Bài giảng Xây dựng hệ thống firewall - Bài 5: Triển khai hệ thống VPN trên Cisco IOS
TÓM LƯỢC BÀI HỌC
Sử dụng giao thức bảo mật cho Tunnel VPN: IPSec
Cấu hình Site-to-Site IPSec VPN
Cấu hình Cisco Easy VPN.
Kết luận:
Bài học này rất hay giúp triển khai một hệ thống VPN với cơ chế bảo
mật thông qua giao thức IPSec.
Ứng dụng bài học vào thực tiễn xây dựng hệ thống VPN an toàn cho DN.
131 trang |
Chia sẻ: vutrong32 | Lượt xem: 1306 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Bài giảng Xây dựng hệ thống firewall - Bài 5: Triển khai hệ thống VPN trên Cisco IOS, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
MÔN HỌC: XÂY DỰNG HỆ THỐNG
FIREWALL
1
Trường Cao đẳng Nghề CNTT iSPACE
Khoa Mạng Và An Ninh Thông Tin
fit@ispace.edu.vn
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG.
Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL
Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS
Bài 4: BẢO MẬT LAYER 2
Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS
MÔN HỌC: XÂY DỰNG HỆ THỐNG
FIREWALL
2
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
BÀI 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN
CISCO IOS
Giới thiệu IPsec và đặc điểm IPsec
Triển khai site – to – site IPsec VPN
Cấu hình IPsec site – to – site VPN sử dụng SDM
Cấu hình cisco Easy VPN và Easy VPN Server với SDM
Triển khai cisco VPN Client
Câu hỏi bài tập
Triển khai hệ thống Ipsec VPN site- to – site bằng dòng lệnh và sử dụng
giao diện SDM
3
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
MỤC TIÊU BÀI HỌC
Trình bày được các thành phần của IPSec và đặc điểm của
IPSec VPN.
Triển khai Site-to-Site IPSec VPN.
Cấu hình IPSec Site-to-Site VPN sử dụng SDM.
Cấu hình được Cisco Easy VPN Server với SDM.
Triển khai được Cisco VPN Client.
4
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Tống quan IPSec
Internet Key Exchange
Các chức năng IKE
ESP và AH
Hàm băm
Mã hóa
Môi trường khóa công khai
Tổng quan về giao thức IPSec và cách thức hoạt động của IPSec
5
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
IPsec là gì ?
IPsec là một chuẩn của IETF sử dụng cơ chế mã hóa trong lớp
mạng
Chứng thực gói tin IP
Kiểm tra tính toàn vẹn của mỗi gói tin
Đảm bảo tính “riêng tư” (Bí mật) với mỗi gói tin
Chuẩn mở đảm bảo tính bảo mật khi kết nối riêng tư
Ứng dụng trong các mô hình mạng từ nhỏ đế lớn
Hỗ trợ sẳn trong các phiên bản phần mềm Cisco IOS 11.3 T trở
về sau.
Hỗ trợ trong các phiên bản Firewall PIX 5.0 và sau đó
6
Giới thiệu IPsec và đặc điểm IPsec
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Tính năng bảo mật IPsec:
IPsec là chuẩn duy nhất trong lớp 3 cung cấp tính năng :
Bảo mật
Chứng thực
Toàn vẹn dữ liệu
7
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
IPsec Protocols:
IPsec sử dụng ba giao thức chính để tạo ra một khung bảo mật
Internet Key Exchange (IKE):
o Cung cấp khung thỏa thuận những thông số bảo mật
o Tạo ra các khóa xác thực
Encapsulating Security Payload (ESP):
o Cung cấp việc mã hóa , xác thực và bảo mật dữ liệu
Authentication Header (AH):
o Cung cấp khung cho việc xác thực và bảo mật dữ liệu
8
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
IPsec Headers :
Ipsec ESP cung cấp những tính năng:
Xác thực và toàn vẹn dữ liệu ( MD5 – SHA 1 – HMAC )
Bảo mật ( DES , 3DES , ASE ) chỉ với ESP
9
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Peer Authentication:
Peer phương pháp xác thực:
Đặt Username – Password
Mật khẩu một lần (OTP)
Sinh trắc học
Khóa biết trước
Chứng chỉ số
10
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Internet Key Exchange:
IKE giúp các bên giao tiếp hòa hợp các
tham số bảo mật và khóa xác nhận trước
khi một phiên bảo mật IPSec được triển
khai.
