SlideShare ist ein Scribd-Unternehmen logo

VPN

VNG
VNG

VPN CISCO

Ingenieurwesen
1 von 46
Downloaden Sie, um offline zu lesen
C u Hình IPSEC/VPN Trên Thi t B Cisco I. T ng Quan V VPN: Trong th i i ngày nay, Internet ã phát tri n m nh v m t mô hình cho n công ngh , áp ng các nhu c u c a ngư i s d ng. Internet ã ư c thi t k k t n i nhi u m ng khác nhau và cho phép thông tin chuy n n ngư i s d ng m t cách t do và nhanh chóng mà không xem xét n máy và m ng mà ngư i s d ng ó ang dùng. làm ư c i u này ngư i ta s d ng m t máy tính c bi t g i là router k t n i các LAN và WAN v i nhau. Các máy tính k t n i vào Internet thông qua nhà cung c p d ch v (ISP-Internet Service Provider), c n m t giao th c chung là TCP/IP. i u mà k thu t còn ti p t c ph i gi i quy t là năng l c truy n thông c a các m ng vi n thông công c ng. V i Internet, nh ng d ch v như giáo d c t xa, mua hàng tr c tuy n, tư v n y t , và r t nhi u i u khác ã tr thành hi n th c.Tuy nhiên, do Internet có ph m vi toàn c u và không m t t ch c, chính ph c th nào qu n lý nên r t khó khăn trong
vi c b o m t và an toàn d li u cũng như trong vi c qu n lý các d ch v . T ó ngư i ta ã ưa ra m t mô hình m ng m i nh m tho mãn nh ng yêu c u trên mà v n có th t n d ng l i nh ng cơ s h t ng hi n có c a Internet, ó chính là mô hình m ng riêng o (Virtual Private Network - VPN). V i mô hình m i này, ngư i ta không ph i u tư thêm nhi u v cơ s h t ng mà các tính năng như b o m t, tin c y v n m b o, ng th i có th qu n lý riêng ư c s ho t ng c a m ng này. VPN cho phép ngư i s d ng làm vi c t i nhà, trên ư ng i hay các văn phòng chi nhánh có th k t n i an toàn n máy ch c a t ch c mình b ng cơ s h t ng ư c cung c p b i m ng công c ng.[5] Nó có th m b o an toàn thông tin gi a các i lý, ngư i cung c p, và các i tác kinh doanh v i nhau trong môi trư ng truy n thông r ng l n. Trong nhi u trư ng h p VPN cũng gi ng như WAN (Wide Area Network), tuy nhiên c tính quy t nh c a VPN là chúng có th dùng m ng công c ng như Internet mà m b o tính riêng tư và ti t ki m hơn nhi u. 1. nh Nghĩa VPN: VPN ư c hi u ơn gi n như là s m r ng c a m t m ng riêng (private network) thông qua các m ng công c ng. V căn b n, m i VPN là m t m ng riêng r s d ng m t m ng chung (thư ng là internet) k t n i cùng v i các site (các m ng riêng l ) hay nhi u ngư i s d ng t xa. Thay cho vi c s d ng b i m t k t n i th c, chuyên d ng như ư ng leased line, m i VPN s d ng các k t n i o ư c d n ư ng qua Internet t m ng riêng c a các công ty t i các site hay các nhân viên t xa. có th g i và nh n d li u thông qua m ng công c ng mà v n b o m tính an tòan và b o m t VPN cung c p các cơ ch mã hóa d li u trên ư ng truy n t o ra m t ư ng ng b o m t gi a nơi nh n và nơi g i (Tunnel) gi ng như m t k t n i point-to-point trên m ng riêng. có th t o ra m t ư ng ng b o m t ó, d li u ph i ư c mã hóa hay che gi u i ch cung c p ph n u gói d li u (header) là thông tin v ư ng i cho phép nó có th i n ích thông qua m ng công c ng m t cách nhanh chóng. D l êu ư c mã hóa m t cách c n th n do ó n u các packet b b t l i trên ư ng truy n công c ng cũng không th c ư c n i dung vì không có khóa gi i mã. Liên k t v i d li u ư c mã hóa và óng gói ư c g i là k t n i VPN. Các ư ng k t n i VPN thư ng ư c g i là ư ng ng VPN (VPN Tunnel).
2. L i ích c a VPN: VPN cung c p nhi u c tính hơn so v i nh ng m ng truy n th ng và nh ng m ng m ng leased-line.Nh ng l i ích u tiên bao g m: • Chi phí th p hơn nh ng m ng riêng: VPN có th gi m chi phí khi truy n t i 20- 40% so v i nh ng m ng thu c m ng leased-line và gi m vi c chi phí truy c p t xa t 60-80%. • Tính linh ho t cho kh năng kinh t trên Internet: VPN v n ã có tính linh ho t và có th leo thang nh ng ki n trúc m ng hơn là nh ng m ng c i n, b ng cách ó nó có th ho t ng kinh doanh nhanh chóng và chi phí m t cách hi u qu cho vi c k t n i m r ng. Theo cách này VPN có th d dàng k t n i ho c ng t k t n i t xa c a nh ng văn phòng, nh ng v trí ngoài qu c t ,nh ng ngư i truy n thông, nh ng ngư i dùng i n tho i di ng, nh ng ngư i ho t ng kinh doanh bên ngoài như nh ng yêu c u kinh doanh ã òi h i. • ơn gi n hóa nh ng gánh n ng. • Nh ng c u trúc m ng ng, vì th gi m vi c qu n lý nh ng gánh n ng: S d ng m t giao th c Internet backbone lo i tr nh ng PVC tĩnh h p v i k t n i hư ng nh ng giao th c như là Frame Rely và ATM. • Tăng tình b o m t: các d li u quan tr ng s ư c che gi u i v i nh ng ngư i không có quy n truy c p và cho phép truy c p i v i nh ng ngư i dùng có quy n truy c p.
• H tr các giao th c m n thông d ng nh t hi n nay như TCP/IP • B o m t a ch IP: b i vì thông tin ư c g i i trên VPN ã ư c mã hóa do ó các i ch bên trong m ng riêng ư c che gi u và ch s d ng các a ch bên ngoài Internet. 3. Các thành ph n c n thi t t o k t n i VPN: - User Authentication: cung c p cơ ch ch ng th c ngư i dùng, ch cho phép ngư i dùng h p l k t n i và truy c p h th ng VPN. - Address Management: cung c p a ch IP h p l cho ngư i dùng sau khi gia nh p h th ng VPN có th truy c p tài nguyên trên m ng n i b . - Data Encryption: cung c p gi i pháp mã hoá d li u trong quá trình truy n nh m b o m tính riêng tư và toàn v n d li u. - Key Management: cung c p gi i pháp qu n lý các khoá dùng cho quá trình mã hoá và gi i mã d li u. 4. Các thành ph n chính t o nên VPN Cisco: a. Cisco VPN Router: s d ng ph n m m Cisco IOS, IPSec h tr cho vi c b o m t trong VPN. VPN t I ưu hóa các router như là òn b y ang t n t I s u tư c a Cisco. Hi u qu nh t trong các m ng WAN h n h p. b. Cisco Secure PIX FIREWALL: ưa ra s l a ch n khác c a c ng k t n I VPN khi b o m t nhóm “riêng tư” trong VPN. c. Cisco VPN Concentrator series: ưa ra nh ng tính năng m nh trong vi c i u khi n truy c p t xa và tương thích v I d ng site-to-site VPN. Có giao di n qu n lý d s d ng và m t VPN client. d. Cisco Secure VPN Client : VPN client cho phép b o m t vi c truy c p t xa t I router Cisco và Pix Firewalls và nó là m t chương trình ch y trên h i u hành Window. e. Cisco Secure Intrusion Detection System(CSIDS) và Cisco Secure Scanner thư ng ư c s d ng giám sát và ki m tra các v n b o m t trong VPN. f. Cisco Secure Policy Manager and Cisco Works 2000 cung c p vi c qu n lý h th ng VPN r ng l n.
5. Các giao th c VPN: Các giao th c t o nên cơ ch ư ng ng b o m t cho VPN là L2TP, Cisco GRE và IPSec. a. L2TP: - Trư c khi xu t hi n chu n L2TP (tháng 8 năm 1999), Cisco s d ng Layer 2 Forwarding (L2F) như là giao th c chu n t o k t n i VPN. L2TP ra i sau v i nh ng tính năng ư c tích h p t L2F. - L2TP là d ng k t h p c a Cisco L2F và Mircosoft Point-to-Point Tunneling Protocol (PPTP). Microsoft h tr chu n PPTP và L2TP trong các phiên b n WindowNT và 2000 - L2TP ư c s d ng t o k t n i c l p, a giao th c cho m ng riêng o quay s (Virtual Private Dail-up Network). L2TP cho phép ngư i dùng có th k t n i thông qua các chính sách b o m t c a công ty (security policies) t o VPN hay VPDN như là s m r ng c a m ng n i b công ty. - L2TP không cung c p mã hóa. - L2TP là s k t h p c a PPP(giao th c Point-to-Point) v i giao th c L2F(Layer 2 Forwarding) c a Cisco do ó r t hi u qu trong k t n i m ng dial, ADSL, và các m ng truy c p t xa khác. Giao th c m r ng này s d ng PPP cho phép truy c p VPN b i nh ng ngư I s d ng t xa.
b. GRE: - ây là a giao th c truy n thông óng gói IP, CLNP và t t c cá gói d li u bên trong ư ng ng IP (IP tunnel) - V i GRE Tunnel, Cisco router s óng gói cho m i v trí m t giao th c c trưng ch nh trong gói IP header, t o m t ư ng k t n i o (virtual point-to-point) t i Cisco router c n n. Và khi gói d li u n ích IP header s ư c m ra - B ng vi c k t n i nhi u m ng con v i các giao th c khác nhau trong môi trư ng có m t giao th c chính. GRE tunneling cho phép các giao th c khác có th thu n l i trong vi c nh tuy n cho gói IP. c. IPSec: - IPSec là s l a ch n cho vi c b o m t trên VPN. IPSec là m t khung bao g m b o m t d li u (data confidentiality), tính tòan v n c a d li u (integrity) và vi c ch ng th c d li u. - IPSec cung c p d ch v b o m t s d ng KDE cho phép th a thu n các giao th c và thu t tóan trên n n chính sách c c b (group policy) và sinh ra các khóa b o mã hóa và ch ng th c ư c s d ng trong IPSec. d. Point to Point Tunneling Protocol (PPTP): - ư c s d ng tr n các máy client ch y H H Microsoft for NT4.0 và Windows 95+ . Giao th c này ơc s d ng mã hóa d li u lưu thông trên M ng LAN. Gi ng
như giao th c NETBEUI và IPX trong m t packet g I lên Internet. PPTP d a trên chu n RSA RC4 và h tr b I s mã hóa 40-bit ho c 128-bit. - Nó không ư c phát tri n trên d ng k t n I LAN-to-LAN và gi i h n 255 k t n i t I 1 server ch có m t ư ng h m VPN trên m t k t n i. Nó không cung c p s mã hóa cho các công vi c l n nhưng nó d cài t và tri n khai và là m t gi I pháp truy c p t xa ch có th làm ư c trên m ng MS. Giao th c này thì ư c dùng t t trong Window 2000. Layer 2 Tunneling Protocol thu c v IPSec. 6. Thi t l p m t k t n i VPN: a. Máy VPN c n k t n i (VPN client) t o k t n t VPN (VPN Connection) t i máy ch cung c p d ch v VPN (VPN Server) thông qua k t n i Internet. b. Máy ch cung c p d ch v VPN tr l i k t n i t i
c. Máy ch cung c p d ch v VPN ch ng th c cho k t n i và c p phép cho k t n i d. B t u trao i d li u gi a máy c n k t n i VPN và m ng công ty 7. Các d ng k t n i VPN: a. Remote Access VPNs : Remote Access VPNs cho phép truy c p b t c lúc nào b ng Remote, mobile, và các thi t b truy n thông c a nhân viên các chi nhánh k t n i n tài nguyên m ng c a t ch c. Remote Access VPN mô t vi c các ngư i dùng xa s d ng các ph n m m VPN truy c p vào m ng Intranet c a công ty thông qua gateway ho c VPN concentrator (b n ch t là m t server). Vì lý do này, gi i pháp này thư ng ư c g i là client/server. Trong gi i pháp này, các ngư i dùng thư ng thư ng s d ng các công ngh WAN truy n th ng t o l i các tunnel v m ng HO c a h . M t hư ng phát tri n khá m i trong remote access VPN là dùng wireless VPN, trong ó m t nhân viên có th truy c p v m ng c a h thông qua k t n i không dây. Trong thi t k này, các k t n i không dây c n ph i k t n i v m t tr m wireless (wireless terminal) và sau ó v m ng c a công ty. Trong c hai trư ng h p, ph n m m client trên máy PC u cho phép kh i t o các k t n i b o m t, còn ư c g i là tunnel. M t ph n quan tr ng c a thi t k này là vi c thi t k quá trình xác th c ban u nh m m b o là yêu c u ư c xu t phát t m t ngu n tin c y. Thư ng thì giai o n ban u này d a trên cùng m t chính sách v b o m t c a công ty. Chính sách này bao
g m: qui trình (procedure), k thu t, server (such as Remote Authentication Dial-In User Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+]…). M t s thành ph n chính : - Remote Access Server (RAS) : ư c t t i trung tâm có nhi m v xác nh n và ch ng nh n các yêu c u g i t i. - Quay s k t n i n trung tâm, i u này s làm gi m chi phí cho m t s yêu c u khá xa so v i trung tâm. - H tr cho nh ng ngư i có nhi m v c u hình, b o trì và qu n lý RAS và h tr truy c p t xa b i ngư i dùng. Figure 1-2: The non-VPN remote access setup. - B ng vi c tri n khai Remote Access VPNs, nh ng ngư i dùng t xa ho c các chi nhánh văn phòng ch c n cài t m t k t n i c c b n nhà cung c p d ch v ISP ho c ISP’s POP và k t n i n tài nguyên thông qua Internet. Thông tin Remote Access Setup ư c mô t b i hình v sau :
Figure 1-3: The Remote Access VPN setup Như b n có th suy ra t hình 1-3, thu n l i chính c a Remote Access VPNs : - S c n thi t c a RAS và vi c k t h p v i modem ư c lo i tr . - S c n thi t h tr cho ngư i dung cá nhân ư c lo i tr b i vì k t n i t xa ã ư c t o i u ki n thu n l i b i ISP - Vi c quay s t nh ng kho ng cách xa ư c lo i tr , thay vào ó, nh ng k t n i v i kho ng cách xa s ư c thay th b i các k t n i c c b . - Gi m giá thành chi phí cho các k t n i v i kho ng cách xa. - Do ây là m t k t n i mang tính c c b , do v y t c n i k t s cao hơn so v i k t n i tr c ti p n nh ng kho ng cách xa. - VPNs cung c p kh năng truy c p n trung tâm t t hơn b i vì nó h tr d ch v truy c p m c t i thi u nh t cho dù có s tăng nhanh chóng các k t n i ng th i n m ng. Ngoài nh ng thu n l i trên, VPNs cũng t n t i m t s b t l i khác như : - Remote Access VPNs cũng không b o m ư c ch t lư ng ph c v .
- Kh năng m t d li u là r t cao, thêm n a là các phân o n c a gói d li u có th i ra ngoài và b th t thoát. - Do ph c t p c a thu t toán mã hoá, protocol overhead tăng áng k , i u này gây khó khăn cho quá trình xác nh n. Thêm vào ó, vi c nén d li u IP và PPP-based di n ra vô cùng ch m ch p và t i t . - Do ph i truy n d li u thông qua Internet, nên khi trao i các d li u l n như các gói d li u truy n thông, phim nh, âm thanh s r t ch m. b. Site - To – Site (Lan – To - Lan): - Site-to-site VPN(Lan-to-Lan VPN): ư c áp d ng cài t m ng t m t v trí này k t n I t I m ng c a m t v trí khác thông qua VPN. Trong hoàn c nh này thì vi c ch ng th c ban u gi a các thi t b m ng ư c giao cho ngư i s d ng. Nơi mà có m t k t n I VPN ư c thi t l p gi a chúng. Khi ó các thi t b này óng vai trò như là m t gateway, và m b o r ng vi c lưu thông ã ư c d tính trư c cho các site khác. Các router và Firewall tương thích v I VPN, và các b t p trung VPN chuyên d ng u cung c p ch c năng này. - Lan-to-Lan VPN có th ư c xem như là intranet VPN ho c extranet VPN(xem xét v m t chính sách qu n lý). N u chúng ta xem xét dư I góc ch ng th c nó có th ư c xem như là m t intranet VPN, ngư c l I chúng ư c xem như là m t extranet VPN. Tính ch t ch trong vi c truy c p gi a các site có th ư c i u khi n b i c hai(intranet và extranet VPN) theo các site tương ng c a chúng. Gi i pháp Site to site
VPN không là m t remote access VPN nhưng nó ư c thêm vào ây vì tính ch t hoàn thi n c a nó. - S phân bi t gi a remote access VPN và Lan to Lan VPN ch ơn thu n mang tính ch t tư ng trưng và xa hơn là nó ư c cung c p cho m c ích th o lu n. Ví d như là các thi t b VPN d a trên ph n c ng m I(Router cisco 3002 ch ng h n) ây phân lo I ư c, chúng ta ph I áp d ng c hai cách, b I vì harware-based client có th xu t hi n n u m t thi t b ang truy c p vào m ng. M c dù m t m ng có th có nhi u thi t b VPN ang v n hành. M t ví d khác như là ch m r ng c a gi I pháp Ez VPN b ng cách dùng router 806 và 17xx. - Lan-to-Lan VPN là s k t n I hai m ng riêng l thông qua m t ư ng h m b o m t. ư ng h m b o m t này có th s d ng các giao th c PPTP, L2TP, ho c IPSec, m c ích c a Lan-to-Lan VPN là k t n I hai m ng không có ư ng n I l I v I nhau, không có vi c th a hi p tích h p, ch ng th c, s c n m t c a d li u. b n có th thi t l p m t Lan-to-Lan VPN thông qua s k t h p c a các thi t b VPN Concentrators, Routers, and Firewalls. - K t n I Lan-to-Lan ư c thi t k t o m t k t n I m ng tr c ti p, hi u qu b t ch p kho ng cách v t lý gi a chúng. Có th k t n I này luân chuy n thông qua internet ho c m t m ng không ư c tin c y.B n ph I m b o v n b o m t b ng cách s d ng s mã hóa d li u trên t t c các gói d li u ang luân chuy n gi a các m ng ó. 1. Intranet VPNs: Figure 1-4: The intranet setup using WAN backbone
- Intranet VPNs ư c s d ng k t n i n các chi nhánh văn phòng c a t ch c n Corperate Intranet (backbone router) s d ng campus router, xem hình bên dư i : - Theo mô hình bên trên s r t t n chi phí do ph i s d ng 2 router thi t l p ư c m ng, thêm vào ó, vi c tri n khai, b o trì và qu n lý m ng Intranet Backbone s r t t n kém còn tùy thu c vào lư ng lưu thông trên m ng i trên nó và ph m vi a lý c a toàn b m ng Intranet. - Ð gi i quy t v n trên, s t n kém c a WAN backbone ư c thay th b i các k t n i Internet v i chi phí th p, i u này có th m t lư ng chi phí áng k c a vi c tri n khai m ng Intranet, xem hình bên dư i : Figure 1-5: The intranet setup based on VPN. Nh ng thu n l i chính c a Intranet setup d a trên VPN theo hình 1-5 : - Hi u qu chi phí hơn do gi m s lư ng router ư c s d ng theo mô hình WAN backbone - Gi m thi u áng k s lư ng h tr yêu c u ngư i dùng cá nhân qua toàn c u, các tr m m t s remote site khác nhau.
- B i vì Internet ho t ng như m t k t n i trung gian, nó d dàng cung c p nh ng k t n i m i ngang hàng. - K t n i nhanh hơn và t t hơn do v b n ch t k t n i n nhà cung c p d ch v , lo i b v n v kho ng cách xa và thêm n a giúp t ch c gi m thi u chi phí cho vi c th c hi n Intranet. Nh ng b t l i chính k t h p v i cách gi i quy t : - B i vì d li u v n còn tunnel trong su t quá trình chia s trên m ng công c ng- Internet-và nh ng nguy cơ t n công, như t n công b ng t ch i d ch v (denial-of- service), v n còn là m t m i e do an toàn thông tin. - Kh năng m t d li u trong lúc di chuy n thông tin cũng v n r t cao. - Trong m t s trư ng h p, nh t là khi d li u là lo i high-end, như các t p tin mulltimedia, vi c trao i d li u s r t ch m ch p do ư c truy n thông qua Internet. - Do là k t n i d a trên Internet, nên tính hi u qu không liên t c, thư ng xuyên, và QoS cũng không ư c m b o. 2. Extranet VPNs: - Không gi ng như Intranet và Remote Access-based, Extranet không hoàn toàn cách li t bên ngoài (outer-world), Extranet cho phép truy c p nh ng tài nguyên m ng c n thi t c a các i tác kinh doanh, ch ng h n như khách hàng, nhà cung c p, i tác nh ng ngư i gi vai trò quan tr ng trong t ch c. Figure 1-6: The traditional extranet setup.
- Như hình trên, m ng Extranet r t t n kém do có nhi u o n m ng riêng bi t trên Intranet k t h p l i v i nhau t o ra m t Extranet. Ði u này làm cho khó tri n khai và qu n lý do có nhi u m ng, ng th i cũng khó khăn cho cá nhân làm công vi c b o trì và qu n tr . Thêm n a là m ng Extranet s d m r ng do i u này s làm r i tung toàn b m ng Intranet và có th nh hư ng n các k t n i bên ngoài m ng. S có nh ng v n b n g p ph i b t thình lình khi k t n i m t Intranet vào m t m ng Extranet. Tri n khai và thi t k m t m ng Extranet có th là m t cơn ác m ng c a các nhà thi t k và qu n tr m ng. Figure 1-7: The Extranet VPN setup M t s thu n l i c a Extranet : - Do ho t ng trên môi trư ng Internet, b n có th l a ch n nhà phân ph i khi l a ch n và ưa ra phương pháp gi i quy t tuỳ theo nhu c u c a t ch c.- B i vì m t ph n Internet-connectivity ư c b o trì b i nhà cung c p (ISP) nên cũng gi m chi phí b o trì khi thuê nhân viên b o trì.- D dàng tri n khai, qu n lý và ch nh s a thông tin. M t s b t l i c a Extranet : - S e d a v tính an toàn, như b t n công b ng t ch i d ch v v n còn t n t i. - Tăng thêm nguy hi m s xâm nh p i v i t ch c trên Extranet. - Do d a trên Internet nên khi d li u là các lo i high-end data thì vi c trao i di n ra ch m ch p.
