10.2.2.2 255.255.255.252
HCM(config-if)#clock rate 64000
HCM(config-if)#no shutdown
HCM(config-if)#exit
HCM(config)#router eigrp 101
HCM(config-router)#network 10.2.2.0 0.0.0.3
HCM(config-router)#network 192.168.3.0 0.0.0.255
- 74 -
HCM (config)#crypto isakmp enable
HCM (config)#crypto isakmp policy 10
HCM (config-isakmp)#authentication pre-share
HCM (config-isakmp)#encryption aes 256
HCM (config-isakmp)#hash sha
HCM (config-isakmp)#group 5
HCM (config-isakmp)#lifetime 3600
HCM (config-isakmp)#end
HCM (config)#crypto isakmp key 12345 address 10.1.1.1
HCM (config)#cryto ipsec transform-set 50 esp-aes 256 esp-sha-hmac
HCM (cfg-crypto-trans)#exit
HCM (config)#cryto ipsec security-association lifetime seconds 1800
HCM (config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0
0.0.0.255
HCM (config)#cryto map HUY 10 ipsec-isakmp
HCM (config-cryto-map)#match address 101
HCM (config-cryto-map)#set peer 10.1.1.1
HCM (config-cryto-map)#set pfs group5
HCM (config-cryto-map)#set transform-set 50
HCM (config-cryto-map)#set security-association lifetime seconds 900
HCM (config-cryto-map)#exit
HCM (config)#interface s1/1
HCM (config-if)#cryto map HUY
HCM#copy running-configure startup-config
- 75 -
DANH MỤC HÌNH ẢNH
Trang
Hình 1.1: Mạng VPN điển hình...........................................................................4
Hình 1.2: Mô hình mạng Remote Access VPN...................................................6
Hình 1.3: Mô hình mạng Intranet VPN...............................................................8
Hình 1.4: Mô hình mạng Extranet VPN..............................................................9
Hình 1.5: Đặc trưng của máy khách VPN.........................................................11
Hình 2.1: Kiến trúc của PPTP...........................................................................14
Hình 2.2: Bọc gói PPTP/GRE...........................................................................16
Hình 2.3: Cấu trúc gói dữ liệu trong đường hầm PPTP....................................16
Hình 2.4: Các thành phần cơ bản của một VPN sử dụng PPTP........................18
Hình 2.5: Kiến trúc của L2TP...........................................................................21
Hình 2.6: Bọc gói L2TP....................................................................................22
Hình 2.7: Cấu trúc dữ liệu trong đường hầm L2TP...........................................23
Hình 2.8: Các thành phần cơ bản của L2TP......................................................24
Hình 2.9: Đóng bao gói tin L2TP......................................................................26
Hình 2.10: Khung giao thức được sử dụng trong IPSec....................................28
Hình 2.11: Khuôn dạng gói AH.........................................................................29
Hình 2.12: Khuôn dạng gói ESP........................................................................30
Hình 2.13: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH.......................31
Hình 2.14: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP......................31
Hình 2.15: 5 bước hoạt động của IPSec............................................................32
- 76 -
Hình 2.16: IKE Phase 1.....................................................................................33
Hình 2.17: Tập chính sách IKE..........................................................................34
Hình 2.18: Xác thực các đối tác.........................................................................36
Hình 2.19: Thỏa thuận các thông số bảo mật IPSec..........................................36
Hình 2.20: Tập chuyển đổi IPSec......................................................................37
Hình 2.21: Các kết hợp an ninh.........................................................................38
Hình 2.22: Đường hầm IPSec được thiết lập.....................................................40
Hình 2.23: Kết thúc đường hầm.........................................................................40
Hình 2.24: Quá trình trao đổi thong tin..............................................................41
Hình 3.1: Cấu hình transform sets.....................................................................49
Hình 3.2: Cấu hình cho việc trao đổi transform................................................50
Hình 3.3: Cấu hình thời gian tồn tại của IPSec.................................................51
Hình 3.4: Tạo Crypto ACLs sử dụng access list mở rộng.................................52
Hình 4.1: Sơ đồ hiện trạng hệ thống mạng ở Hà Nội........................................58
Hình 4.2: Sơ đồ leased-line kết nối 2 chi nhánh................................................61
Hình 4.3: Sơ đồ hệ thống mạng ở Hà Nội sử dụng đường leased-line..............61
Hình 4.4: Sơ đồ VPN kết nối 2 chi nhánh.........................................................62
Hình 4.5: Sơ đồ hệ thống mạng ở Hà Nội khi sử dụng VPN.............................63
Hình 4.6: Mô hình hệ thống mạng.....................................................................65
Hình 4.7: Kiểm tra IKE phase 1 trên Router ở Hà Nội......................................65
Hình 4.8: Kiểm tra IKE phase 2 trên Router ở Hà Nội......................................66
Hình 4.9: Kiểm tra IKE phase 1 trên Router ở TP Hồ Chí Minh......................66
Hình 4.10: Kiểm tra IKE phase 2 trên Router ở TP Hồ Chí Minh....................67
- 77 -
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
………………………………………………………………………………
Thái Nguyên, tháng 6 năm 2009
Giáo viên hướng dẫn
- 78 -
Các file đính kèm theo tài liệu này:
- Nghiên cứu mạng riêng ảo và xây dựng hệ thống site-to-site VPN cho công ty TNHH Thành Đạt.pdf