IKE sửa đổi những tham số khi cần thiết
trong suốt phiên làm việc
IKE cũng đảm nhiệm việc xoá bỏ những
SA và các khóa sau khi một phiên giao
dịch hoàn thành
11
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
IKE Phases:
Giai đoạn 1:
Xác thực các thông điệp
Thiết lập kênh đàm phán giữa SA
Thông tin thỏa thuận các thuật toán
Giai đoạn 1.5:
Chứng thực VPN client
Bật chế độ cấu hình
Giai đoạn 2:
Thiết lập SAs cho Ipsec
Giao dịch nhanh
12
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
IKE Modes :
4 chế độ IKE phổ biến thường được triển khai :
Chế độ chính (Main mode)
Chế độ linh hoạt (Aggressive mode)
Chế độ nhanh (Quick mode)
Chế độ nhóm mới (New Group mode)
13
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
IKE Modes:
14
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Tính năng khác IKE :
Phát hiện mất kết nối tới PER ( DPD ) :
Chức năng mang tính 2 chiều
Gửi những thông điệp định kỳ
PEER thực hiện gửi lại nếu không coi là mất kết nối
IKE Keepalives được gửi đi sau khoảng thời gian 10s
NAT Traversal :
Được định nghĩa trong RFC 3947
Đóng gói trong gói tin thông qua giao thức UDP
15
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
IPsec NAT Traversal :
Cần NAT Traversal với IPsec qua TCP/UDP :
NAT Traversal phát hiện
NAT Traversal quyết định
Đóng gói các gói tin thông qua UDP
Các thông tin : IP và PORT nằm trong gói UDP
16
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Mode cấu hình :
17
Các Mode sử dụng để
đẩy các thông số cấu hình
cho IPsec VPN Client
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Easy VPN:
18
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
User Authentication:
19
Cho phép phương thức
AAA hoạt động đối với việc
xác thực user
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
ESP và AH:
IP protocol :
ESP và AH
ESP sử dụng port 50
AH sử dụng port 51
Ipsec modes :
Sử dụng 2 mode : Tunnel hoặc Transport
Tunnel mode : Tạo ra header mới cho IP
20
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
ESP và AH Header:
ESP cho phép mã hóa và xác thực gói tin ban đầu
AH xác thực toàn bộ gói tin và không cho mã hóa
21
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
AH Authentication and Integrity:
22
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
ESP Protocol:
Cung cấp bảo mật và mã hóa
Cung cấp tính toàn vẹn và có xác thực
23
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Tunnel and Transport Mode:
24
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Xác thực thông tin và kiểm tra tính toàn vẹn dùng Hash:
MAC dùng để xác thực thông báo và kiểm tra tính toàn vẹn
Phương pháp dùm hàm băm rất thông dụng và hầu hết được
dùng kiểm tra toàn vẹn của dữ liệu
25
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Hàm băm:
MD5: được sử dụng phổ biến với giá trị băm dài 128bit
SHA-1: cho giá trị băm dài 160 bit nhưng với Ipsec chỉ sử dụng 96
bit đầu tiên
SHA-1 có thời gian tính toán lâu hơn MD5 nhưng nó bảo mật hơn
26
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Mã hóa đối xứng và bất đối xứng:
Thuật toán đối xứng :
Mã hóa bằng key bí mật
Mã hóa và giải mã sử dụng
chung 1 key
Thông thường được dùng
mã hóa thông tin
VD : DES, 3DES , AES
Thuật toán bất đối xứng
Mã hóa bằng key công cộng
Mã hóa và giải mã sử dụng
2 key khác nhau.