- Do d a trên Internet, QoS(Quality of Service) cũng không ư c b o m thư ng xuyên. II. Tìm Hi u V Giao Th c IPSec: - Thu t ng IPSec là m t t vi t t t c a thu t Internet Protocol Security. Nó có quan h t i m t s b giao th c (AH, ESP, FIP-140-1, và m t s chu n khác) ư c phát tri n b i Internet Engineering Task Force (IETF). M c ích chính c a vi c phát tri n IPSec là cung c p m t cơ c u b o m t t ng 3 (Network layer) c a mô hình OSI, như hình 6-1. Figure 6-1: The position of IPSec in the OSI model. - M i giao ti p trong m t m ng trên cơ s IP u d a trên các giao th c IP. Do ó, khi m t cơ ch b o m t cao ư c tích h p v i giao th c IP, toàn b m ng ư c b o m t b i vì các giao ti p u i qua t ng 3. ( ó là lý do tai sao IPSec ư c phát tri n giao th c t ng 3 thay vì t ng 2). - IPSec VPN dùng các d ch v ư c nh nghĩa trong IPSec m b o tính toàn v n d li u, tính nh t quán, tính bí m t và xác th c c a truy n d li u trên m t h t ng m ng công c ng.
- Ngoài ra,v i IPSec t t c các ng d ng ang ch y t ng ng d ng c a mô hình OSI u c l p trên t ng 3 khi nh tuy n d li u t ngu n n ích. B i vì IPSec ư c tích h p ch t ch v i IP, nên nh ng ng d ng có th dùng các d ch v k th a tính năng b o m t mà không c n ph i có s thay i l n lao nào. Cũng gi ng IP, IPSec trong su t v i ngư i dùng cu i, là ngư i mà không c n quan tâm n cơ ch b o m t m r ng liên t c ng sau m t chu i các ho t ng. - IPSec ho t ng d a trên mô hình ngang hàng (peer-to-peer) hơn là mô hình client/server. Security Association (SA) là m t qui ư c gi a hai bên trong ó thúc y các trao i gi a hai bên giao ti p. M i bên giao ti p (có th là thi t b , ph n m m) ph i th ng nh t v i nhau v các chính sách ho c các qui t c b ng cách s dò tìm các chính sách này v i i tác tìm năng c a nó. Có hai ki u SA: ISAKMP SA (còn ư c bi t n v i tên g i là IKE SAs) và IPSec SA. - Security Associations (SAs) là m t khái ni m cơ b n c a b giao th c IPSec. SA là m t k t n i lu n lý theo m t phương hư ng duy nh t gi a hai th c th s d ng các d ch v IPSec. • Các giao th c xác nh n, các khóa, và các thu t toán • Phương th c và các khóa cho các thu t toán xác nh n ư c dùng b i các giao th c Authentication Header (AH) hay Encapsulation Security Payload (ESP) c a b IPSec • Thu t toán mã hóa và gi i mã và các khóa. • Thông tin liên quan khóa, như kho ng th i gian thay i hay kho ng th i gian làm tươi c a các khóa. • Thông tin liên quan n chính b n thân SA bao g m a ch ngu n SA và kho ng th i gian làm tươi. • Cách dùng và kích thư c c a b t kỳ s ng b mã hóa dùng, n u có. Figure 6-2: A generic representation of the three fields of an IPSec SA.
Như hình 6-2, IPSec SA g m có 3 trư ng : - SPI (Security Parameter Index). ây là m t trư ng 32 bit dùng nh n d ng giao th c b o m t, ư c nh nghĩa b i trư ng Security protocol, trong b IPSec ang dùng. SPI ư c mang theo như là m t ph n u c a giao th c b o m t và thư ng ư c ch n b i h th ng ích trong su t quá trình th a thu n c a SA. - Destination IP address. ây là a ch IP c a nút ích. M c dù nó có th là a ch broadcast, unicast, hay multicast, nhưng cơ ch qu n lý hi n t i c a SA ch ư c nh nghĩa cho h th ng unicast. - Security protocol. Ph n này mô t giao th c b o m t IPSec, có th là AH ho c ESP. - Chú thích : • Broadcasts có nghĩa cho t t c h th ng thu c cùng m t m ng ho c m ng con. Còn multicasts g i n nhi u (nhưng không ph i tât c ) nút c a m t m ng ho c m ng con cho s n. Unicast có nghĩa cho 1 nút ích ơn duy nh t. B i vì b n ch t theo m t chi u duy nh t c a SA, cho nên 2 SA ph i ư c nh nghĩa cho hai bên thông tin u cu i, m t cho m i hư ng. Ngoài ra, SA có th cung c p các d ch v b o m t cho m t phiên VPN ư c b o v b i AH ho c ESP. Do v y, n u m t phiên c n b o v kép b i c hai AH và ESP, 2 SA ph i ư c nh nghĩa cho m i hư ng. Vi c thi t l p này c a SA ư c g i là SA bundle. • M t IPSec SA dùng 2 cơ s d li u. Security Association Database (SAD) n m gi thông tin liên quan n m i SA. Thông tin này bao g m thu t toán khóa, th i gian s ng c a SA, và chu i s tu n t . Cơ s d li u th c hai c a IPSec SA, Security Policy Database (SPD), n m gi thông tin v các d ch v b o m t kèm theo v i m t danh sách th t chính sách các i m vào và ra. Gi ng như firewall rules và packet filters, nh ng i m truy c p này nh nghĩa lưu lư ng nào ư c x lý và lưu lư ng nào b t ch i theo t ng chu n c a IPSec. B IPSec ưa ra 3 kh năng chính bao g m : - Tính xác nh n và Tính nguyên v n d li u (Authentication and data integrity). IPSec cung c p m t cơ ch m nh m xác nh n tính ch t xác th c c a ngư i g i và ki m ch ng b t kỳ s s a i không ư c b o v trư c ó c a n i dung gói d li u b i ngư i nh n. Các giao th c IPSec ưa ra kh năng b o v m nh ch ng l i các d ng t n công gi m o, ánh hơi và t ch i d ch v . - S c n m t (Confidentiality). Các giao th c IPSec mã hóa d li u b ng cách s d ng k thu t mã hóa cao c p, giúp ngăn c n ngư i chưa ch ng th c truy c p d li u
trên ư ng i c a nó. IPSec cũng dùng cơ ch t o h m n a ch IP c a nút ngu n (ngư i g i) và nút ích (ngư i nh n) t nh ng k nghe lén. - Qu n lý khóa (Key management). IPSec dùng m t giao th c th ba, Internet Key Exchange (IKE), th a thu n các giao th c bao m t và các thu t toán mã hóa trư c và trong su t phiên giao d ch. M t ph n quan tr ng n a, IPSec phân ph i và ki m tra các khóa mã và c p nh t nh ng khóa ó khi ư c yêu c u. - Hai tính năng u tiên c a b IPSec, authentication and data integrity, và confidentiality, ư c cung c p b i hai giao th c chính c a trong b giao th c IPSec. Nh ng giao th c này bao g m Authentication Header (AH) và Encapsulating Security Payload (ESP). - Tính năng th ba, key management, n m trong b giao th c khác, ư c b IPSec ch p nh n b i nó là m t d ch v qu n lý khóa m nh. Giao th c này là IKE. - SAs trong IPSec hi n t i ư c tri n khai b ng 2 ch ó là ch Transport và ch Tunnel ư c mô t hình 6-7. C AH và ESP có th làm vi c v i m t trong hai ch này. Figure 6-7: The two IPSec modes. Transport Mode : - Transport mode b o v giao th c t ng trên và các ng d ng. Trong Transport mode, ph n IPSec header ư c chèn vào gi a ph n IP header và ph n header c a giao th c t ng trên, như hình mô t bên dư i, AH và ESP s ư c t sau IP header nguyên th y. Vì v y ch có t i (IP payload) là ư c mã hóa và IP header ban u là ư c gi nguyên v n. Transport mode có th ư c dùng khi c hai host h tr IPSec. Ch transport này có thu n l i là ch thêm vào vài bytes cho m i packets và nó cũng cho phép các thi t b trên m ng th y ư c a ch ích cu i cùng c a gói. Kh năng này cho
phép các tác v x lý c bi t trên các m ng trung gian d a trên các thông tin trong IP header. Tuy nhiên các thông tin Layer 4 s b mã hóa, làm gi i h n kh năng ki m tra c a gói. Figure 6-8: IPSec Transport mode—a generic representation. Figure 6-9: AH Transport mode. Figure 6-10: ESP Transport mode.
- Transport mode thi u m t quá trình x lý ph n u, do ó nó nhanh hơn. Tuy nhiên, nó không hi u qu trong trư ng h p ESP có kh năng không xác nh n mà cũng không mã hóa ph n u IP. Tunnel Mode : - Không gi ng Transport mode, Tunnel mode b o v toàn b gói d li u. Toàn b gói d li u IP ư c óng gói trong m t gói d li u IP khác và m t IPSec header ư c chèn vào gi a ph n u nguyên b n và ph n u m i c a IP.Toàn b gói IP ban u s b óng gói b i AH ho c ESP và m t IP header m i s ư c bao b c xung quanh gói d li u. Toàn b các gói IP s ư c mã hóa và tr thành d li u m i c a gói IP m i. Ch này cho phép nh ng thi t b m ng, ch ng h n như router, ho t ng như m t IPSec proxy th c hi n ch c năng mã hóa thay cho host. Router ngu n s mã hóa các packets và chuy n chúng d c theo tunnel. Router ích s gi i mã gói IP ban u và chuy n nó v h th ng cu i. Vì v y header m i s có a ch ngu n chính là gateway. - V i tunnel ho t ng gi a hai security gateway, a ch ngu n và ích có th ư c mã hóa. Tunnel mode ư c dùng khi m t trong hai u c a k t n i IPSec là security gateway và a ch ích th t s phía sau các gateway không có h tr IPSec Figure 6-11: IPSec Tunnel mode—a generic representation. - Trong AH Tunnel mode, ph n u m i (AH) ư c chèn vào gi a ph n header m i và ph n header nguyên b n, như hình bên dư i.
Figure 6-12: AH Tunnel mode. Figure 6-13: ESP Tunnel mode. - IKE SA là quá trình hai chi u và cung c p m t kênh giao ti p b o m t gi a hai bên. Thu t ng ‘hai chi u’ có ý nghĩa là khi ã ư c thi t l p, m i bên có th kh i t o ch QuickMode, Informational và NewGroupMode. IKE SA ư c nh n ra b i các cookies c a bên kh i t o, ư c theo sau b i các cookies c a tr l i c a phía i tác. Th t các cookies ư c thi t l p b i phase 1 s ti p t c ch ra IKE SA, b t ch p chi u c a nó. Ch c năng ch y u c a IKE là thi t l p và duy trì các SA. Các thu c tính sau ây là m c t i thi u ph i ư c th ng nh t gi a hai bên như là m t ph n c a ISAKMP (Internet Security Association and Key Management Protocol) SA: • Thu t gi i mã hóa • Thu t gi i băm ư c dùng • Phương th c xác th c s dùng • Thông tin v nhóm và gi i thu t DH - IKE th c hi n quá trình dò tìm, quá trình xác th c, qu n lý và trao i khóa. IKE s dò tìm ra ư c m t h p ng gi a hai u cu i IPSec và sau ó SA s theo dõi t t c các thành ph n c a m t phiên làm vi c IPSec. Sau khi ã dò tìm thành công, các thông s SA h p l s ư c lưu tr trong cơ s d li u c a SA. - Thu n l i chính c a IKE bao g m: • IKE không ph i là m t công ngh c l p, do ó nó có th dùng v i b t kỳ cơ ch b o m t nào. • Cơ ch IKE, m c dù không nhanh, nhưng hi u qu cao b vì m t lư ng l n nh ng hi p h i b o m t th a thu n v i nhau v i m t vài thông i p khá ít. IKE Phases - Giai o n I và II là hai giai o n t o nên phiên làm vi c d a trên IKE, hình 6-14 trình bày m t s c i m chung c a hai giai o n. Trong m t phiên làm vi c IKE, nó
gi s ã có m t kênh b o m t ư c thi t l p s n. Kênh b o m t này ph i ư c thi t l p trư c khi có b t kỳ th a thu n nào x y ra. Figure 6-14: The two IKE phases—Phase I and Phase II. Giai o n I c a IKE - Giai o n I c a IKE u tiên xác nh n các i m thông tin, và sau ó thi t l p m t kênh b o m t cho s thi t l p SA. Ti p ó, các bên thông tin th a thu n m t ISAKMP SA ng ý l n nhau, bao g m các thu t toán mã hóa, hàm băm, và các phương pháp xác nh n b o v mã khóa. - Sau khi cơ ch mã hóa và hàm băm ã ư c ng ý trên, m t khóa chi s bí m t ư c phát sinh. Theo sau là nh ng thông tin ư c dùng phát sinh khóa bí m t : • Giá tr Diffie-Hellman • SPI c a ISAKMP SA d ng cookies • S ng u nhiên known as nonces (used for signing purposes) - N u hai bên ng ý s d ng phương pháp xác nh n d a trên public key, chúng cũng c n trao i IDs. Sau khi trao i các thông tin c n thi t, c hai bên phát sinh nh ng key riêng c a chính mình s d ng chúng chia s bí m t. Theo cách này, nh ng khóa mã hóa ư c phát sinh mà không c n th c s trao i b t kỳ khóa nào thông qua m ng. Giai o n II c a IKE - Trong khi giai o n I th a thu n thi t l p SA cho ISAKMP, giai o n II gi i quy t b ng vi c thi t l p SAs cho IPSec. Trong giai o n này, SAs dùng nhi u d ch v khác nhau th a thu n. Cơ ch xác nh n, hàm băm, và thu t toán mã hóa b o v gói d li u IPSec ti p theo (s d ng AH và ESP) dư i hình th c m t ph n c a giai o n SA.
- S th a thu n c a giai o n x y ra thư ng xuyên hơn giai o n I. i n hình, s th a thu n có th l p l i sau 4-5 phút. S thay i thư ng xuyên các mã khóa ngăn c n các hacker b gãy nh ng khóa này và sau ó là n i dung c a gói d li u. - T ng quát, m t phiên làm vi c giai o n II tương ương v i m t phiên làmvi c ơn c a giai o n I. Tuy nhiên, nhi u s thay i giai o n II cũng có th ư c h tr b i m t trư ng h p ơn giai o n I. i u này làm qua trình giao d ch ch m ch p c a IKE t ra tương i nhanh hơn. - Oakley là m t trong s các giao th c c a IKE. Oakley is one of the protocols on which IKE is based. Oakley l n lư t nh nghĩa 4 ch ph bi n IKE. IKE Modes 4 ch IKE ph bi n thư ng ư c tri n khai : • Ch chính (Main mode) • Ch linh ho t (Aggressive mode) • Ch nhanh (Quick mode) • Ch nhóm m i (New Group mode) Main Mode - Main mode xác nh n và b o v tính ng nh t c a các bên có liên quan trong qua trình giao d ch. Trong ch này, 6 thông i p ư c trao i gi a các i m: • 2 thông i p u tiên dùng th a thu n chính sách b o m t cho s thay i. • 2 thông i p k ti p ph c v thay i các khóa Diffie-Hellman và nonces. Nh ng khóa sau này th c hi n m t vai tro quan tr ng trong cơ ch mã hóa. • Hai thông i p cu i cùng c a ch này dùng xác nh n các bên giao d ch v i s giúp c a ch ký, các hàm băm, và tuỳ ch n v i ch ng nh n. Hình 6-15 mô t quá trình giao d ch trong ch IKE.
Aggressive Mode - Aggressive mode v b n ch t gi ng Main mode. Ch khác nhau thay vì main mode có 6 thông i p thì ch t này ch có 3 thông i p ư c trao i. Do ó, Aggressive mode nhanh hơn mai mode. Các thông i p ó bao g m : • Thông i p u tiên dùng ưa ra chính sách b o m t, pass data cho khóa chính, và trao i nonces cho vi c ký và xác minh ti p theo. • Thông i p k ti p h i áp l i cho thông tin u tiên. Nó xác th c ngư i nh n và hoàn thành chính sách b o m t b ng các khóa. • Thông i p cu i cùng dùng xác nh n ngư i g i (ho c b kh i t o c a phiên làm vi c).
Figure 6-16: Message exchange in IKE Aggressive mode. C Main mode và Aggressive mode u thu c giai o n I. Quick Mode - Ch th ba c a IKE, Quick mode, là ch trong giai o n II. Nó dùng th a thu n SA cho các d ch v b o m t IPSec. Ngoài ra, Quick mode cũng có th phát sinh khóa chính m i. N u chính sách c a Perfect Forward Secrecy (PFS) ư c th a thu n trong giai o n I, m t s thay i hoàn toàn Diffie-Hellman key ư c kh i t o. M t khác, khóa m i ư c phát sinh b ng các giá tr băm. Figure 6-17: Message exchange in IKE Quick mode, which belongs to Phase II. New Group Mode - New Group mode ư c dùng th a thu n m t private group m i nh m t o i u ki n trao i Diffie-Hellman key ư c d dàng. Hình 6-18 mô t New Group mode. M c dù ch này ư c th c hi n sau giai o n I, nhưng nó không thu c giai o n II.
Figure 6-18: Message exchange in IKE New Group mode. - Ngoài 4 ch IKE ph bi n trên, còn có thêm Informational mode. Ch này k t h p v i quá trình thay c a giai o n II và SAs. Ch này cung c p cho các bên có liên quan m t s thông tin thêm, xu t phát t nh ng th t b i trong quá trình th a thu n. Ví d , n u vi c gi i mã th t b i t i ngư i nh n ho c ch ký không ư c xác minh thành công, Informational mode ư c dùng thông báo cho các bên khác bi t. III. T ng Quan H i u Hành Cisco IOS: 1. Ki n trúc h th ng: - Gi ng như là 1 máy tính, router có 1 CPU có kh năng x lý các câu l nh d a trên n n t ng c a router. Hai ví d v b x lý mà Cisco dùng là Motorola 68030 và Orion/R4600. Ph n m m Cisco IOS ch y trên Router òi h i CPU hay b vi x lý gi i quy t vi c nh tuy n và b c c u, qu n lý b ng nh tuy n và m t vài ch c năng khác c a h th ng. CPU ph i truy c p vào d li u trong b nh gi i quy t các v n hay l y các câu l nh. - Có 4 lo i b nh thư ng dùng trên m t Router c a Cisco là - ROM : là b nh t ng quát trên m t con chip ho c nhi u con. Nó còn có th n m trên b ng m ch b vi x lý c a router. Nó ch c ngh a là d li u không th ghi lên trên nó. Ph n m m u tiên ch y trên m t router Cisco ư c g i là bootstrap software và thư ng ư c lưu trong ROM. Bootstrap software ư c g i khi router kh i ng. - Flash : b nh Flash n m trên b ng m ch SIMM nhưng nó có th ư c m r ng b ng cách s d ng th PCMCIA (có th tháo r i). B nh flash h u h t ư c s d ng lưu tr m t hay nhi u b n sao c a ph n m m Cisco IOS. Các file c u hình hay thông tin h th ng cũng có th ư c sao chép lên flash. vài h th ng g n ây, b nh flash còn ư c s d ng gi bootstrap software. - Flash memory ch a Cisco IOS software image. i v i m t s lo i, Flash memory có th ch a các file c u hình hay boot image. Tùy theo lo i mà Flash memory có th là EPROMs, single in-line memory (SIMM) module hay Flash memory card: - Internal Flash memory: o Internal Flash memory thư ng ch a system image. o M t s lo i router có t 2 Flash memory tr lên dư i d ng single in-line memory modules (SIMM). N u như SIMM có 2 bank thì ư c g i là dual-bank Flash memory. Các bank này có th ư c phân thành nhi u ph n logic nh
- Bootflash: o Bootflash thư ng ch a boot image. o Bootflash ôi khi ch a ROM Monitor. - Flash memory PC card hay PCMCIA card: - Flash memory card dùng g n vào Personal Computer Memory Card - International Association (PCMCIA) slot. Card này dùng ch a system image, boot image và file c u hình. - Các lo i router sau có PCMCIA slot: o Cisco 1600 series router: 01 PCMCIA slot. o Cisco 3600 series router: 02 PCMCIA slots. o Cisco 7200 series Network Processing Engine (NPE): 02 PCMCIA slots o Cisco 7000 RSP700 card và 7500 series Route Switch Processor (RSP) card ch a 02 PCMCIA slots. - RAM : là b nh r t nhanh nhưng nó làm m t thông tin khi h th ng kh i ng l i. Nó ư c s d ng trong máy PC lưu các ng d ng ang ch y và d li u. Trên router, RAM ư c s gi các b ng c a h i u hành IOS và làm b m. RAM là b nh cơ b n ư c s d ng cho nhu c u lưu tr các h i u hành - ROM monitor, cung c p giao di n cho ngư i s dung khi router không tìm th y các file image không phù h p. - Boot image, giúp router boot khi không tìm th y IOS image h p l trên flash memory. - NVRAM : Trên router, NVRAM ư c s d ng lưu tr c u hình kh i ng. ây là file c u hình mà IOS c khi router kh i ng. Nó là b nh c c kỳ nhanh và liên t c khi kh i ng l i. - M c dù CPU và b nh òi h i m t s thành ph n ch y h i u hành IOS, router c n ph i có các interface khác nhau cho phép chuy n ti p các packet. Các interface nh n vào và xu t ra các k t n i n router mang theo d li u c n thi t n router hay switch. Các lo i interface thư ng dùng là Ethernet và Serial. Tương t như là các ph n m m driver trên máy tính v i c ng parallel và c ng USB, IOS cũng có các driver c a thi t b h tr cho các lo i interface khác nhau.
- T t c các router c a Cisco có m t c ng console cung c p m t k t n i serial không ng b EIA/TIA-232. C ng console có th ư c k t n i t i máy tính thông qua k t n i serial làm tăng truy c p u cu i t i router. H u h t các router u có c ng auxiliary, nó tương t như c ng console nhưng c trưng hơn, ư c dùng cho k t n i modem qu n lý router t xa. - VD: xem màn hình console c a m t router 3640 ã kh i ng. Chú ý b x lý, interface và thông tin b nh ư c li t kê Cisco 3640 Router Console Output at Startup System Bootstrap, Version 11.1(20)AA2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) Copyright (c) 1999 by Cisco Systems, Inc. C3600 processor with 98304 Kbytes of main memory Main memory is configured to 64 bit mode with parity disabled program load complete, entry point: 0x80008000, size: 0xa8d168 Self decompressing the image : ################################################################## ################################################### [OK] Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software – Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 Cisco Internetwork Operating System Software
IOS (tm) 3600 Software (C3640-IS-M), Version 12.2(10), RELEASE SOFTWARE (fc2) Copyright (c) 1986-2002 by Cisco Systems, Inc. Compiled Mon 06-May-02 23:23 by pwade Image text-base: 0x60008930, data-base: 0x610D2000 cisco 3640 (R4700) processor (revision 0x00) with 94208K/4096K bytes of memory. Processor board ID 17746964 R4700 CPU at 100Mhz, Implementation 33, Rev 1.0 Bridging software. X.25 software, Version 3.0.0. SuperLAT software (copyright 1990 by Meridian Technology Corp). 5 Ethernet/IEEE 802.3 interface(s) 1 Serial network interface(s) DRAM configuration is 64 bits wide with parity disabled. 125K bytes of non-volatile configuration memory. 8192K bytes of processor board System flash (Read/Write) 16384K bytes of processor board PCMCIA Slot0 flash (Read/Write) --- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: - Khi m t router m i kh i ng l n u, IOS s ch y ti n trình t ng cài t và ngư i s d ng ư c nh c tr l i 1 vài câu h i. Sau ó IOS s c u hình h th ng d a trên nh ng thông tin nh n ư c. Sau khi hoàn t t vi c cài t, c u hình thư ng s d ng nh t ư c ch nh s a b ng cách dùng giao di n câu l nh (CLI). Còn có m t s cách khác c u hình router bao g m HTTP và các ng d ng qu n tr m ng.
2. Cisco IOS CLI: - Cisco có 3 mode l nh, v i t ng mode s có quy n truy c p t i nh ng b l nh khác nhau - User mode: ây là mode u tiên mà ngư i s d ng truy c p vào sau khi ăng nh p vào router. User mode có th ư c nh n ra b i ký hi u > ngay sau tên router. Mode này cho phép ngư i dùng ch th c thi ư c m t s câu l nh cơ b n ch ng h n như xem tr ng thái c a h th ng. H th ng không th ư c c u hình hay kh i ng l i mode này. - Privileged mode: mode này cho phép ngư i dùng xem c u hình c a h th ng, kh i ng l i h th ng và i vào mode c u hình. Nó cũng cho phép th c thi t t c các câu l nh user mode. Privileged mode có th ư c nh n ra b i ký hi u # ngay sau tên router. Ngư i s d ng s gõ câu l nh enable cho IOS bi t là h mu n i vào Privileged mode t User mode. N u enable password hay enabel secret password ư c cài t, ngu i s d ng c n ph i gõ vào úng m t kh u thì m i có quy n truy c p vào privileged mode. Enable secret password s d ng phương th c mã hoá m nh hơn khi nó ư c lưu tr trong c u hình, do v y nó an toàn hơn. Privileged mode cho phép ngư i s d ng làm b t c gì trên router, vì v y nên s d ng c n th n. thoát kh i privileged mode, ngư i s d ng th c thi câu l nh disable. - Configuration mode: mode này cho phép ngư i s d ng ch nh s a c u hình ang ch y. i vào configuration mode, gõ câu l nh configure terminal t privileged mode. Configuration mode có nhi u mode nh khác nhau, b t u v i global configuration mode, nó có th ư c nh n ra b i ký hi u (config)# ngay sau tên router. Các mode nh trong configuration mode thay i tuỳ thu c vào b n mu n c u hình cái gì, t bên trong ngo c s thay i. Ch ng h n khi b n mu n vào mode interface, ký hi u s thay i thành (config-if)# ngay sau tên router. thoát kh i configuration mode, ngư i s d ng có th gõ end hay nh n t h p phím Ctrl-Z - Chú ý các mode, tuỳ vào tình hu ng c th mà câu l nh ? t i các v trí s hi n th lên các câu l nh có th có cùng m c. Ký hi u ? cũng có th s d ng gi a câu l nh xem các tuỳ ch n ph c t p c a câu l nh. Example 4-2 hi n th cách s d ng câu l nh ? v i t ng mode - VD: Using Context-Sensitive Help Router>? Exec commands: access-enable Create a temporary Access-List entry
access-profile Apply user-profile to interface clear Reset functions … - Bư c ti p theo s hư ng d n b n s d ng câu l nh thay i mode, xem c u hình h th ng và c u hình password. Màn hình CLI c a m t router 3640 ang ch y h i u hành Cisco IOS ư c hi n th . - Bư c 1: Vào enable mode b ng cách gõ enable và nh n phím Enter Router> enable Router# - Bư c 2: xem phiên b n c a h i u hành IOS ang ch y, gõ l nh show version Router# show version Cisco Internetwork Operating System Software IOS (tm) 3600 Software (C3640-IS-M), Version 12.2(10), RELEASE SOFTWARE (fc2) Copyright (c) 1986-2002 by Cisco Systems, Inc. Compiled Mon 06-May-02 23:23 by pwade Image text-base: 0x60008930, data-base: 0x610D2000 ROM: System Bootstrap, Version 11.1(20)AA2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) Router uptime is 47 minutes System returned to ROM by reload System image file is "slot0:c3640-is-mz.122-10.bin" cisco 3640 (R4700) processor (revision 0x00) with 94208K/4096K bytes of memory. Processor board ID 17746964
R4700 CPU at 100Mhz, Implementation 33, Rev 1.0 Bridging software. X.25 software, Version 3.0.0. SuperLAT software (copyright 1990 by Meridian Technology Corp). 5 Ethernet/IEEE 802.3 interface(s) 1 Serial network interface(s) DRAM configuration is 64 bits wide with parity disabled. 125K bytes of non-volatile configuration memory. 8192K bytes of processor board System flash (Read/Write) 16384K bytes of processor board PCMCIA Slot0 flash (Read/Write) Configuration register is 0x2002 - T màn hình hi n th trên cho ta th y, router này ang ch y h i u hành Cisco IOS phiên b n 12.2(10) và b n sao c a nó ư c lưu trong th nh Flash PCMCIA trong slot 0 - Bư c 3: Ti p theo, c u hình tên router thành IOS. Vào configuration mode b ng cách gõ l nh configure terminal Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# hostname IOS IOS(config)# - Chú ý r ng ký hi u s chuy n ngay thành IOS sau khi b n gõ câu l nh hostname. T t c các thay c u hình trong Cisco IOS s th c thi ngay l p t c - Bư c 4: Ti p theo, b n c n t enable password và enable secret password. Enable secret password ư c lưu tr b ng cách dùng thu t toán mã hoá r t m nh và ư c ghi è lên enable password n u nó ã ư c c u hình IOS(config)# enable password cisco IOS(config)# enable secret san-fran
IOS(config)# exit IOS# - vào enable mode b n c n gõ m t kh u là san-fran. Câu l nh exit s ưa b n quay l i 1 m c trong c u hình hay thoát kh i mode con hi n t i - Bư c 5: Sau khi c u hình tên router và cài t password, b n có th xem c u hình ang ch y IOS# show running-config Building configuration... Current configuration : 743 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname IOS ! enable secret 5 $1$IP7a$HClNetI.hpRdox84d.FYU. enable password cisco ! ip subnet-zero !
call rsvp-sync ! interface Ethernet0/0 no ip address shutdown half-duplex ! interface Serial0/0 no ip address shutdown no fair-queue ! interface Ethernet2/0 no ip address shutdown half-duplex ! interface Ethernet2/1 no ip address shutdown half-duplex ! interface Ethernet2/2 no ip address
shutdown half-duplex ! interface Ethernet2/3 no ip address shutdown half-duplex ! ip classless ip http server ip pim bidir-enable ! dial-peer cor custom ! line con 0 line aux 0 line vty 0 4 ! end - Bư c 6: Màn hình sau khi gõ show running-config s hi n th c u hình hi n th i ang ho t ng trong h th ng, tuy nhiên c u hình này s m t n u như h th ng kh i ng l i. lưu c u hình vào NVRAM, b n ch c ch n ph i gõ l nh IOS# copy running-config startup-config Destination filename [startup-config]? Building configuration...
[OK] - Bư c 7: xem c u hình ư c lưu trong NVRAM, b n dùng l nh show startup-config - Trong chu i các bư c trên, chú ý interface Ethernet và serial ư c hi n th trong file c u hình. M i interface c n có nh ng thông s ch c ch n như s óng gói và a ch ư c cài t trư c khi interface có th s d ng m t cách úng n. Thêm vào ó, nh tưy n IP và b c c u c n ph i ư c c u hình. Tham kh o vi c cài t Cisco IOS và hư ng d n c u hình t i www.cisco.com cho phiên b n ph n mêm c a b n tham kh o thêm v t t c các tuỳ ch n c u hình có th có và hư ng d n chi ti t. - M t vài câu l nh thư ng dùng qu n lý h th ng Cisco IOS Command Miêu t show interface Hi n th tr ng thái hi n t i và chi ti t c u hình cho t t c các interface trong h th ng show processes cpu Hi n th vi c s d ng CPU và các ti n trình ang ch y trong h th ng show buffers Xem có bao nhiêu buffers ang ư c c p phát hi n th i và s ho t ng cho vi c chuy n ti p các packet show memory Xem có bao nhiêu b nh ư c c p phát cho các chưc năng khác c a h th ng và vi c s d ng b nh show diag Hi n th chi ti t các th nh trong h th ng show ip route Hi n th b ng IP route ang s d ng show arp Hi n th a ch MAC ánh x t a ch IP ang dùng trong b ng ARP
3. IV. Qui Trình C u Hình 4 Bư c IPSec/VPN Trên Cisco IOS: - Ta có th c u hình IPSec trên VPN qua 4 bư c sau ây: 1. Chu n b cho IKE và IPSec 2. C u hình cho IKE 3. C u hình cho IPSec C u hình d ng mã hóa cho gói d li u Crypto ipsec transform-set C u hình th i gian t n t i c a gói d li u và các tùy ch n b o m t khác Crypto ipsec sercurity-association lifetime T o crytoACLs b ng danh sách truy c p m r ng (Extended Access List) Crypto map C u hình IPSec crypto maps Áp d ng các crypto maps vào các c ng giao ti p (interfaces) Crypto map map-name 4. Ki m tra l i vi c th c hi n IPSec A. C u hình cho mã hóa d li u: - Sau ây b n s c u hình Cisco IOS IPSec b ng cách s d ng chính sách b o m t IPSec (IPSec Security Policy) nh nghĩa các các chính sách b o m t IPSec (transform set).
- Chính sách b o m t IPSec (transform set) là s k t h p các c u hình IPSec transform riêng r ư c nh nghĩa và thi t k cho các chính sách b o m t lưu thông trên m ng. Trong su t quá trình trao i ISAKMP IPSec SA n u x y ra l i trong quá trình IKE Phase 2 quick mode, thì hai bên s s d ng transform set riêng cho vi c b o v d li u riêng c a mình trên ư ng truy n. Transform set là s k t h p c a các nhân t sau: • Cơ ch cho vi c ch ng th c: chính sách AH • Cơ ch cho vi c mã hóa: chính sách ESP • Ch IPSec (phương ti n truy n thông cùng v i ư ng h m b o m t) - Transform set b ng v i vi c k t h p các AH transform, ESP transform và ch IPSec (ho c cơ ch ư ng h m b o m t ho c ch phương ti n truy n thông). Transform set gi i h n t m t cho t i hai ESP transform và m t AH transform. nh
nghĩa Transform set b ng câu l nh cryto ipsec transform-set ch gobal mode. Và xoá các cài t transform set dùng l nh d ng no. - Cú pháp c a l nh và các tham s truy n vào như sau: crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] - Các tham s c a l nh crypto ipsec transform-set Tham s Ý nghĩa transform-set-name Ch nh tên c a Transform ư c t o hay ư c thay i transform1, transform2, transform3 Ch t 3 transform tr lên. Nh ng transform ư c nh nghĩa cho giao th c b o m t IPSec (IPSec Security Protocol) và thu t tóan - B n có th c u hình nhi u transform set và ch rõ m t hay nhi u transform set trong m c crypto map. nh nghĩa các transform set trong m c crypto map ư c s d ng trong trao i IPSec SA b o v d li u ư c inh nghĩa b i ACL c a m c crypto map. Trong su t quá trình trao i, c hai bên s tìm ki m các transform set gi ng nhau c hai phiá. Khi mà các transform set ư c tìm th y, nó s ư c s d ng b o v d li u trên ư ng truy n như là m t ph n c a các IPSec Sa c 2 phía. - Khi mà ISAKMP không ư c s d ng thi t l p các Sa, m t transform set riêng r s ư c s d ng. Transform set ó s không ư c trao i. - Thay i c u hình Transform set: B1: Xóa các tranform set t crypto map B2: Xóa các transform set trong ch c u hình gobal mode B3: C u hình l i transform set v i nh ng thay i B4: Gán transform set v i crypto map B5: Xóa cơ s d li u SA (SA database) B6: Theo dõi các trao i SA và ch c ch n nó h at ng t t
- C u hình cho vi c trao i transform: - Tranform set ư c trao i trong su t ch quick mode trong IKE Phase 2 là nh ng các transform set mà b n c u hình ưu tiên s d ng. B n có th c u hình nhi u transform set và có th ch ra m t hay nhi u transform set trong m c crypto map. C u hình transform set t nh ng b o m t thông thư ng nh nh t gi ng như trong chính sách b o m t c a b n. Nh ng transform set ư c nh nghĩa trong m c crypto map ư c s d ng trong trao i IPSec SA b o v d li u ư c nh nghĩa b i ACL c a m c crypto map. - Trong su t quá trình trao i m i bên s tìm ki m các transform set gi ng nhau c hai bên như minh h a hình trên. Các transform set c a Router A ư c so sánh v i m t transform set c a Router B và c ti p t c như th . Router A transform set 10, 20, 30 ư c so sánh v i transform set 40 c a Router B. N u mà không tr v k t qu úng thì t t c các transform set c a Router A sau ó s ư c so sánh v i transform set ti p theo c a Router B. Cu i cùng transform set 30 c a Router A gi ng v i transform set 60 c a Router B. Khi mà transform set ư c tìm th y, nó s ư c ch n và áp d ng cho
vi c b o v ư ng truy n như là m t ph n c a IPSec SA c a c hai phía. IPSec m i bên s ch p nh n m t transform duy nh t ư c ch n cho m i SA. B. C u hình th i gian t n t i c a IPSec trong quá trình trao i: - IPSec SA ư c nh nghĩa là th i gian t n t i c a IPSec SA trư c khi th c hi n l i quá trình trao i ti p theo. Cisco IOS h tr giá tr th i gian t n t i có th áp d ng lên t t c các crypto map. Giá tr c a global lifetime có th ư c ghi è v i nh ng m c trong crypto map. - B n có th thay i giá tr th i gian t n t i c a IPSec SA b ng câu l nh crypto ipsec security-association lifetime ch global configuration mode. tr v giá tr m c nh ban u s d ng d ng câu l nh no. C u trúc và các tham s c a câu l nh ư c nh nghĩa như sau: cryto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes}
Câu l nh Tham s seconds seconds Ch nh kh ang th i gian t n t i c a IPSec SA. M c nh là 3600 giây (m t gi ) kilobytes kilobytes Ch nh dung lư ng trong lưu thông IPSec gi a 2 bên s d ng ưa SA trư c khi SA h t h n. Giá tr m c nh 4,608,000 KB - Cisco khuy n cáo b n nên s d ng các giá tr m c nh. B n thân th i gian t n t i c a m i IPSec SA có th ư c c u hình b ng cách s d ng crypto map. - nh nghĩa Crypto Access Lists: -Crypto access list (Crypto ACLs) ư c s d ng nh nghĩa nh ng lưu thông (traffic) nào ư c s d ng hay kho s d ng IPSec.
- Crypto ACLs th c hi n các ch c năng sau: • Outbound: Ch n nh ng traffic ư c b o v b i IPSec. Nh ng traffic còn l i s ư c g i d ng không mã hóa. • Inbound: N u có yêu c u thì inbound access list có th t o l c ra và l ai b nh ng traffic kho ư c b o v b i IPSec. C. T o cryto ACLs b ng danh sách truy c p m r ng (Extends access list): - Cryto ACLs ư c nh nghĩa b o v nh ng d li u ư c truy n t i trên m ng. Danh sach truy c p m r ng (Extended IP ACLs) s ch n nh ng lu ng d li u (IP traffic) mã hóa b ng cách s d ng các giao th c truy n t i (protocol), a ch IP (IP address), m ng (network), m ng con (subnet) và c ng d ch v (port). M c dù cú pháp ACL và extended IP ACLs là gi ng nhau, nghĩa là ch có s khác bi t chút ít trong crypto ACLs. ó là cho phép (permit) ch nh ng gói d li u ánh d u m i ư c mã hóa và t ch i (deny) v i nh ng gói d li u ư c ánh d u m i không ư c mã hóa. Crypto ACLs h at ng tương t như extendeds IP ACL ó là ch áp d ng trên nh ng lu ng d li u i ra (outbound traffic) trên m t interface.
- Cú pháp câu l nh và các tham s ư c nh nghĩa cho d ng cơ b n c a danh sách extended IP ACL như sau: access-list access-list-number { permit | deny } protocol source Source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log] Access-list access-list-number command Tham S Permit T t c các lu ng d li u (traffic IP)s ư c ánh d u ư c b o v b ng cryto ph i s d ng chính sách b o m t (policy) li t kê cho phù h p v i các m c trong crypto map (crypto map entry) Deny Cho bi t nh ng lu ng d li u (traffic) t router nào t i router nào là an tòan Source and destination ó là nh ng m ng (network), m ng con (subnet) ho c là máy tr m (host) - Ghi chú: M c dù c u trúc ACL là không i nhưng v ý nghĩa có khác so v i cryto ACLs. ó là ch cho phép (permit) nh ng gói d li u ư c ánh d u m i ư c mã hóa và t ch i (deny) nh ng gói d li u ư c ánh d u không ư c mã hóa. - B t c lu ng d li u nào n (traffic inbound) không ư c b o v s ư c ánh d u permit trong crypto ACL c a m c crypto map gi ng như IPSec s h y b gói tin ó. Gói tin b h y b b i vì lu ng d li u ã ư c b o v b ng IPSec. - N u b n th c s mu n d li u t i nơi nh n là s k t h p c a ch m t d ng b o m t IPSec (ch ch ng th c-authentication) và nh ng d li u khác t i nơi nh n là s k t h p c a nhi u d ng b o m t khác (c ch ng th c và mã hóa) thì b n ph i t o hai crypto ACLs khác nhau nh nghĩa hai d ng c a d li u g i i. Hai ACLs khác nhau s ư c s d ng trong nh ng m c crypto map khác nhau c a nh ng IPSec policy khác nhau. - Chú ý: Cisco khuy n cáo b n nên tránh vi c s d ng t khóa any nh ng a ch nơi g i và ích t i. Câu l nh permit any any r t d x y ra l i b i vì t t c các
lu ng d li u g i i (outbound traffic) s ư c b o v và t t c s ư c g t i nơi nh n phù h p trong crypto map entry. Sau ó t t c d li u g i t i (inbound packet) mà thi u s b o v c a IPSec s b b i, bao g m c các gói d li u cho giao th c nh tuy n (routing protocol), NTP, echo, echo response và nhi u cái khác. - Ph i gi i h n nh ng cái c n thi t khi mà nh nghĩa nh ng gói d li u ư c b o m t trong cryptoACLs. N u c n ph i s d ng t khóa any trong câu l nh permit, c n ph i m u câu l nh v i m t chu i các câu l nh deny l c các lu ng d li u i ra mà b n không mu n b o v . D. C u hình IPSec crypto maps: E. Áp d ng các crypto maps vào các c ng giao ti p (interfaces): V. Cách Th c Truy C p Vào Thi t B M ng (Telnet/SNMP): VI. .