Được sử dụng trong chữ ký số .
VD : RSA
27
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Kích thước khóa:
Kích thước khóa đối xứng so với khóa bất đối xứng :
28
Symmetric Key Length Asymmetric Key Length
80 1024
112 2048
128 3072
192 7680
256 15,360
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Cấp độ bảo mật với các thuật toán mã hóa:
29
Security Level Work Factor Algorithms
Weak O(240) DES, MD5
Legacy O(264) RC4, SHA-1
Baseline O(280) 3DES
Standard O(2128) AES-128, SHA-256
High O(2192) AES-192, SHA-384
Ultra O(2256) AES-256, SHA-512
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Symmetric Encryption: DES
DES là thuật toán mã hóa đối xứng
Block cipher : kích thước khối 64 bit , chiều dài khóa 56 bit
DES được ứng dụng mã hóa khối dữ liệu
30
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Symmetric Encryption: 3DES
Tổng độ dài khóa 168 bit
3DES sử dụng 2 khóa khác nhau làm chiều dài khóa tăng lên
Thông thường: mã hóa , giải mã , mã hóa
31
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Symmetric Encryption: AES
Trước đây được gọi là : ‘Rijndael’
Là thuật toán sau DES và 3DES
AES làm việc với khối dữ liệu 128 bit và chiều dài khóa có thể là
128 192 hoặc 256 bit
AES dùng 2 thuật toán khác nhau cho mã hóa và giải mã
32
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Asymmetric Encryption: RSA
Trên cơ sở trao đổi khóa Diffie- Hellman
Khóa công khai để mã hóa dữ liệu và xác minh chữ ký số
Khóa bí mật dùng để giải mã dữ liệu và tạo ký với chữ ký điện tử
Là thuật toán tốt cho việc truyền dữ liệu
33
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Trao đổi key Diffie-Hellman:
Deffie – Hellman: khởi tạo và trao đổi khóa an toàn giữa hai thành
phần qua một kênh không an toàn.
34
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Trao đổi key Diffie-Hellman:
35
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Certificate Authority :
Tạo ra sự an toàn và tin tưởng trong quá trình trao đổi dữ liệu
trong phạm vi cá nhân và công cộng
Thẩm tra danh tính người dùng , các thông tin liên quan đến
người sử dụng chứng chỉ số
Cấp phát và thu hồi các chứng chỉ số hết hạn
36
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
X.509 v3 Certificate:
37
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
PKI Credentials :
Sơ sở hạ tầng khóa công khai PKI :
Tạo ra chứng chỉ khóa công khai
Phân phối chứng chỉ
Thu hồi chứng chỉ
Quản lý chứng chỉ
38
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Tổng quan
Các bước hoạt động
Cấu hình IPSec
Cấu hình site – to – site IPSec áp dụng cấu hình VPN
Cấu hình site – to – site IPSec interface ACL
39
Các bước hoạt động và triển khai, cấu hình mô hình site–to– site IPSec
VPN
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Tổng quan IPSec:
Đây là giao thức chuẩn của IETF để phục vụ cho việc mã hóa
trong VPN
Lợi điểm lớn nhất của IPSec là giao thức này có thể thiết lập VPN
một cách tự động và thích hợp với các chính sách bảo mật tập
trung
IPSec có thể thiết lập một VPN dựa trên cơ sở các máy tính mà
không phải là các người dùng
40
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Tống quan:
IPSec cung cấp dịch vụ bảo mật sử dụng IKE cho phép thỏa thuận
các giao thức và thuật tóan trên nền chính sách cục bộ (group
policy) và sinh ra các khóa bảo mã hóa và chứng thực được sử
dụng trong IPSec
IPSec chưa phải là giao thức bảo mật đường hầm mang tính chất
tuyệt đối vì còn tồn tại nhiều nhược điểm.
41
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Diễn ra qua 5 bước:
42
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Bước 1 :
A và B hình thành tuyến lưu thông dữ liệu lý tưởng dựa trên các
cấu hình định tuyến trước đó
Tuyến lưu thông này sẽ được tạo đường hầm IPSec trong suốt
quá trình kết nối về sau này.
43
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Bước 2:
Router A và B khởi tạo phiên IKE Phase 1
44
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Bước 2 (tt ):
Thực hiện trao đổi khóa theo thuật toán Diffie-Hellman
45
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Bước 2 (tt ):
Cuối cùng xác thực Peer, cách xác thực có thể là dùng Preshared
keys, thuật toán RSA hay dùng RSA mã hóa Nonces
46
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Bước 3 :
Router khởi tạo phiên IKE Phase 2 áp dụng IPSec cho các SA
Định kỳ thảo luận lại IPSec SAs để đảm bảo tính an toàn
47
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Thiết lập transform set:
48
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Bước 4 :
Phiên IPSec được hình thành, lúc này các SA đã tạo ra ở bước 3
sẽ được trao đổi giữa 2 bên, và sau đó chế độ bảo mật sẽ được
áp dụng cho các dữ liệu truyền trong đường hầm IPSec
49
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Bước 5 :
Giải phóng đường hầm IPSec
SA hết thời gian sống
Gói truyền dữ liệu vượt quá ngưỡng.
Việc giải phóng này mang tính chất là việc hủy đi các SA
50
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Cấu hình Site-to-Site IPsec Phase 1:
51
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Cấu hình Site-to-Site IPsec Phase 2:
52
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Cấu hình Site-to-Site Ipsec VPN:
53
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Cấu hình Site-to-Site IPsec : Interface ACL
IKE : sử dụng UDP port 500
ESP và AH : sử dụng port 50 và 51
NAT cho phép :
UDP cổng 4500
TCP ( đã được cấu hình )
54
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Cấu hình Site-to-Site IPsec : Interface ACL
Bảo đảm các port 50 , 51 và UDP 500 không bị cấm tại các
interface sử dụng IPSec
55
Router1#show access-lists
access-list 102 permit ahp host 172.16.172.10 host 172.16.171.20
access-list 102 permit esp host 172.16.172.10 host 172.16.171.20
access-list 102 permit udp host 172.16.172.10 host 172.16.171.20 eq isakmp
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Tổng quan
Các bước hoạt động
Cấu hình IPSec
Cấu hình Site-to-Site IPSec áp dụng cho VPN
Cấu hình Site-to-Site IPSec Interface ACL
56
Cách cấu hình của mô hình site – to – site IPSec VPN dùng Cisco SDM
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Cisco Router and SDM:
57
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Cisco Router and SDM:
SDM có một số công cụ dựa trên web để quản lý
Cung cấp các trình thuật thông minh để cho phép triển khai nhanh
hơn và dễ dàng hơn , đặc biệt không đòi hỏi nhiều kiến thức về
Cisco IOS CLI
Chứa nhiều tính năng và tích hợp nhiều công cụ cho người dùng
cấp cao :
ACL biên tập
VPN
Cisco IOS CLI
58
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Tính năng Cisco SDM:
Tích hợp định tuyến và bảo mật
An toàn cơ sở hạ tầng mạng hiện có một cách dễ dàng và chi phí
rẻ
Sử dụng Cisco TAC và ICSA để bảo mật các cấu hình
59
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Giới thiệu giao diện VPN SDM:
60
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Site - to - site VPN:
VPN wizard sử dụng hai nguồn để tạo ra kết nối VPN
Người dùng nhập vào theo step by step winzard
SDM VPN cung cấp một số tính năng sẵn có :
Hai chính sách IKE
IPSec sử dụng Winzard để cấu hình
Các thành phần khác được tạo ra bởi VPN Winzard
Một số thành phần như PKI phải được cấu hình trước khi
winzard có thể sử dụng
61
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Site - to - site VPN (tt):
62
Hai thành phần chính :
IPSec
IKE
Hai thành phần tùy chọn :
Chính sách nhóm cho Easy VPN
Cơ sở hạ tầng khóa công khai
cho IKE xác thực bằng cách
dùng chứng chỉ số
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Cấu hình Site-to-Site VPN Wizard:
63
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Cấu hình Site-to-Site VPN Wizard:
64
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Quick setup:
65
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Quick setup (tt):
66
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Step-by-Step Setup:
Nhiều bước được sử dụng để cấu hình VPN:
Xác định các cài đặt: interface, địa chỉ IP, các thông tin xác
thực.