Empfohlen

Mang vpn
Mang vpnMang vpn
Mang vpn
antelope244
 
Tổng quan về mạng riêng ảo vpn
Tổng quan về mạng riêng ảo vpnTổng quan về mạng riêng ảo vpn
Tổng quan về mạng riêng ảo vpn
duytruyen1993
 
Tim hieu mang rieng ao
Tim hieu mang rieng aoTim hieu mang rieng ao
Tim hieu mang rieng ao
Phía Cuối Con Đường
 
Bao cao thuc tap vpn
Bao cao thuc tap vpnBao cao thuc tap vpn
Bao cao thuc tap vpn
TranQuangChien
 
Tìm hiều về mạng riêng ảo VPN-Virtual Private Network
Tìm hiều về mạng riêng ảo VPN-Virtual Private Network Tìm hiều về mạng riêng ảo VPN-Virtual Private Network
Tìm hiều về mạng riêng ảo VPN-Virtual Private Network
AskSock Ngô Quang Đạo
 
Tổng quan về mạng riêng ảo vpn
Tổng quan về mạng riêng ảo vpnTổng quan về mạng riêng ảo vpn
Tổng quan về mạng riêng ảo vpn
duytruyen1993
 
Tài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows Server
Tài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows ServerTài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows Server
Tài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows Server
Diệp Trần
 
Đồ án Xây dựng hệ thống bảo mật mạng VPN/IPSEC
Đồ án Xây dựng hệ thống bảo mật mạng VPN/IPSECĐồ án Xây dựng hệ thống bảo mật mạng VPN/IPSEC
Đồ án Xây dựng hệ thống bảo mật mạng VPN/IPSEC
nataliej4
 

Empfohlen

Mang vpn
Mang vpnMang vpn
Mang vpn
antelope244
 
Tổng quan về mạng riêng ảo vpn
Tổng quan về mạng riêng ảo vpnTổng quan về mạng riêng ảo vpn
Tổng quan về mạng riêng ảo vpn
duytruyen1993
 
Tim hieu mang rieng ao
Tim hieu mang rieng aoTim hieu mang rieng ao
Tim hieu mang rieng ao
Phía Cuối Con Đường
 
Bao cao thuc tap vpn
Bao cao thuc tap vpnBao cao thuc tap vpn
Bao cao thuc tap vpn
TranQuangChien
 
Tìm hiều về mạng riêng ảo VPN-Virtual Private Network
Tìm hiều về mạng riêng ảo VPN-Virtual Private Network Tìm hiều về mạng riêng ảo VPN-Virtual Private Network
Tìm hiều về mạng riêng ảo VPN-Virtual Private Network
AskSock Ngô Quang Đạo
 
Tổng quan về mạng riêng ảo vpn
Tổng quan về mạng riêng ảo vpnTổng quan về mạng riêng ảo vpn
Tổng quan về mạng riêng ảo vpn
duytruyen1993
 
Tài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows Server
Tài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows ServerTài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows Server
Tài liệu về VPN IPSEC - Trển khai VPN có IPsec trên Windows Server
Diệp Trần
 
Đồ án Xây dựng hệ thống bảo mật mạng VPN/IPSEC
Đồ án Xây dựng hệ thống bảo mật mạng VPN/IPSECĐồ án Xây dựng hệ thống bảo mật mạng VPN/IPSEC
Đồ án Xây dựng hệ thống bảo mật mạng VPN/IPSEC
nataliej4
 
Mạng riêng ảo VPN
Mạng riêng ảo VPNMạng riêng ảo VPN
Mạng riêng ảo VPN
Legolas1618
 
Bao caototnghiep ve vpn
Bao caototnghiep ve vpnBao caototnghiep ve vpn
Bao caototnghiep ve vpn
vanliemtb
 
Datotnghiep openvpn
Datotnghiep openvpnDatotnghiep openvpn
Datotnghiep openvpn
Thanh Nguyen
 
TRIỂN KHAI OPENVPN TRÊN UBUNTU SERVER
TRIỂN KHAI OPENVPN TRÊN UBUNTU SERVERTRIỂN KHAI OPENVPN TRÊN UBUNTU SERVER
TRIỂN KHAI OPENVPN TRÊN UBUNTU SERVER
Bảo Bối
 
Báo cáo thực tập tuần 6
Báo cáo thực tập tuần 6Báo cáo thực tập tuần 6
Báo cáo thực tập tuần 6
Quân Quạt Mo
 
Nghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpnNghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpn
peterh18
 
Báo cáo Tìm hiểu tổng quan về netbeans + demo
Báo cáo Tìm hiểu tổng quan về netbeans + demoBáo cáo Tìm hiểu tổng quan về netbeans + demo
Báo cáo Tìm hiểu tổng quan về netbeans + demo
nataliej4
 
Bai 3 internet va mang
Bai 3 internet va mangBai 3 internet va mang
Bai 3 internet va mang
Viet Duong Nguyen
 
firewall
firewallfirewall
firewall
Kim Chan
 
Tổng quan về vpn
Tổng quan về vpnTổng quan về vpn
Tổng quan về vpn
hogphuc92
 
RollUp-UdeM
RollUp-UdeMRollUp-UdeM
RollUp-UdeM
Amélie Allain
 
第3回 iPhoneやiPadで簡単にホームページを作ろう
第3回 iPhoneやiPadで簡単にホームページを作ろう第3回 iPhoneやiPadで簡単にホームページを作ろう
第3回 iPhoneやiPadで簡単にホームページを作ろう
Kotaro Akama
 
(τθ) κομικς ολα
(τθ) κομικς ολα(τθ) κομικς ολα
(τθ) κομικς ολα
Eleni Kots
 
Lição 2- O PADRÃO DA LEI MORAL
Lição 2- O PADRÃO DA LEI MORALLição 2- O PADRÃO DA LEI MORAL
Lição 2- O PADRÃO DA LEI MORAL
Igreja Evangélica Assembléia de Deus
 
cong song day 0988709729
cong song day 0988709729cong song day 0988709729
cong song day 0988709729
congsongday
 
Pedoman menulis berita
Pedoman menulis beritaPedoman menulis berita
Pedoman menulis berita
Sutardjo ( Mang Ojo )
 
Pascoe v MOD
Pascoe v MODPascoe v MOD
Pascoe v MOD
Murray Grant
 
Gateway local
Gateway localGateway local
Gateway local
VNG
 
6.2 mô tả các lĩnh vực hoặc ngành công nghiệp mà nghề nghiệp của một người thuộc
6.2 mô tả các lĩnh vực hoặc ngành công nghiệp mà nghề nghiệp của một người thuộc6.2 mô tả các lĩnh vực hoặc ngành công nghiệp mà nghề nghiệp của một người thuộc
6.2 mô tả các lĩnh vực hoặc ngành công nghiệp mà nghề nghiệp của một người thuộc
Lac Hong University
 
Contando negócios, vendendo histórias - para quadrinistas
Contando negócios, vendendo histórias - para quadrinistasContando negócios, vendendo histórias - para quadrinistas
Contando negócios, vendendo histórias - para quadrinistas
Zé Wellington
 
Manajemen operasional
Manajemen operasionalManajemen operasional
Manajemen operasional
Hikmah Siti Nazwah
 
Admium evenement 'Aandacht smaakt beter'
Admium evenement 'Aandacht smaakt beter'Admium evenement 'Aandacht smaakt beter'
Admium evenement 'Aandacht smaakt beter'
Internative
 

Weitere ähnliche Inhalte

Was ist angesagt?

Bao caototnghiep ve vpn
Bao caototnghiep ve vpnBao caototnghiep ve vpn
Bao caototnghiep ve vpn
vanliemtb
 
TRIỂN KHAI OPENVPN TRÊN UBUNTU SERVER
TRIỂN KHAI OPENVPN TRÊN UBUNTU SERVERTRIỂN KHAI OPENVPN TRÊN UBUNTU SERVER
TRIỂN KHAI OPENVPN TRÊN UBUNTU SERVER
Bảo Bối
 
Nghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpnNghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpn
peterh18
 
Tổng quan về vpn
Tổng quan về vpnTổng quan về vpn
Tổng quan về vpn
hogphuc92
 

Was ist angesagt? (10)

Mạng riêng ảo VPN
Mạng riêng ảo VPNMạng riêng ảo VPN
Mạng riêng ảo VPN
 
Bao caototnghiep ve vpn
Bao caototnghiep ve vpnBao caototnghiep ve vpn
Bao caototnghiep ve vpn
 
Datotnghiep openvpn
Datotnghiep openvpnDatotnghiep openvpn
Datotnghiep openvpn
 
TRIỂN KHAI OPENVPN TRÊN UBUNTU SERVER
TRIỂN KHAI OPENVPN TRÊN UBUNTU SERVERTRIỂN KHAI OPENVPN TRÊN UBUNTU SERVER
TRIỂN KHAI OPENVPN TRÊN UBUNTU SERVER
 
Báo cáo thực tập tuần 6
Báo cáo thực tập tuần 6Báo cáo thực tập tuần 6
Báo cáo thực tập tuần 6
 
Nghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpnNghien cuu ma nguon mo openvpn
Nghien cuu ma nguon mo openvpn
 
Báo cáo Tìm hiểu tổng quan về netbeans + demo
Báo cáo Tìm hiểu tổng quan về netbeans + demoBáo cáo Tìm hiểu tổng quan về netbeans + demo
Báo cáo Tìm hiểu tổng quan về netbeans + demo
 
Bai 3 internet va mang
Bai 3 internet va mangBai 3 internet va mang
Bai 3 internet va mang
 
firewall
firewallfirewall
firewall
 
Tổng quan về vpn
Tổng quan về vpnTổng quan về vpn
Tổng quan về vpn
 

Andere mochten auch

(τθ) κομικς ολα
(τθ) κομικς ολα(τθ) κομικς ολα
(τθ) κομικς ολα
Eleni Kots
 
cong song day 0988709729
cong song day 0988709729cong song day 0988709729
cong song day 0988709729
congsongday
 
Minimallyinvasiveeducation mie journey 2012
Minimallyinvasiveeducation mie journey 2012Minimallyinvasiveeducation mie journey 2012
Minimallyinvasiveeducation mie journey 2012
Jose Luis Rios
 
Quotes Tempo-Team Business Consultancy
Quotes Tempo-Team Business ConsultancyQuotes Tempo-Team Business Consultancy
Quotes Tempo-Team Business Consultancy
Rudy Post
 
Dr._Lee_recommendation_letter
Dr._Lee_recommendation_letterDr._Lee_recommendation_letter
Dr._Lee_recommendation_letter
InYoung Lee
 
Regulacao impacto regulatório
Regulacao impacto regulatórioRegulacao impacto regulatório
Regulacao impacto regulatório
tcarioca
 
Harari New spread
Harari New spreadHarari New spread
Harari New spread
Leon Parks
 

Andere mochten auch (20)

RollUp-UdeM
RollUp-UdeMRollUp-UdeM
RollUp-UdeM
 
第3回 iPhoneやiPadで簡単にホームページを作ろう
第3回 iPhoneやiPadで簡単にホームページを作ろう第3回 iPhoneやiPadで簡単にホームページを作ろう
第3回 iPhoneやiPadで簡単にホームページを作ろう
 
(τθ) κομικς ολα
(τθ) κομικς ολα(τθ) κομικς ολα
(τθ) κομικς ολα
 
Lição 2- O PADRÃO DA LEI MORAL
Lição 2- O PADRÃO DA LEI MORALLição 2- O PADRÃO DA LEI MORAL
Lição 2- O PADRÃO DA LEI MORAL
 
cong song day 0988709729
cong song day 0988709729cong song day 0988709729
cong song day 0988709729
 
Pedoman menulis berita
Pedoman menulis beritaPedoman menulis berita
Pedoman menulis berita
 
Pascoe v MOD
Pascoe v MODPascoe v MOD
Pascoe v MOD
 
Gateway local
Gateway localGateway local
Gateway local
 
6.2 mô tả các lĩnh vực hoặc ngành công nghiệp mà nghề nghiệp của một người thuộc
6.2 mô tả các lĩnh vực hoặc ngành công nghiệp mà nghề nghiệp của một người thuộc6.2 mô tả các lĩnh vực hoặc ngành công nghiệp mà nghề nghiệp của một người thuộc
6.2 mô tả các lĩnh vực hoặc ngành công nghiệp mà nghề nghiệp của một người thuộc
 
Contando negócios, vendendo histórias - para quadrinistas
Contando negócios, vendendo histórias - para quadrinistasContando negócios, vendendo histórias - para quadrinistas
Contando negócios, vendendo histórias - para quadrinistas
 
Manajemen operasional
Manajemen operasionalManajemen operasional
Manajemen operasional
 
Admium evenement 'Aandacht smaakt beter'
Admium evenement 'Aandacht smaakt beter'Admium evenement 'Aandacht smaakt beter'
Admium evenement 'Aandacht smaakt beter'
 
取手「あしたの郊外」プロジェクトへの応募スライド
取手「あしたの郊外」プロジェクトへの応募スライド取手「あしたの郊外」プロジェクトへの応募スライド
取手「あしたの郊外」プロジェクトへの応募スライド
 
Minimallyinvasiveeducation mie journey 2012
Minimallyinvasiveeducation mie journey 2012Minimallyinvasiveeducation mie journey 2012
Minimallyinvasiveeducation mie journey 2012
 
Quotes Tempo-Team Business Consultancy
Quotes Tempo-Team Business ConsultancyQuotes Tempo-Team Business Consultancy
Quotes Tempo-Team Business Consultancy
 
1.3.8 BE Eighth Sem
1.3.8 BE Eighth Sem1.3.8 BE Eighth Sem
1.3.8 BE Eighth Sem
 
Dr._Lee_recommendation_letter
Dr._Lee_recommendation_letterDr._Lee_recommendation_letter
Dr._Lee_recommendation_letter
 
Regulacao impacto regulatório
Regulacao impacto regulatórioRegulacao impacto regulatório
Regulacao impacto regulatório
 
Harari New spread
Harari New spreadHarari New spread
Harari New spread
 
Presentacion Para Caballitos
Presentacion Para CaballitosPresentacion Para Caballitos
Presentacion Para Caballitos
 

Ähnlich wie VPN

Tổng quan về mạng riêng ảo
Tổng quan về mạng riêng ảoTổng quan về mạng riêng ảo
Tổng quan về mạng riêng ảo
nguyenhoangbao
 
Baocaogiuaki
BaocaogiuakiBaocaogiuaki
Baocaogiuaki
woonshine
 
Báo cáo giữa kỳ
Báo cáo giữa kỳBáo cáo giữa kỳ
Báo cáo giữa kỳ
Khỉ Lùn
 
Bao cao giua ky
Bao cao giua kyBao cao giua ky
Bao cao giua ky
td1021
 
Baocaogiuaki
BaocaogiuakiBaocaogiuaki
Baocaogiuaki
hogphuc92
 
Cấu Hình ADSL
Cấu Hình ADSLCấu Hình ADSL
Cấu Hình ADSL
xeroxk
 
ISA Server 2006-Athena
ISA Server 2006-AthenaISA Server 2006-Athena
ISA Server 2006-Athena
xeroxk
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tập
Trần Hiệu
 
đồ áN thực tập tại athena
đồ áN thực tập tại athenađồ áN thực tập tại athena
đồ áN thực tập tại athena
Huy Bach
 

Ähnlich wie VPN (20)

Vpn Qos trên router cisco
Vpn Qos trên router ciscoVpn Qos trên router cisco
Vpn Qos trên router cisco
 
Báo cáo tuần 6
Báo cáo tuần 6Báo cáo tuần 6
Báo cáo tuần 6
 
Tổng quan về vpn
Tổng quan về vpnTổng quan về vpn
Tổng quan về vpn
 
Tổng quan về mạng riêng ảo
Tổng quan về mạng riêng ảoTổng quan về mạng riêng ảo
Tổng quan về mạng riêng ảo
 
Baocaogiuaki
BaocaogiuakiBaocaogiuaki
Baocaogiuaki
 
Giới thiệu về Mạng riêng ảo Vitual Private Network
Giới thiệu về Mạng riêng ảo Vitual Private NetworkGiới thiệu về Mạng riêng ảo Vitual Private Network
Giới thiệu về Mạng riêng ảo Vitual Private Network
 
Mang vpn
Mang vpnMang vpn
Mang vpn
 
Báo cáo giữa kỳ
Báo cáo giữa kỳBáo cáo giữa kỳ
Báo cáo giữa kỳ
 
Bao cao giua ky
Bao cao giua kyBao cao giua ky
Bao cao giua ky
 
Baocaogiuaki
BaocaogiuakiBaocaogiuaki
Baocaogiuaki
 
Cấu Hình ADSL
Cấu Hình ADSLCấu Hình ADSL
Cấu Hình ADSL
 
C10 - Routing Remote Access -2020.pdf
C10 - Routing Remote Access -2020.pdfC10 - Routing Remote Access -2020.pdf
C10 - Routing Remote Access -2020.pdf
 
ĐỒ ÁN - Ứng dụng Openvpn trong bảo mật hệ thống mạng cho doanh nghiệp.doc
ĐỒ ÁN - Ứng dụng Openvpn trong bảo mật hệ thống mạng cho doanh nghiệp.docĐỒ ÁN - Ứng dụng Openvpn trong bảo mật hệ thống mạng cho doanh nghiệp.doc
ĐỒ ÁN - Ứng dụng Openvpn trong bảo mật hệ thống mạng cho doanh nghiệp.doc
 
Baocaovpn
BaocaovpnBaocaovpn
Baocaovpn
 
Báo cáo thực tập tuần - 6 tại athena - đàm văn sáng
Báo cáo thực tập tuần - 6 tại athena - đàm văn sángBáo cáo thực tập tuần - 6 tại athena - đàm văn sáng
Báo cáo thực tập tuần - 6 tại athena - đàm văn sáng
 
Chia sẽ dữ liệu giữa hai chi nhánh
Chia sẽ dữ liệu giữa hai chi nhánhChia sẽ dữ liệu giữa hai chi nhánh
Chia sẽ dữ liệu giữa hai chi nhánh
 
BẢO MẬT WIFI
BẢO MẬT WIFIBẢO MẬT WIFI
BẢO MẬT WIFI
 
ISA Server 2006-Athena
ISA Server 2006-AthenaISA Server 2006-Athena
ISA Server 2006-Athena
 
Báo cáo thực tập
Báo cáo thực tậpBáo cáo thực tập
Báo cáo thực tập
 
đồ áN thực tập tại athena
đồ áN thực tập tại athenađồ áN thực tập tại athena
đồ áN thực tập tại athena
 

Mehr von VNG

Mehr von VNG (20)

Adsl lab
Adsl labAdsl lab
Adsl lab
 
Configuring i pv6
Configuring i pv6Configuring i pv6
Configuring i pv6
 
Ipv6 trien khai
Ipv6 trien khaiIpv6 trien khai
Ipv6 trien khai
 
Ipv6
Ipv6Ipv6
Ipv6
 
Cong nghe frame relay - chuong 4
Cong nghe frame relay - chuong 4Cong nghe frame relay - chuong 4
Cong nghe frame relay - chuong 4
 
Cong nghe frame relay - chuong 3
Cong nghe frame relay - chuong 3Cong nghe frame relay - chuong 3
Cong nghe frame relay - chuong 3
 
Cong nghe frame relay - chuong 2
Cong nghe frame relay - chuong 2Cong nghe frame relay - chuong 2
Cong nghe frame relay - chuong 2
 
Thiết lập i pv6 trên pc
Thiết lập i pv6 trên pcThiết lập i pv6 trên pc
Thiết lập i pv6 trên pc
 
Hoạt động chuyển giao i pv6 trên toàn cầu
Hoạt động chuyển giao i pv6 trên toàn cầuHoạt động chuyển giao i pv6 trên toàn cầu
Hoạt động chuyển giao i pv6 trên toàn cầu
 
Chuyen mach trong wan2
Chuyen mach trong wan2Chuyen mach trong wan2
Chuyen mach trong wan2
 
Cấu hình osp fv3 cơ bản
Cấu hình osp fv3 cơ bảnCấu hình osp fv3 cơ bản
Cấu hình osp fv3 cơ bản
 
Cấu trúc mở rộng của internet
Cấu trúc mở rộng của internetCấu trúc mở rộng của internet
Cấu trúc mở rộng của internet
 
Rtp
RtpRtp
Rtp
 
QOs
QOsQOs
QOs
 
Chapter4
Chapter4Chapter4
Chapter4
 
Chapter3(CAC BIEN PHAP BAO DAM CHAT LUONG DICH VU
Chapter3(CAC BIEN PHAP BAO DAM CHAT LUONG DICH VUChapter3(CAC BIEN PHAP BAO DAM CHAT LUONG DICH VU
Chapter3(CAC BIEN PHAP BAO DAM CHAT LUONG DICH VU
 
Chapter2
Chapter2Chapter2
Chapter2
 
Chapter1(TONG QUAN VE VOIP)
Chapter1(TONG QUAN VE VOIP)Chapter1(TONG QUAN VE VOIP)
Chapter1(TONG QUAN VE VOIP)
 