Xác định các đề xuất IKE: ưu tiên, thuật toán mã hóa, HMAC,
chứng thực, Diffie-Hellman
Xác định biến đổi IPSec: thuật toán mã hóa, HMAC, phương
thức hoạt động
Xác định lưu lượng truy cập: nguồn đơn và mạng con đích,
ACL
Kiểm tra lại và hoàn thành việc cấu hình.
67
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Connection settings:
68
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
IKE Proposals
69
1.
2.
3.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Transform Set:
70
1.
2.
3.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Option 1: Single source and Destination subnet
71
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Option 2: Using an ACL
72
1.
2.
3.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Option 2: Using an ACL (tt)
73
1.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Option 2: Using an ACL (tt)
74
2.
3.
1.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Kiểm tra cấu hình đã generate:
75
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Kiểm tra cấu hình đã generate (tt):
76
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Kiểm tra cấu hình Tunnel Operation:
77
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Theo dõi Tunnel Operation:
78
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Advanced Monitoring:
79
show crypto isakmp sa
show crypto ipsec sa
router#
router#
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Giới thiệu Cisco Easy VPN
Các bước hoạt động của Cisco Easy VPN Server
Cấu hình Cisco Easy VPN
80
Các bước hoạt động và cấu hình Cisco Easy VPN và Easy VPN server với
Cisco SDM
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Giới thiệu Cisco Easy VPN:
Cisco Easy VPN có hai chứ năng chính:
Đơn giản hóa cấu hình phía Client
Tập trung cấu hình Server và tự động đẩy cấu hình cho Client
Để có thể đạt được hai mục tiêu trên:
Chế độ IKE có chức năng tải một số thông số cấu hình cho
phía client
Client được cấu hình sẵn với một tập hợp các chính sách IKE
và IPSec
81
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Tổng quan Cisco Easy VPN:
Easy VPN Server: Cho phép các thiết bị định tuyến Cisco IOS,
Cisco PIX Pirewall, Cisco VPN hoạt động như VPN thiết bị đầu cuối
trong mạng VPN site - to - site hoặc truy cập từ xa trong đó các
văn phòng từ xa có thể sử dụng Cisco Easy VPN Remote
Easy VPN Remote: Cho phép các thiết bị định tuyến Cisco IOS,
Cisco PIX Pirewall, Cisco VPN, phần cứng client hoặc phần mềm
Client hoạt động từ xa thông qua VPN client.
82
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Truy cập từ xa dùng Cisco Easy VPN:
83
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Các bước kết nối Cisco Easy VPN :
Kết nối thông qua 7 bước :
Bước 1 : VPN Client khởi tạo IKE Phase 1
Bước 2 : VPN Client thiết lập ISAKMP SA
Bước 3 : Easy VPN Server chấp nhận đề nghị SA
Bước 4 : Easy VPN Server khởi tạo một username và password
Bước 5 : Mode cấu hình được bắt đầu
Bước 6 : Quá trình RRI được bắt đầu
Bước 7 : IPSec nhanh chóng hoàn thiện kết nối
84
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Bước 1:
Chia sẻ key, hoạt động ở mức tích cực.
Sử dụng chứng chỉ số, tiến hành chính thức.