Mega wan
Mega wanMega wan
Mega wan
 
Ccip tổng quan mpls
Ccip tổng quan mplsCcip tổng quan mpls
Ccip tổng quan mpls
 

VPN

  • 1. C u Hình IPSEC/VPN Trên Thi t B Cisco I. T ng Quan V VPN: Trong th i i ngày nay, Internet ã phát tri n m nh v m t mô hình cho n công ngh , áp ng các nhu c u c a ngư i s d ng. Internet ã ư c thi t k k t n i nhi u m ng khác nhau và cho phép thông tin chuy n n ngư i s d ng m t cách t do và nhanh chóng mà không xem xét n máy và m ng mà ngư i s d ng ó ang dùng. làm ư c i u này ngư i ta s d ng m t máy tính c bi t g i là router k t n i các LAN và WAN v i nhau. Các máy tính k t n i vào Internet thông qua nhà cung c p d ch v (ISP-Internet Service Provider), c n m t giao th c chung là TCP/IP. i u mà k thu t còn ti p t c ph i gi i quy t là năng l c truy n thông c a các m ng vi n thông công c ng. V i Internet, nh ng d ch v như giáo d c t xa, mua hàng tr c tuy n, tư v n y t , và r t nhi u i u khác ã tr thành hi n th c.Tuy nhiên, do Internet có ph m vi toàn c u và không m t t ch c, chính ph c th nào qu n lý nên r t khó khăn trong
  • 2. vi c b o m t và an toàn d li u cũng như trong vi c qu n lý các d ch v . T ó ngư i ta ã ưa ra m t mô hình m ng m i nh m tho mãn nh ng yêu c u trên mà v n có th t n d ng l i nh ng cơ s h t ng hi n có c a Internet, ó chính là mô hình m ng riêng o (Virtual Private Network - VPN). V i mô hình m i này, ngư i ta không ph i u tư thêm nhi u v cơ s h t ng mà các tính năng như b o m t, tin c y v n m b o, ng th i có th qu n lý riêng ư c s ho t ng c a m ng này. VPN cho phép ngư i s d ng làm vi c t i nhà, trên ư ng i hay các văn phòng chi nhánh có th k t n i an toàn n máy ch c a t ch c mình b ng cơ s h t ng ư c cung c p b i m ng công c ng.[5] Nó có th m b o an toàn thông tin gi a các i lý, ngư i cung c p, và các i tác kinh doanh v i nhau trong môi trư ng truy n thông r ng l n. Trong nhi u trư ng h p VPN cũng gi ng như WAN (Wide Area Network), tuy nhiên c tính quy t nh c a VPN là chúng có th dùng m ng công c ng như Internet mà m b o tính riêng tư và ti t ki m hơn nhi u. 1. nh Nghĩa VPN: VPN ư c hi u ơn gi n như là s m r ng c a m t m ng riêng (private network) thông qua các m ng công c ng. V căn b n, m i VPN là m t m ng riêng r s d ng m t m ng chung (thư ng là internet) k t n i cùng v i các site (các m ng riêng l ) hay nhi u ngư i s d ng t xa. Thay cho vi c s d ng b i m t k t n i th c, chuyên d ng như ư ng leased line, m i VPN s d ng các k t n i o ư c d n ư ng qua Internet t m ng riêng c a các công ty t i các site hay các nhân viên t xa. có th g i và nh n d li u thông qua m ng công c ng mà v n b o m tính an tòan và b o m t VPN cung c p các cơ ch mã hóa d li u trên ư ng truy n t o ra m t ư ng ng b o m t gi a nơi nh n và nơi g i (Tunnel) gi ng như m t k t n i point-to-point trên m ng riêng. có th t o ra m t ư ng ng b o m t ó, d li u ph i ư c mã hóa hay che gi u i ch cung c p ph n u gói d li u (header) là thông tin v ư ng i cho phép nó có th i n ích thông qua m ng công c ng m t cách nhanh chóng. D l êu ư c mã hóa m t cách c n th n do ó n u các packet b b t l i trên ư ng truy n công c ng cũng không th c ư c n i dung vì không có khóa gi i mã. Liên k t v i d li u ư c mã hóa và óng gói ư c g i là k t n i VPN. Các ư ng k t n i VPN thư ng ư c g i là ư ng ng VPN (VPN Tunnel).
  • 3. 2. L i ích c a VPN: VPN cung c p nhi u c tính hơn so v i nh ng m ng truy n th ng và nh ng m ng m ng leased-line.Nh ng l i ích u tiên bao g m: • Chi phí th p hơn nh ng m ng riêng: VPN có th gi m chi phí khi truy n t i 20- 40% so v i nh ng m ng thu c m ng leased-line và gi m vi c chi phí truy c p t xa t 60-80%. • Tính linh ho t cho kh năng kinh t trên Internet: VPN v n ã có tính linh ho t và có th leo thang nh ng ki n trúc m ng hơn là nh ng m ng c i n, b ng cách ó nó có th ho t ng kinh doanh nhanh chóng và chi phí m t cách hi u qu cho vi c k t n i m r ng. Theo cách này VPN có th d dàng k t n i ho c ng t k t n i t xa c a nh ng văn phòng, nh ng v trí ngoài qu c t ,nh ng ngư i truy n thông, nh ng ngư i dùng i n tho i di ng, nh ng ngư i ho t ng kinh doanh bên ngoài như nh ng yêu c u kinh doanh ã òi h i. • ơn gi n hóa nh ng gánh n ng. • Nh ng c u trúc m ng ng, vì th gi m vi c qu n lý nh ng gánh n ng: S d ng m t giao th c Internet backbone lo i tr nh ng PVC tĩnh h p v i k t n i hư ng nh ng giao th c như là Frame Rely và ATM. • Tăng tình b o m t: các d li u quan tr ng s ư c che gi u i v i nh ng ngư i không có quy n truy c p và cho phép truy c p i v i nh ng ngư i dùng có quy n truy c p.
  • 4. • H tr các giao th c m n thông d ng nh t hi n nay như TCP/IP • B o m t a ch IP: b i vì thông tin ư c g i i trên VPN ã ư c mã hóa do ó các i ch bên trong m ng riêng ư c che gi u và ch s d ng các a ch bên ngoài Internet. 3. Các thành ph n c n thi t t o k t n i VPN: - User Authentication: cung c p cơ ch ch ng th c ngư i dùng, ch cho phép ngư i dùng h p l k t n i và truy c p h th ng VPN. - Address Management: cung c p a ch IP h p l cho ngư i dùng sau khi gia nh p h th ng VPN có th truy c p tài nguyên trên m ng n i b . - Data Encryption: cung c p gi i pháp mã hoá d li u trong quá trình truy n nh m b o m tính riêng tư và toàn v n d li u. - Key Management: cung c p gi i pháp qu n lý các khoá dùng cho quá trình mã hoá và gi i mã d li u. 4. Các thành ph n chính t o nên VPN Cisco: a. Cisco VPN Router: s d ng ph n m m Cisco IOS, IPSec h tr cho vi c b o m t trong VPN. VPN t I ưu hóa các router như là òn b y ang t n t I s u tư c a Cisco. Hi u qu nh t trong các m ng WAN h n h p. b. Cisco Secure PIX FIREWALL: ưa ra s l a ch n khác c a c ng k t n I VPN khi b o m t nhóm “riêng tư” trong VPN. c. Cisco VPN Concentrator series: ưa ra nh ng tính năng m nh trong vi c i u khi n truy c p t xa và tương thích v I d ng site-to-site VPN. Có giao di n qu n lý d s d ng và m t VPN client. d. Cisco Secure VPN Client : VPN client cho phép b o m t vi c truy c p t xa t I router Cisco và Pix Firewalls và nó là m t chương trình ch y trên h i u hành Window. e. Cisco Secure Intrusion Detection System(CSIDS) và Cisco Secure Scanner thư ng ư c s d ng giám sát và ki m tra các v n b o m t trong VPN. f. Cisco Secure Policy Manager and Cisco Works 2000 cung c p vi c qu n lý h th ng VPN r ng l n.
  • 5. 5. Các giao th c VPN: Các giao th c t o nên cơ ch ư ng ng b o m t cho VPN là L2TP, Cisco GRE và IPSec. a. L2TP: - Trư c khi xu t hi n chu n L2TP (tháng 8 năm 1999), Cisco s d ng Layer 2 Forwarding (L2F) như là giao th c chu n t o k t n i VPN. L2TP ra i sau v i nh ng tính năng ư c tích h p t L2F. - L2TP là d ng k t h p c a Cisco L2F và Mircosoft Point-to-Point Tunneling Protocol (PPTP). Microsoft h tr chu n PPTP và L2TP trong các phiên b n WindowNT và 2000 - L2TP ư c s d ng t o k t n i c l p, a giao th c cho m ng riêng o quay s (Virtual Private Dail-up Network). L2TP cho phép ngư i dùng có th k t n i thông qua các chính sách b o m t c a công ty (security policies) t o VPN hay VPDN như là s m r ng c a m ng n i b công ty. - L2TP không cung c p mã hóa. - L2TP là s k t h p c a PPP(giao th c Point-to-Point) v i giao th c L2F(Layer 2 Forwarding) c a Cisco do ó r t hi u qu trong k t n i m ng dial, ADSL, và các m ng truy c p t xa khác. Giao th c m r ng này s d ng PPP cho phép truy c p VPN b i nh ng ngư I s d ng t xa.
  • 6. b. GRE: - ây là a giao th c truy n thông óng gói IP, CLNP và t t c cá gói d li u bên trong ư ng ng IP (IP tunnel) - V i GRE Tunnel, Cisco router s óng gói cho m i v trí m t giao th c c trưng ch nh trong gói IP header, t o m t ư ng k t n i o (virtual point-to-point) t i Cisco router c n n. Và khi gói d li u n ích IP header s ư c m ra - B ng vi c k t n i nhi u m ng con v i các giao th c khác nhau trong môi trư ng có m t giao th c chính. GRE tunneling cho phép các giao th c khác có th thu n l i trong vi c nh tuy n cho gói IP. c. IPSec: - IPSec là s l a ch n cho vi c b o m t trên VPN. IPSec là m t khung bao g m b o m t d li u (data confidentiality), tính tòan v n c a d li u (integrity) và vi c ch ng th c d li u. - IPSec cung c p d ch v b o m t s d ng KDE cho phép th a thu n các giao th c và thu t tóan trên n n chính sách c c b (group policy) và sinh ra các khóa b o mã hóa và ch ng th c ư c s d ng trong IPSec. d. Point to Point Tunneling Protocol (PPTP): - ư c s d ng tr n các máy client ch y H H Microsoft for NT4.0 và Windows 95+ . Giao th c này ơc s d ng mã hóa d li u lưu thông trên M ng LAN. Gi ng
  • 7. như giao th c NETBEUI và IPX trong m t packet g I lên Internet. PPTP d a trên chu n RSA RC4 và h tr b I s mã hóa 40-bit ho c 128-bit. - Nó không ư c phát tri n trên d ng k t n I LAN-to-LAN và gi i h n 255 k t n i t I 1 server ch có m t ư ng h m VPN trên m t k t n i. Nó không cung c p s mã hóa cho các công vi c l n nhưng nó d cài t và tri n khai và là m t gi I pháp truy c p t xa ch có th làm ư c trên m ng MS. Giao th c này thì ư c dùng t t trong Window 2000. Layer 2 Tunneling Protocol thu c v IPSec. 6. Thi t l p m t k t n i VPN: a. Máy VPN c n k t n i (VPN client) t o k t n t VPN (VPN Connection) t i máy ch cung c p d ch v VPN (VPN Server) thông qua k t n i Internet. b. Máy ch cung c p d ch v VPN tr l i k t n i t i
  • 8. c. Máy ch cung c p d ch v VPN ch ng th c cho k t n i và c p phép cho k t n i d. B t u trao i d li u gi a máy c n k t n i VPN và m ng công ty 7. Các d ng k t n i VPN: a. Remote Access VPNs : Remote Access VPNs cho phép truy c p b t c lúc nào b ng Remote, mobile, và các thi t b truy n thông c a nhân viên các chi nhánh k t n i n tài nguyên m ng c a t ch c. Remote Access VPN mô t vi c các ngư i dùng xa s d ng các ph n m m VPN truy c p vào m ng Intranet c a công ty thông qua gateway ho c VPN concentrator (b n ch t là m t server). Vì lý do này, gi i pháp này thư ng ư c g i là client/server. Trong gi i pháp này, các ngư i dùng thư ng thư ng s d ng các công ngh WAN truy n th ng t o l i các tunnel v m ng HO c a h . M t hư ng phát tri n khá m i trong remote access VPN là dùng wireless VPN, trong ó m t nhân viên có th truy c p v m ng c a h thông qua k t n i không dây. Trong thi t k này, các k t n i không dây c n ph i k t n i v m t tr m wireless (wireless terminal) và sau ó v m ng c a công ty. Trong c hai trư ng h p, ph n m m client trên máy PC u cho phép kh i t o các k t n i b o m t, còn ư c g i là tunnel. M t ph n quan tr ng c a thi t k này là vi c thi t k quá trình xác th c ban u nh m m b o là yêu c u ư c xu t phát t m t ngu n tin c y. Thư ng thì giai o n ban u này d a trên cùng m t chính sách v b o m t c a công ty. Chính sách này bao
  • 9. g m: qui trình (procedure), k thu t, server (such as Remote Authentication Dial-In User Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+]…). M t s thành ph n chính : - Remote Access Server (RAS) : ư c t t i trung tâm có nhi m v xác nh n và ch ng nh n các yêu c u g i t i. - Quay s k t n i n trung tâm, i u này s làm gi m chi phí cho m t s yêu c u khá xa so v i trung tâm. - H tr cho nh ng ngư i có nhi m v c u hình, b o trì và qu n lý RAS và h tr truy c p t xa b i ngư i dùng. Figure 1-2: The non-VPN remote access setup. - B ng vi c tri n khai Remote Access VPNs, nh ng ngư i dùng t xa ho c các chi nhánh văn phòng ch c n cài t m t k t n i c c b n nhà cung c p d ch v ISP ho c ISP’s POP và k t n i n tài nguyên thông qua Internet. Thông tin Remote Access Setup ư c mô t b i hình v sau :
  • 10. Figure 1-3: The Remote Access VPN setup Như b n có th suy ra t hình 1-3, thu n l i chính c a Remote Access VPNs : - S c n thi t c a RAS và vi c k t h p v i modem ư c lo i tr . - S c n thi t h tr cho ngư i dung cá nhân ư c lo i tr b i vì k t n i t xa ã ư c t o i u ki n thu n l i b i ISP - Vi c quay s t nh ng kho ng cách xa ư c lo i tr , thay vào ó, nh ng k t n i v i kho ng cách xa s ư c thay th b i các k t n i c c b . - Gi m giá thành chi phí cho các k t n i v i kho ng cách xa. - Do ây là m t k t n i mang tính c c b , do v y t c n i k t s cao hơn so v i k t n i tr c ti p n nh ng kho ng cách xa. - VPNs cung c p kh năng truy c p n trung tâm t t hơn b i vì nó h tr d ch v truy c p m c t i thi u nh t cho dù có s tăng nhanh chóng các k t n i ng th i n m ng. Ngoài nh ng thu n l i trên, VPNs cũng t n t i m t s b t l i khác như : - Remote Access VPNs cũng không b o m ư c ch t lư ng ph c v .
  • 11. - Kh năng m t d li u là r t cao, thêm n a là các phân o n c a gói d li u có th i ra ngoài và b th t thoát. - Do ph c t p c a thu t toán mã hoá, protocol overhead tăng áng k , i u này gây khó khăn cho quá trình xác nh n. Thêm vào ó, vi c nén d li u IP và PPP-based di n ra vô cùng ch m ch p và t i t . - Do ph i truy n d li u thông qua Internet, nên khi trao i các d li u l n như các gói d li u truy n thông, phim nh, âm thanh s r t ch m. b. Site - To – Site (Lan – To - Lan): - Site-to-site VPN(Lan-to-Lan VPN): ư c áp d ng cài t m ng t m t v trí này k t n I t I m ng c a m t v trí khác thông qua VPN. Trong hoàn c nh này thì vi c ch ng th c ban u gi a các thi t b m ng ư c giao cho ngư i s d ng. Nơi mà có m t k t n I VPN ư c thi t l p gi a chúng. Khi ó các thi t b này óng vai trò như là m t gateway, và m b o r ng vi c lưu thông ã ư c d tính trư c cho các site khác. Các router và Firewall tương thích v I VPN, và các b t p trung VPN chuyên d ng u cung c p ch c năng này. - Lan-to-Lan VPN có th ư c xem như là intranet VPN ho c extranet VPN(xem xét v m t chính sách qu n lý). N u chúng ta xem xét dư I góc ch ng th c nó có th ư c xem như là m t intranet VPN, ngư c l I chúng ư c xem như là m t extranet VPN. Tính ch t ch trong vi c truy c p gi a các site có th ư c i u khi n b i c hai(intranet và extranet VPN) theo các site tương ng c a chúng. Gi i pháp Site to site
  • 12. VPN không là m t remote access VPN nhưng nó ư c thêm vào ây vì tính ch t hoàn thi n c a nó. - S phân bi t gi a remote access VPN và Lan to Lan VPN ch ơn thu n mang tính ch t tư ng trưng và xa hơn là nó ư c cung c p cho m c ích th o lu n. Ví d như là các thi t b VPN d a trên ph n c ng m I(Router cisco 3002 ch ng h n) ây phân lo I ư c, chúng ta ph I áp d ng c hai cách, b I vì harware-based client có th xu t hi n n u m t thi t b ang truy c p vào m ng. M c dù m t m ng có th có nhi u thi t b VPN ang v n hành. M t ví d khác như là ch m r ng c a gi I pháp Ez VPN b ng cách dùng router 806 và 17xx. - Lan-to-Lan VPN là s k t n I hai m ng riêng l thông qua m t ư ng h m b o m t. ư ng h m b o m t này có th s d ng các giao th c PPTP, L2TP, ho c IPSec, m c ích c a Lan-to-Lan VPN là k t n I hai m ng không có ư ng n I l I v I nhau, không có vi c th a hi p tích h p, ch ng th c, s c n m t c a d li u. b n có th thi t l p m t Lan-to-Lan VPN thông qua s k t h p c a các thi t b VPN Concentrators, Routers, and Firewalls. - K t n I Lan-to-Lan ư c thi t k t o m t k t n I m ng tr c ti p, hi u qu b t ch p kho ng cách v t lý gi a chúng. Có th k t n I này luân chuy n thông qua internet ho c m t m ng không ư c tin c y.B n ph I m b o v n b o m t b ng cách s d ng s mã hóa d li u trên t t c các gói d li u ang luân chuy n gi a các m ng ó. 1. Intranet VPNs: Figure 1-4: The intranet setup using WAN backbone
  • 13. - Intranet VPNs ư c s d ng k t n i n các chi nhánh văn phòng c a t ch c n Corperate Intranet (backbone router) s d ng campus router, xem hình bên dư i : - Theo mô hình bên trên s r t t n chi phí do ph i s d ng 2 router thi t l p ư c m ng, thêm vào ó, vi c tri n khai, b o trì và qu n lý m ng Intranet Backbone s r t t n kém còn tùy thu c vào lư ng lưu thông trên m ng i trên nó và ph m vi a lý c a toàn b m ng Intranet. - Ð gi i quy t v n trên, s t n kém c a WAN backbone ư c thay th b i các k t n i Internet v i chi phí th p, i u này có th m t lư ng chi phí áng k c a vi c tri n khai m ng Intranet, xem hình bên dư i : Figure 1-5: The intranet setup based on VPN. Nh ng thu n l i chính c a Intranet setup d a trên VPN theo hình 1-5 : - Hi u qu chi phí hơn do gi m s lư ng router ư c s d ng theo mô hình WAN backbone - Gi m thi u áng k s lư ng h tr yêu c u ngư i dùng cá nhân qua toàn c u, các tr m m t s remote site khác nhau.
  • 14. - B i vì Internet ho t ng như m t k t n i trung gian, nó d dàng cung c p nh ng k t n i m i ngang hàng. - K t n i nhanh hơn và t t hơn do v b n ch t k t n i n nhà cung c p d ch v , lo i b v n v kho ng cách xa và thêm n a giúp t ch c gi m thi u chi phí cho vi c th c hi n Intranet. Nh ng b t l i chính k t h p v i cách gi i quy t : - B i vì d li u v n còn tunnel trong su t quá trình chia s trên m ng công c ng- Internet-và nh ng nguy cơ t n công, như t n công b ng t ch i d ch v (denial-of- service), v n còn là m t m i e do an toàn thông tin. - Kh năng m t d li u trong lúc di chuy n thông tin cũng v n r t cao. - Trong m t s trư ng h p, nh t là khi d li u là lo i high-end, như các t p tin mulltimedia, vi c trao i d li u s r t ch m ch p do ư c truy n thông qua Internet. - Do là k t n i d a trên Internet, nên tính hi u qu không liên t c, thư ng xuyên, và QoS cũng không ư c m b o. 2. Extranet VPNs: - Không gi ng như Intranet và Remote Access-based, Extranet không hoàn toàn cách li t bên ngoài (outer-world), Extranet cho phép truy c p nh ng tài nguyên m ng c n thi t c a các i tác kinh doanh, ch ng h n như khách hàng, nhà cung c p, i tác nh ng ngư i gi vai trò quan tr ng trong t ch c. Figure 1-6: The traditional extranet setup.
  • 15. - Như hình trên, m ng Extranet r t t n kém do có nhi u o n m ng riêng bi t trên Intranet k t h p l i v i nhau t o ra m t Extranet. Ði u này làm cho khó tri n khai và qu n lý do có nhi u m ng, ng th i cũng khó khăn cho cá nhân làm công vi c b o trì và qu n tr . Thêm n a là m ng Extranet s d m r ng do i u này s làm r i tung toàn b m ng Intranet và có th nh hư ng n các k t n i bên ngoài m ng. S có nh ng v n b n g p ph i b t thình lình khi k t n i m t Intranet vào m t m ng Extranet. Tri n khai và thi t k m t m ng Extranet có th là m t cơn ác m ng c a các nhà thi t k và qu n tr m ng. Figure 1-7: The Extranet VPN setup M t s thu n l i c a Extranet : - Do ho t ng trên môi trư ng Internet, b n có th l a ch n nhà phân ph i khi l a ch n và ưa ra phương pháp gi i quy t tuỳ theo nhu c u c a t ch c.- B i vì m t ph n Internet-connectivity ư c b o trì b i nhà cung c p (ISP) nên cũng gi m chi phí b o trì khi thuê nhân viên b o trì.- D dàng tri n khai, qu n lý và ch nh s a thông tin. M t s b t l i c a Extranet : - S e d a v tính an toàn, như b t n công b ng t ch i d ch v v n còn t n t i. - Tăng thêm nguy hi m s xâm nh p i v i t ch c trên Extranet. - Do d a trên Internet nên khi d li u là các lo i high-end data thì vi c trao i di n ra ch m ch p.
  • 16. - Do d a trên Internet, QoS(Quality of Service) cũng không ư c b o m thư ng xuyên. II. Tìm Hi u V Giao Th c IPSec: - Thu t ng IPSec là m t t vi t t t c a thu t Internet Protocol Security. Nó có quan h t i m t s b giao th c (AH, ESP, FIP-140-1, và m t s chu n khác) ư c phát tri n b i Internet Engineering Task Force (IETF). M c ích chính c a vi c phát tri n IPSec là cung c p m t cơ c u b o m t t ng 3 (Network layer) c a mô hình OSI, như hình 6-1. Figure 6-1: The position of IPSec in the OSI model. - M i giao ti p trong m t m ng trên cơ s IP u d a trên các giao th c IP. Do ó, khi m t cơ ch b o m t cao ư c tích h p v i giao th c IP, toàn b m ng ư c b o m t b i vì các giao ti p u i qua t ng 3. ( ó là lý do tai sao IPSec ư c phát tri n giao th c t ng 3 thay vì t ng 2). - IPSec VPN dùng các d ch v ư c nh nghĩa trong IPSec m b o tính toàn v n d li u, tính nh t quán, tính bí m t và xác th c c a truy n d li u trên m t h t ng m ng công c ng.
  • 17. - Ngoài ra,v i IPSec t t c các ng d ng ang ch y t ng ng d ng c a mô hình OSI u c l p trên t ng 3 khi nh tuy n d li u t ngu n n ích. B i vì IPSec ư c tích h p ch t ch v i IP, nên nh ng ng d ng có th dùng các d ch v k th a tính năng b o m t mà không c n ph i có s thay i l n lao nào. Cũng gi ng IP, IPSec trong su t v i ngư i dùng cu i, là ngư i mà không c n quan tâm n cơ ch b o m t m r ng liên t c ng sau m t chu i các ho t ng. - IPSec ho t ng d a trên mô hình ngang hàng (peer-to-peer) hơn là mô hình client/server. Security Association (SA) là m t qui ư c gi a hai bên trong ó thúc y các trao i gi a hai bên giao ti p. M i bên giao ti p (có th là thi t b , ph n m m) ph i th ng nh t v i nhau v các chính sách ho c các qui t c b ng cách s dò tìm các chính sách này v i i tác tìm năng c a nó. Có hai ki u SA: ISAKMP SA (còn ư c bi t n v i tên g i là IKE SAs) và IPSec SA. - Security Associations (SAs) là m t khái ni m cơ b n c a b giao th c IPSec. SA là m t k t n i lu n lý theo m t phương hư ng duy nh t gi a hai th c th s d ng các d ch v IPSec. • Các giao th c xác nh n, các khóa, và các thu t toán • Phương th c và các khóa cho các thu t toán xác nh n ư c dùng b i các giao th c Authentication Header (AH) hay Encapsulation Security Payload (ESP) c a b IPSec • Thu t toán mã hóa và gi i mã và các khóa. • Thông tin liên quan khóa, như kho ng th i gian thay i hay kho ng th i gian làm tươi c a các khóa. • Thông tin liên quan n chính b n thân SA bao g m a ch ngu n SA và kho ng th i gian làm tươi. • Cách dùng và kích thư c c a b t kỳ s ng b mã hóa dùng, n u có. Figure 6-2: A generic representation of the three fields of an IPSec SA.
  • 18. Như hình 6-2, IPSec SA g m có 3 trư ng : - SPI (Security Parameter Index). ây là m t trư ng 32 bit dùng nh n d ng giao th c b o m t, ư c nh nghĩa b i trư ng Security protocol, trong b IPSec ang dùng. SPI ư c mang theo như là m t ph n u c a giao th c b o m t và thư ng ư c ch n b i h th ng ích trong su t quá trình th a thu n c a SA. - Destination IP address. ây là a ch IP c a nút ích. M c dù nó có th là a ch broadcast, unicast, hay multicast, nhưng cơ ch qu n lý hi n t i c a SA ch ư c nh nghĩa cho h th ng unicast. - Security protocol. Ph n này mô t giao th c b o m t IPSec, có th là AH ho c ESP. - Chú thích : • Broadcasts có nghĩa cho t t c h th ng thu c cùng m t m ng ho c m ng con. Còn multicasts g i n nhi u (nhưng không ph i tât c ) nút c a m t m ng ho c m ng con cho s n. Unicast có nghĩa cho 1 nút ích ơn duy nh t. B i vì b n ch t theo m t chi u duy nh t c a SA, cho nên 2 SA ph i ư c nh nghĩa cho hai bên thông tin u cu i, m t cho m i hư ng. Ngoài ra, SA có th cung c p các d ch v b o m t cho m t phiên VPN ư c b o v b i AH ho c ESP. Do v y, n u m t phiên c n b o v kép b i c hai AH và ESP, 2 SA ph i ư c nh nghĩa cho m i hư ng. Vi c thi t l p này c a SA ư c g i là SA bundle. • M t IPSec SA dùng 2 cơ s d li u. Security Association Database (SAD) n m gi thông tin liên quan n m i SA. Thông tin này bao g m thu t toán khóa, th i gian s ng c a SA, và chu i s tu n t . Cơ s d li u th c hai c a IPSec SA, Security Policy Database (SPD), n m gi thông tin v các d ch v b o m t kèm theo v i m t danh sách th t chính sách các i m vào và ra. Gi ng như firewall rules và packet filters, nh ng i m truy c p này nh nghĩa lưu lư ng nào ư c x lý và lưu lư ng nào b t ch i theo t ng chu n c a IPSec. B IPSec ưa ra 3 kh năng chính bao g m : - Tính xác nh n và Tính nguyên v n d li u (Authentication and data integrity). IPSec cung c p m t cơ ch m nh m xác nh n tính ch t xác th c c a ngư i g i và ki m ch ng b t kỳ s s a i không ư c b o v trư c ó c a n i dung gói d li u b i ngư i nh n. Các giao th c IPSec ưa ra kh năng b o v m nh ch ng l i các d ng t n công gi m o, ánh hơi và t ch i d ch v . - S c n m t (Confidentiality). Các giao th c IPSec mã hóa d li u b ng cách s d ng k thu t mã hóa cao c p, giúp ngăn c n ngư i chưa ch ng th c truy c p d li u
  • 19. trên ư ng i c a nó. IPSec cũng dùng cơ ch t o h m n a ch IP c a nút ngu n (ngư i g i) và nút ích (ngư i nh n) t nh ng k nghe lén. - Qu n lý khóa (Key management). IPSec dùng m t giao th c th ba, Internet Key Exchange (IKE), th a thu n các giao th c bao m t và các thu t toán mã hóa trư c và trong su t phiên giao d ch. M t ph n quan tr ng n a, IPSec phân ph i và ki m tra các khóa mã và c p nh t nh ng khóa ó khi ư c yêu c u. - Hai tính năng u tiên c a b IPSec, authentication and data integrity, và confidentiality, ư c cung c p b i hai giao th c chính c a trong b giao th c IPSec. Nh ng giao th c này bao g m Authentication Header (AH) và Encapsulating Security Payload (ESP). - Tính năng th ba, key management, n m trong b giao th c khác, ư c b IPSec ch p nh n b i nó là m t d ch v qu n lý khóa m nh. Giao th c này là IKE. - SAs trong IPSec hi n t i ư c tri n khai b ng 2 ch ó là ch Transport và ch Tunnel ư c mô t hình 6-7. C AH và ESP có th làm vi c v i m t trong hai ch này. Figure 6-7: The two IPSec modes. Transport Mode : - Transport mode b o v giao th c t ng trên và các ng d ng. Trong Transport mode, ph n IPSec header ư c chèn vào gi a ph n IP header và ph n header c a giao th c t ng trên, như hình mô t bên dư i, AH và ESP s ư c t sau IP header nguyên th y. Vì v y ch có t i (IP payload) là ư c mã hóa và IP header ban u là ư c gi nguyên v n. Transport mode có th ư c dùng khi c hai host h tr IPSec. Ch transport này có thu n l i là ch thêm vào vài bytes cho m i packets và nó cũng cho phép các thi t b trên m ng th y ư c a ch ích cu i cùng c a gói. Kh năng này cho
  • 20. phép các tác v x lý c bi t trên các m ng trung gian d a trên các thông tin trong IP header. Tuy nhiên các thông tin Layer 4 s b mã hóa, làm gi i h n kh năng ki m tra c a gói. Figure 6-8: IPSec Transport mode—a generic representation. Figure 6-9: AH Transport mode. Figure 6-10: ESP Transport mode.
  • 21. - Transport mode thi u m t quá trình x lý ph n u, do ó nó nhanh hơn. Tuy nhiên, nó không hi u qu trong trư ng h p ESP có kh năng không xác nh n mà cũng không mã hóa ph n u IP. Tunnel Mode : - Không gi ng Transport mode, Tunnel mode b o v toàn b gói d li u. Toàn b gói d li u IP ư c óng gói trong m t gói d li u IP khác và m t IPSec header ư c chèn vào gi a ph n u nguyên b n và ph n u m i c a IP.Toàn b gói IP ban u s b óng gói b i AH ho c ESP và m t IP header m i s ư c bao b c xung quanh gói d li u. Toàn b các gói IP s ư c mã hóa và tr thành d li u m i c a gói IP m i. Ch này cho phép nh ng thi t b m ng, ch ng h n như router, ho t ng như m t IPSec proxy th c hi n ch c năng mã hóa thay cho host. Router ngu n s mã hóa các packets và chuy n chúng d c theo tunnel. Router ích s gi i mã gói IP ban u và chuy n nó v h th ng cu i. Vì v y header m i s có a ch ngu n chính là gateway. - V i tunnel ho t ng gi a hai security gateway, a ch ngu n và ích có th ư c mã hóa. Tunnel mode ư c dùng khi m t trong hai u c a k t n i IPSec là security gateway và a ch ích th t s phía sau các gateway không có h tr IPSec Figure 6-11: IPSec Tunnel mode—a generic representation. - Trong AH Tunnel mode, ph n u m i (AH) ư c chèn vào gi a ph n header m i và ph n header nguyên b n, như hình bên dư i.
  • 22. Figure 6-12: AH Tunnel mode. Figure 6-13: ESP Tunnel mode. - IKE SA là quá trình hai chi u và cung c p m t kênh giao ti p b o m t gi a hai bên. Thu t ng ‘hai chi u’ có ý nghĩa là khi ã ư c thi t l p, m i bên có th kh i t o ch QuickMode, Informational và NewGroupMode. IKE SA ư c nh n ra b i các cookies c a bên kh i t o, ư c theo sau b i các cookies c a tr l i c a phía i tác. Th t các cookies ư c thi t l p b i phase 1 s ti p t c ch ra IKE SA, b t ch p chi u c a nó. Ch c năng ch y u c a IKE là thi t l p và duy trì các SA. Các thu c tính sau ây là m c t i thi u ph i ư c th ng nh t gi a hai bên như là m t ph n c a ISAKMP (Internet Security Association and Key Management Protocol) SA: • Thu t gi i mã hóa • Thu t gi i băm ư c dùng • Phương th c xác th c s dùng • Thông tin v nhóm và gi i thu t DH - IKE th c hi n quá trình dò tìm, quá trình xác th c, qu n lý và trao i khóa. IKE s dò tìm ra ư c m t h p ng gi a hai u cu i IPSec và sau ó SA s theo dõi t t c các thành ph n c a m t phiên làm vi c IPSec. Sau khi ã dò tìm thành công, các thông s SA h p l s ư c lưu tr trong cơ s d li u c a SA. - Thu n l i chính c a IKE bao g m: • IKE không ph i là m t công ngh c l p, do ó nó có th dùng v i b t kỳ cơ ch b o m t nào. • Cơ ch IKE, m c dù không nhanh, nhưng hi u qu cao b vì m t lư ng l n nh ng hi p h i b o m t th a thu n v i nhau v i m t vài thông i p khá ít. IKE Phases - Giai o n I và II là hai giai o n t o nên phiên làm vi c d a trên IKE, hình 6-14 trình bày m t s c i m chung c a hai giai o n. Trong m t phiên làm vi c IKE, nó
  • 23. gi s ã có m t kênh b o m t ư c thi t l p s n. Kênh b o m t này ph i ư c thi t l p trư c khi có b t kỳ th a thu n nào x y ra. Figure 6-14: The two IKE phases—Phase I and Phase II. Giai o n I c a IKE - Giai o n I c a IKE u tiên xác nh n các i m thông tin, và sau ó thi t l p m t kênh b o m t cho s thi t l p SA. Ti p ó, các bên thông tin th a thu n m t ISAKMP SA ng ý l n nhau, bao g m các thu t toán mã hóa, hàm băm, và các phương pháp xác nh n b o v mã khóa. - Sau khi cơ ch mã hóa và hàm băm ã ư c ng ý trên, m t khóa chi s bí m t ư c phát sinh. Theo sau là nh ng thông tin ư c dùng phát sinh khóa bí m t : • Giá tr Diffie-Hellman • SPI c a ISAKMP SA d ng cookies • S ng u nhiên known as nonces (used for signing purposes) - N u hai bên ng ý s d ng phương pháp xác nh n d a trên public key, chúng cũng c n trao i IDs. Sau khi trao i các thông tin c n thi t, c hai bên phát sinh nh ng key riêng c a chính mình s d ng chúng chia s bí m t. Theo cách này, nh ng khóa mã hóa ư c phát sinh mà không c n th c s trao i b t kỳ khóa nào thông qua m ng. Giai o n II c a IKE - Trong khi giai o n I th a thu n thi t l p SA cho ISAKMP, giai o n II gi i quy t b ng vi c thi t l p SAs cho IPSec. Trong giai o n này, SAs dùng nhi u d ch v khác nhau th a thu n. Cơ ch xác nh n, hàm băm, và thu t toán mã hóa b o v gói d li u IPSec ti p theo (s d ng AH và ESP) dư i hình th c m t ph n c a giai o n SA.
  • 24. - S th a thu n c a giai o n x y ra thư ng xuyên hơn giai o n I. i n hình, s th a thu n có th l p l i sau 4-5 phút. S thay i thư ng xuyên các mã khóa ngăn c n các hacker b gãy nh ng khóa này và sau ó là n i dung c a gói d li u. - T ng quát, m t phiên làm vi c giai o n II tương ương v i m t phiên làmvi c ơn c a giai o n I. Tuy nhiên, nhi u s thay i giai o n II cũng có th ư c h tr b i m t trư ng h p ơn giai o n I. i u này làm qua trình giao d ch ch m ch p c a IKE t ra tương i nhanh hơn. - Oakley là m t trong s các giao th c c a IKE. Oakley is one of the protocols on which IKE is based. Oakley l n lư t nh nghĩa 4 ch ph bi n IKE. IKE Modes 4 ch IKE ph bi n thư ng ư c tri n khai : • Ch chính (Main mode) • Ch linh ho t (Aggressive mode) • Ch nhanh (Quick mode) • Ch nhóm m i (New Group mode) Main Mode - Main mode xác nh n và b o v tính ng nh t c a các bên có liên quan trong qua trình giao d ch. Trong ch này, 6 thông i p ư c trao i gi a các i m: • 2 thông i p u tiên dùng th a thu n chính sách b o m t cho s thay i. • 2 thông i p k ti p ph c v thay i các khóa Diffie-Hellman và nonces. Nh ng khóa sau này th c hi n m t vai tro quan tr ng trong cơ ch mã hóa. • Hai thông i p cu i cùng c a ch này dùng xác nh n các bên giao d ch v i s giúp c a ch ký, các hàm băm, và tuỳ ch n v i ch ng nh n. Hình 6-15 mô t quá trình giao d ch trong ch IKE.
  • 25. Aggressive Mode - Aggressive mode v b n ch t gi ng Main mode. Ch khác nhau thay vì main mode có 6 thông i p thì ch t này ch có 3 thông i p ư c trao i. Do ó, Aggressive mode nhanh hơn mai mode. Các thông i p ó bao g m : • Thông i p u tiên dùng ưa ra chính sách b o m t, pass data cho khóa chính, và trao i nonces cho vi c ký và xác minh ti p theo. • Thông i p k ti p h i áp l i cho thông tin u tiên. Nó xác th c ngư i nh n và hoàn thành chính sách b o m t b ng các khóa. • Thông i p cu i cùng dùng xác nh n ngư i g i (ho c b kh i t o c a phiên làm vi c).
  • 26. Figure 6-16: Message exchange in IKE Aggressive mode. C Main mode và Aggressive mode u thu c giai o n I. Quick Mode - Ch th ba c a IKE, Quick mode, là ch trong giai o n II. Nó dùng th a thu n SA cho các d ch v b o m t IPSec. Ngoài ra, Quick mode cũng có th phát sinh khóa chính m i. N u chính sách c a Perfect Forward Secrecy (PFS) ư c th a thu n trong giai o n I, m t s thay i hoàn toàn Diffie-Hellman key ư c kh i t o. M t khác, khóa m i ư c phát sinh b ng các giá tr băm. Figure 6-17: Message exchange in IKE Quick mode, which belongs to Phase II. New Group Mode - New Group mode ư c dùng th a thu n m t private group m i nh m t o i u ki n trao i Diffie-Hellman key ư c d dàng. Hình 6-18 mô t New Group mode. M c dù ch này ư c th c hi n sau giai o n I, nhưng nó không thu c giai o n II.
  • 27. Figure 6-18: Message exchange in IKE New Group mode. - Ngoài 4 ch IKE ph bi n trên, còn có thêm Informational mode. Ch này k t h p v i quá trình thay c a giai o n II và SAs. Ch này cung c p cho các bên có liên quan m t s thông tin thêm, xu t phát t nh ng th t b i trong quá trình th a thu n. Ví d , n u vi c gi i mã th t b i t i ngư i nh n ho c ch ký không ư c xác minh thành công, Informational mode ư c dùng thông báo cho các bên khác bi t. III. T ng Quan H i u Hành Cisco IOS: 1. Ki n trúc h th ng: - Gi ng như là 1 máy tính, router có 1 CPU có kh năng x lý các câu l nh d a trên n n t ng c a router. Hai ví d v b x lý mà Cisco dùng là Motorola 68030 và Orion/R4600. Ph n m m Cisco IOS ch y trên Router òi h i CPU hay b vi x lý gi i quy t vi c nh tuy n và b c c u, qu n lý b ng nh tuy n và m t vài ch c năng khác c a h th ng. CPU ph i truy c p vào d li u trong b nh gi i quy t các v n hay l y các câu l nh. - Có 4 lo i b nh thư ng dùng trên m t Router c a Cisco là - ROM : là b nh t ng quát trên m t con chip ho c nhi u con. Nó còn có th n m trên b ng m ch b vi x lý c a router. Nó ch c ngh a là d li u không th ghi lên trên nó. Ph n m m u tiên ch y trên m t router Cisco ư c g i là bootstrap software và thư ng ư c lưu trong ROM. Bootstrap software ư c g i khi router kh i ng. - Flash : b nh Flash n m trên b ng m ch SIMM nhưng nó có th ư c m r ng b ng cách s d ng th PCMCIA (có th tháo r i). B nh flash h u h t ư c s d ng lưu tr m t hay nhi u b n sao c a ph n m m Cisco IOS. Các file c u hình hay thông tin h th ng cũng có th ư c sao chép lên flash. vài h th ng g n ây, b nh flash còn ư c s d ng gi bootstrap software. - Flash memory ch a Cisco IOS software image. i v i m t s lo i, Flash memory có th ch a các file c u hình hay boot image. Tùy theo lo i mà Flash memory có th là EPROMs, single in-line memory (SIMM) module hay Flash memory card: - Internal Flash memory: o Internal Flash memory thư ng ch a system image. o M t s lo i router có t 2 Flash memory tr lên dư i d ng single in-line memory modules (SIMM). N u như SIMM có 2 bank thì ư c g i là dual-bank Flash memory. Các bank này có th ư c phân thành nhi u ph n logic nh
  • 28. - Bootflash: o Bootflash thư ng ch a boot image. o Bootflash ôi khi ch a ROM Monitor. - Flash memory PC card hay PCMCIA card: - Flash memory card dùng g n vào Personal Computer Memory Card - International Association (PCMCIA) slot. Card này dùng ch a system image, boot image và file c u hình. - Các lo i router sau có PCMCIA slot: o Cisco 1600 series router: 01 PCMCIA slot. o Cisco 3600 series router: 02 PCMCIA slots. o Cisco 7200 series Network Processing Engine (NPE): 02 PCMCIA slots o Cisco 7000 RSP700 card và 7500 series Route Switch Processor (RSP) card ch a 02 PCMCIA slots. - RAM : là b nh r t nhanh nhưng nó làm m t thông tin khi h th ng kh i ng l i. Nó ư c s d ng trong máy PC lưu các ng d ng ang ch y và d li u. Trên router, RAM ư c s gi các b ng c a h i u hành IOS và làm b m. RAM là b nh cơ b n ư c s d ng cho nhu c u lưu tr các h i u hành - ROM monitor, cung c p giao di n cho ngư i s dung khi router không tìm th y các file image không phù h p. - Boot image, giúp router boot khi không tìm th y IOS image h p l trên flash memory. - NVRAM : Trên router, NVRAM ư c s d ng lưu tr c u hình kh i ng. ây là file c u hình mà IOS c khi router kh i ng. Nó là b nh c c kỳ nhanh và liên t c khi kh i ng l i. - M c dù CPU và b nh òi h i m t s thành ph n ch y h i u hành IOS, router c n ph i có các interface khác nhau cho phép chuy n ti p các packet. Các interface nh n vào và xu t ra các k t n i n router mang theo d li u c n thi t n router hay switch. Các lo i interface thư ng dùng là Ethernet và Serial. Tương t như là các ph n m m driver trên máy tính v i c ng parallel và c ng USB, IOS cũng có các driver c a thi t b h tr cho các lo i interface khác nhau.
  • 29. - T t c các router c a Cisco có m t c ng console cung c p m t k t n i serial không ng b EIA/TIA-232. C ng console có th ư c k t n i t i máy tính thông qua k t n i serial làm tăng truy c p u cu i t i router. H u h t các router u có c ng auxiliary, nó tương t như c ng console nhưng c trưng hơn, ư c dùng cho k t n i modem qu n lý router t xa. - VD: xem màn hình console c a m t router 3640 ã kh i ng. Chú ý b x lý, interface và thông tin b nh ư c li t kê Cisco 3640 Router Console Output at Startup System Bootstrap, Version 11.1(20)AA2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) Copyright (c) 1999 by Cisco Systems, Inc. C3600 processor with 98304 Kbytes of main memory Main memory is configured to 64 bit mode with parity disabled program load complete, entry point: 0x80008000, size: 0xa8d168 Self decompressing the image : ################################################################## ################################################### [OK] Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software – Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 Cisco Internetwork Operating System Software
  • 30. IOS (tm) 3600 Software (C3640-IS-M), Version 12.2(10), RELEASE SOFTWARE (fc2) Copyright (c) 1986-2002 by Cisco Systems, Inc. Compiled Mon 06-May-02 23:23 by pwade Image text-base: 0x60008930, data-base: 0x610D2000 cisco 3640 (R4700) processor (revision 0x00) with 94208K/4096K bytes of memory. Processor board ID 17746964 R4700 CPU at 100Mhz, Implementation 33, Rev 1.0 Bridging software. X.25 software, Version 3.0.0. SuperLAT software (copyright 1990 by Meridian Technology Corp). 5 Ethernet/IEEE 802.3 interface(s) 1 Serial network interface(s) DRAM configuration is 64 bits wide with parity disabled. 125K bytes of non-volatile configuration memory. 8192K bytes of processor board System flash (Read/Write) 16384K bytes of processor board PCMCIA Slot0 flash (Read/Write) --- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]: - Khi m t router m i kh i ng l n u, IOS s ch y ti n trình t ng cài t và ngư i s d ng ư c nh c tr l i 1 vài câu h i. Sau ó IOS s c u hình h th ng d a trên nh ng thông tin nh n ư c. Sau khi hoàn t t vi c cài t, c u hình thư ng s d ng nh t ư c ch nh s a b ng cách dùng giao di n câu l nh (CLI). Còn có m t s cách khác c u hình router bao g m HTTP và các ng d ng qu n tr m ng.
  • 31. 2. Cisco IOS CLI: - Cisco có 3 mode l nh, v i t ng mode s có quy n truy c p t i nh ng b l nh khác nhau - User mode: ây là mode u tiên mà ngư i s d ng truy c p vào sau khi ăng nh p vào router. User mode có th ư c nh n ra b i ký hi u > ngay sau tên router. Mode này cho phép ngư i dùng ch th c thi ư c m t s câu l nh cơ b n ch ng h n như xem tr ng thái c a h th ng. H th ng không th ư c c u hình hay kh i ng l i mode này. - Privileged mode: mode này cho phép ngư i dùng xem c u hình c a h th ng, kh i ng l i h th ng và i vào mode c u hình. Nó cũng cho phép th c thi t t c các câu l nh user mode. Privileged mode có th ư c nh n ra b i ký hi u # ngay sau tên router. Ngư i s d ng s gõ câu l nh enable cho IOS bi t là h mu n i vào Privileged mode t User mode. N u enable password hay enabel secret password ư c cài t, ngu i s d ng c n ph i gõ vào úng m t kh u thì m i có quy n truy c p vào privileged mode. Enable secret password s d ng phương th c mã hoá m nh hơn khi nó ư c lưu tr trong c u hình, do v y nó an toàn hơn. Privileged mode cho phép ngư i s d ng làm b t c gì trên router, vì v y nên s d ng c n th n. thoát kh i privileged mode, ngư i s d ng th c thi câu l nh disable. - Configuration mode: mode này cho phép ngư i s d ng ch nh s a c u hình ang ch y. i vào configuration mode, gõ câu l nh configure terminal t privileged mode. Configuration mode có nhi u mode nh khác nhau, b t u v i global configuration mode, nó có th ư c nh n ra b i ký hi u (config)# ngay sau tên router. Các mode nh trong configuration mode thay i tuỳ thu c vào b n mu n c u hình cái gì, t bên trong ngo c s thay i. Ch ng h n khi b n mu n vào mode interface, ký hi u s thay i thành (config-if)# ngay sau tên router. thoát kh i configuration mode, ngư i s d ng có th gõ end hay nh n t h p phím Ctrl-Z - Chú ý các mode, tuỳ vào tình hu ng c th mà câu l nh ? t i các v trí s hi n th lên các câu l nh có th có cùng m c. Ký hi u ? cũng có th s d ng gi a câu l nh xem các tuỳ ch n ph c t p c a câu l nh. Example 4-2 hi n th cách s d ng câu l nh ? v i t ng mode - VD: Using Context-Sensitive Help Router>? Exec commands: access-enable Create a temporary Access-List entry
  • 32. access-profile Apply user-profile to interface clear Reset functions … - Bư c ti p theo s hư ng d n b n s d ng câu l nh thay i mode, xem c u hình h th ng và c u hình password. Màn hình CLI c a m t router 3640 ang ch y h i u hành Cisco IOS ư c hi n th . - Bư c 1: Vào enable mode b ng cách gõ enable và nh n phím Enter Router> enable Router# - Bư c 2: xem phiên b n c a h i u hành IOS ang ch y, gõ l nh show version Router# show version Cisco Internetwork Operating System Software IOS (tm) 3600 Software (C3640-IS-M), Version 12.2(10), RELEASE SOFTWARE (fc2) Copyright (c) 1986-2002 by Cisco Systems, Inc. Compiled Mon 06-May-02 23:23 by pwade Image text-base: 0x60008930, data-base: 0x610D2000 ROM: System Bootstrap, Version 11.1(20)AA2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) Router uptime is 47 minutes System returned to ROM by reload System image file is "slot0:c3640-is-mz.122-10.bin" cisco 3640 (R4700) processor (revision 0x00) with 94208K/4096K bytes of memory. Processor board ID 17746964
  • 33. R4700 CPU at 100Mhz, Implementation 33, Rev 1.0 Bridging software. X.25 software, Version 3.0.0. SuperLAT software (copyright 1990 by Meridian Technology Corp). 5 Ethernet/IEEE 802.3 interface(s) 1 Serial network interface(s) DRAM configuration is 64 bits wide with parity disabled. 125K bytes of non-volatile configuration memory. 8192K bytes of processor board System flash (Read/Write) 16384K bytes of processor board PCMCIA Slot0 flash (Read/Write) Configuration register is 0x2002 - T màn hình hi n th trên cho ta th y, router này ang ch y h i u hành Cisco IOS phiên b n 12.2(10) và b n sao c a nó ư c lưu trong th nh Flash PCMCIA trong slot 0 - Bư c 3: Ti p theo, c u hình tên router thành IOS. Vào configuration mode b ng cách gõ l nh configure terminal Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# hostname IOS IOS(config)# - Chú ý r ng ký hi u s chuy n ngay thành IOS sau khi b n gõ câu l nh hostname. T t c các thay c u hình trong Cisco IOS s th c thi ngay l p t c - Bư c 4: Ti p theo, b n c n t enable password và enable secret password. Enable secret password ư c lưu tr b ng cách dùng thu t toán mã hoá r t m nh và ư c ghi è lên enable password n u nó ã ư c c u hình IOS(config)# enable password cisco IOS(config)# enable secret san-fran
  • 34. IOS(config)# exit IOS# - vào enable mode b n c n gõ m t kh u là san-fran. Câu l nh exit s ưa b n quay l i 1 m c trong c u hình hay thoát kh i mode con hi n t i - Bư c 5: Sau khi c u hình tên router và cài t password, b n có th xem c u hình ang ch y IOS# show running-config Building configuration... Current configuration : 743 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname IOS ! enable secret 5 $1$IP7a$HClNetI.hpRdox84d.FYU. enable password cisco ! ip subnet-zero !
  • 35. call rsvp-sync ! interface Ethernet0/0 no ip address shutdown half-duplex ! interface Serial0/0 no ip address shutdown no fair-queue ! interface Ethernet2/0 no ip address shutdown half-duplex ! interface Ethernet2/1 no ip address shutdown half-duplex ! interface Ethernet2/2 no ip address
  • 36. shutdown half-duplex ! interface Ethernet2/3 no ip address shutdown half-duplex ! ip classless ip http server ip pim bidir-enable ! dial-peer cor custom ! line con 0 line aux 0 line vty 0 4 ! end - Bư c 6: Màn hình sau khi gõ show running-config s hi n th c u hình hi n th i ang ho t ng trong h th ng, tuy nhiên c u hình này s m t n u như h th ng kh i ng l i. lưu c u hình vào NVRAM, b n ch c ch n ph i gõ l nh IOS# copy running-config startup-config Destination filename [startup-config]? Building configuration...
  • 37. [OK] - Bư c 7: xem c u hình ư c lưu trong NVRAM, b n dùng l nh show startup-config - Trong chu i các bư c trên, chú ý interface Ethernet và serial ư c hi n th trong file c u hình. M i interface c n có nh ng thông s ch c ch n như s óng gói và a ch ư c cài t trư c khi interface có th s d ng m t cách úng n. Thêm vào ó, nh tưy n IP và b c c u c n ph i ư c c u hình. Tham kh o vi c cài t Cisco IOS và hư ng d n c u hình t i www.cisco.com cho phiên b n ph n mêm c a b n tham kh o thêm v t t c các tuỳ ch n c u hình có th có và hư ng d n chi ti t. - M t vài câu l nh thư ng dùng qu n lý h th ng Cisco IOS Command Miêu t show interface Hi n th tr ng thái hi n t i và chi ti t c u hình cho t t c các interface trong h th ng show processes cpu Hi n th vi c s d ng CPU và các ti n trình ang ch y trong h th ng show buffers Xem có bao nhiêu buffers ang ư c c p phát hi n th i và s ho t ng cho vi c chuy n ti p các packet show memory Xem có bao nhiêu b nh ư c c p phát cho các chưc năng khác c a h th ng và vi c s d ng b nh show diag Hi n th chi ti t các th nh trong h th ng show ip route Hi n th b ng IP route ang s d ng show arp Hi n th a ch MAC ánh x t a ch IP ang dùng trong b ng ARP
  • 38. 3. IV. Qui Trình C u Hình 4 Bư c IPSec/VPN Trên Cisco IOS: - Ta có th c u hình IPSec trên VPN qua 4 bư c sau ây: 1. Chu n b cho IKE và IPSec 2. C u hình cho IKE 3. C u hình cho IPSec C u hình d ng mã hóa cho gói d li u Crypto ipsec transform-set C u hình th i gian t n t i c a gói d li u và các tùy ch n b o m t khác Crypto ipsec sercurity-association lifetime T o crytoACLs b ng danh sách truy c p m r ng (Extended Access List) Crypto map C u hình IPSec crypto maps Áp d ng các crypto maps vào các c ng giao ti p (interfaces) Crypto map map-name 4. Ki m tra l i vi c th c hi n IPSec A. C u hình cho mã hóa d li u: - Sau ây b n s c u hình Cisco IOS IPSec b ng cách s d ng chính sách b o m t IPSec (IPSec Security Policy) nh nghĩa các các chính sách b o m t IPSec (transform set).
  • 39. - Chính sách b o m t IPSec (transform set) là s k t h p các c u hình IPSec transform riêng r ư c nh nghĩa và thi t k cho các chính sách b o m t lưu thông trên m ng. Trong su t quá trình trao i ISAKMP IPSec SA n u x y ra l i trong quá trình IKE Phase 2 quick mode, thì hai bên s s d ng transform set riêng cho vi c b o v d li u riêng c a mình trên ư ng truy n. Transform set là s k t h p c a các nhân t sau: • Cơ ch cho vi c ch ng th c: chính sách AH • Cơ ch cho vi c mã hóa: chính sách ESP • Ch IPSec (phương ti n truy n thông cùng v i ư ng h m b o m t) - Transform set b ng v i vi c k t h p các AH transform, ESP transform và ch IPSec (ho c cơ ch ư ng h m b o m t ho c ch phương ti n truy n thông). Transform set gi i h n t m t cho t i hai ESP transform và m t AH transform. nh
  • 40. nghĩa Transform set b ng câu l nh cryto ipsec transform-set ch gobal mode. Và xoá các cài t transform set dùng l nh d ng no. - Cú pháp c a l nh và các tham s truy n vào như sau: crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] - Các tham s c a l nh crypto ipsec transform-set Tham s Ý nghĩa transform-set-name Ch nh tên c a Transform ư c t o hay ư c thay i transform1, transform2, transform3 Ch t 3 transform tr lên. Nh ng transform ư c nh nghĩa cho giao th c b o m t IPSec (IPSec Security Protocol) và thu t tóan - B n có th c u hình nhi u transform set và ch rõ m t hay nhi u transform set trong m c crypto map. nh nghĩa các transform set trong m c crypto map ư c s d ng trong trao i IPSec SA b o v d li u ư c inh nghĩa b i ACL c a m c crypto map. Trong su t quá trình trao i, c hai bên s tìm ki m các transform set gi ng nhau c hai phiá. Khi mà các transform set ư c tìm th y, nó s ư c s d ng b o v d li u trên ư ng truy n như là m t ph n c a các IPSec Sa c 2 phía. - Khi mà ISAKMP không ư c s d ng thi t l p các Sa, m t transform set riêng r s ư c s d ng. Transform set ó s không ư c trao i. - Thay i c u hình Transform set: B1: Xóa các tranform set t crypto map B2: Xóa các transform set trong ch c u hình gobal mode B3: C u hình l i transform set v i nh ng thay i B4: Gán transform set v i crypto map B5: Xóa cơ s d li u SA (SA database) B6: Theo dõi các trao i SA và ch c ch n nó h at ng t t
  • 41. - C u hình cho vi c trao i transform: - Tranform set ư c trao i trong su t ch quick mode trong IKE Phase 2 là nh ng các transform set mà b n c u hình ưu tiên s d ng. B n có th c u hình nhi u transform set và có th ch ra m t hay nhi u transform set trong m c crypto map. C u hình transform set t nh ng b o m t thông thư ng nh nh t gi ng như trong chính sách b o m t c a b n. Nh ng transform set ư c nh nghĩa trong m c crypto map ư c s d ng trong trao i IPSec SA b o v d li u ư c nh nghĩa b i ACL c a m c crypto map. - Trong su t quá trình trao i m i bên s tìm ki m các transform set gi ng nhau c hai bên như minh h a hình trên. Các transform set c a Router A ư c so sánh v i m t transform set c a Router B và c ti p t c như th . Router A transform set 10, 20, 30 ư c so sánh v i transform set 40 c a Router B. N u mà không tr v k t qu úng thì t t c các transform set c a Router A sau ó s ư c so sánh v i transform set ti p theo c a Router B. Cu i cùng transform set 30 c a Router A gi ng v i transform set 60 c a Router B. Khi mà transform set ư c tìm th y, nó s ư c ch n và áp d ng cho
  • 42. vi c b o v ư ng truy n như là m t ph n c a IPSec SA c a c hai phía. IPSec m i bên s ch p nh n m t transform duy nh t ư c ch n cho m i SA. B. C u hình th i gian t n t i c a IPSec trong quá trình trao i: - IPSec SA ư c nh nghĩa là th i gian t n t i c a IPSec SA trư c khi th c hi n l i quá trình trao i ti p theo. Cisco IOS h tr giá tr th i gian t n t i có th áp d ng lên t t c các crypto map. Giá tr c a global lifetime có th ư c ghi è v i nh ng m c trong crypto map. - B n có th thay i giá tr th i gian t n t i c a IPSec SA b ng câu l nh crypto ipsec security-association lifetime ch global configuration mode. tr v giá tr m c nh ban u s d ng d ng câu l nh no. C u trúc và các tham s c a câu l nh ư c nh nghĩa như sau: cryto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes}
  • 43. Câu l nh Tham s seconds seconds Ch nh kh ang th i gian t n t i c a IPSec SA. M c nh là 3600 giây (m t gi ) kilobytes kilobytes Ch nh dung lư ng trong lưu thông IPSec gi a 2 bên s d ng ưa SA trư c khi SA h t h n. Giá tr m c nh 4,608,000 KB - Cisco khuy n cáo b n nên s d ng các giá tr m c nh. B n thân th i gian t n t i c a m i IPSec SA có th ư c c u hình b ng cách s d ng crypto map. - nh nghĩa Crypto Access Lists: -Crypto access list (Crypto ACLs) ư c s d ng nh nghĩa nh ng lưu thông (traffic) nào ư c s d ng hay kho s d ng IPSec.
  • 44. - Crypto ACLs th c hi n các ch c năng sau: • Outbound: Ch n nh ng traffic ư c b o v b i IPSec. Nh ng traffic còn l i s ư c g i d ng không mã hóa. • Inbound: N u có yêu c u thì inbound access list có th t o l c ra và l ai b nh ng traffic kho ư c b o v b i IPSec. C. T o cryto ACLs b ng danh sách truy c p m r ng (Extends access list): - Cryto ACLs ư c nh nghĩa b o v nh ng d li u ư c truy n t i trên m ng. Danh sach truy c p m r ng (Extended IP ACLs) s ch n nh ng lu ng d li u (IP traffic) mã hóa b ng cách s d ng các giao th c truy n t i (protocol), a ch IP (IP address), m ng (network), m ng con (subnet) và c ng d ch v (port). M c dù cú pháp ACL và extended IP ACLs là gi ng nhau, nghĩa là ch có s khác bi t chút ít trong crypto ACLs. ó là cho phép (permit) ch nh ng gói d li u ánh d u m i ư c mã hóa và t ch i (deny) v i nh ng gói d li u ư c ánh d u m i không ư c mã hóa. Crypto ACLs h at ng tương t như extendeds IP ACL ó là ch áp d ng trên nh ng lu ng d li u i ra (outbound traffic) trên m t interface.
  • 45. - Cú pháp câu l nh và các tham s ư c nh nghĩa cho d ng cơ b n c a danh sách extended IP ACL như sau: access-list access-list-number { permit | deny } protocol source Source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log] Access-list access-list-number command Tham S Permit T t c các lu ng d li u (traffic IP)s ư c ánh d u ư c b o v b ng cryto ph i s d ng chính sách b o m t (policy) li t kê cho phù h p v i các m c trong crypto map (crypto map entry) Deny Cho bi t nh ng lu ng d li u (traffic) t router nào t i router nào là an tòan Source and destination ó là nh ng m ng (network), m ng con (subnet) ho c là máy tr m (host) - Ghi chú: M c dù c u trúc ACL là không i nhưng v ý nghĩa có khác so v i cryto ACLs. ó là ch cho phép (permit) nh ng gói d li u ư c ánh d u m i ư c mã hóa và t ch i (deny) nh ng gói d li u ư c ánh d u không ư c mã hóa. - B t c lu ng d li u nào n (traffic inbound) không ư c b o v s ư c ánh d u permit trong crypto ACL c a m c crypto map gi ng như IPSec s h y b gói tin ó. Gói tin b h y b b i vì lu ng d li u ã ư c b o v b ng IPSec. - N u b n th c s mu n d li u t i nơi nh n là s k t h p c a ch m t d ng b o m t IPSec (ch ch ng th c-authentication) và nh ng d li u khác t i nơi nh n là s k t h p c a nhi u d ng b o m t khác (c ch ng th c và mã hóa) thì b n ph i t o hai crypto ACLs khác nhau nh nghĩa hai d ng c a d li u g i i. Hai ACLs khác nhau s ư c s d ng trong nh ng m c crypto map khác nhau c a nh ng IPSec policy khác nhau. - Chú ý: Cisco khuy n cáo b n nên tránh vi c s d ng t khóa any nh ng a ch nơi g i và ích t i. Câu l nh permit any any r t d x y ra l i b i vì t t c các
  • 46. lu ng d li u g i i (outbound traffic) s ư c b o v và t t c s ư c g t i nơi nh n phù h p trong crypto map entry. Sau ó t t c d li u g i t i (inbound packet) mà thi u s b o v c a IPSec s b b i, bao g m c các gói d li u cho giao th c nh tuy n (routing protocol), NTP, echo, echo response và nhi u cái khác. - Ph i gi i h n nh ng cái c n thi t khi mà nh nghĩa nh ng gói d li u ư c b o m t trong cryptoACLs. N u c n ph i s d ng t khóa any trong câu l nh permit, c n ph i m u câu l nh v i m t chu i các câu l nh deny l c các lu ng d li u i ra mà b n không mu n b o v . D. C u hình IPSec crypto maps: E. Áp d ng các crypto maps vào các c ng giao ti p (interfaces): V. Cách Th c Truy C p Vào Thi t B M ng (Telnet/SNMP): VI. .