85
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Bước 2:
VPN client nỗ lực để thiết lập một SA giữa những địa chỉ IP bằng
cách gửi nhiều ISAKMP đến Easy VPN Server
Để giảm cấu hình bằng tay tại máy VPN Client, có sự kết hợp giữa
ISAKMP với một số điều sau đây:
Các thuật toàn mã hóa và hàm băm
Phương pháp xác thực
Diffie-Hellman
86
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Bước 3:
Easy VPN Server tìm kiếm cho phù hợp:
Xét đề nghị đầu tiên phù hợp với danh sách máy chủ được
chấp nhận
Xét đề nghị an toàn nhất là luôn luôn được liệt kê trên cùng
một danh sách cùa Easy VPN Server
Các SA ISAKMP thiết lập thành công
Thiết bị kết thúc xác thực và bắt đầu xác thực user
87
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Bước 4:
Nếu Easy VPN Server cấu hình cho Xauth, VPN Client chờ đợi
thách thức cho Username / Password:
Người dùng nhập vào Username / Password
Thông tin User/ Password được đối tượng kiểm tra và xác thực
bằng AAA
Tất cả Easy VPN Server được cấu hình để thực thi xác thực
User
88
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Bước 5:
Nếu Easy VPN cho biết xác thực thành công, VPN Client sẽ yêu
cầu những tham số còn lại từ Easy VPN Server:
Khởi động chế độ cấu hình
Các thông số hệ thống còn lại (địa chỉ IP, DNS, Tunnel .)
được tải về cho VPN Client.
Nhớ rằng địa chỉ IP chỉ cần thiết cho 1 nhóm, còn các thông số
khác là tùy chọn.
89
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Bước 6 :
RRI nên được sử dụng khi các điều kiện sau xảy ra :
Nhiều hơn một máy VPN Server
Địa chỉ IP tĩnh được sử dụng với một số Client
RRI đảm bảo việc tạo ra Static Router
Phân phối lại các tuyến đường tĩnh vào một IGP cho phép các
máy chủ tìm thấy Easy VPN Server thích hợp cho việc kết nối
với Client.
90
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Bước 7 :
Sau khi các thông số được cấu hình đã được công nhận bởi VPN
Client
IPSec quick mode nhanh chóng được bắt đầu đàm phán thành lập
IPSec SA
Sau khi thành lập IPSec SA kết nối VPN đã hoàn tất.
91
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Cấu hình Easy VPN sử dụng SDM:
Cấu hình Easy VPN Server đòi hỏi những việc sau:
Cấu hình 1 user đặc quyền
Cấu hình cho phép bí mật
AAA cho phép sử dụng dữ liệu Local
Cấu hình Ease VPN Server sử dụngWizard
Easy VPN Server Wizard bao gồm:
Lựa chọn interface để chấm dứt Ipsec
Các chính sách IKE
Sử dụng: local, RADIUS, TACACS+
User xác thực dùng Radius
92
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
VPN Wizards:
93
1.
2.
3.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Enabling AAA:
94
2.
1.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Local User Management:
95
1.
2.
3.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Enable AAA Messagebox:
96
1.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Starting the Easy VPN Server:
97
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Select Interface for Terminating IPSec:
98
1.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
IKE Proposals:
99
1.
2.
3.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Transform Set:
100
3.
2.
1.
4.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Option 1: Local Router Configuration:
101
1.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Option 2: External Location via RADIUS
102
1.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Option 2: External Location via RADIUS (tt)
103
3.
1.
2.
4.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Option 1: Local User Database
104
2.
3.
1.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Option 1: Local User Database – Adding Users
105
1.
2.
3.
4.
5.
6.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Option 2: External User Database via RADIUS
106
2.
3.
1.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Local Group Policies:
107
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
General Parameters:
108
1.
2.
3A. 3B.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Domain Name System:
109
1.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Split Tunneling:
110
1.
3.
4.
2.
5.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Advanced Options:
111
1.
2.
3.
4.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Xauth Options:
112
1.
2.
3.
4.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Review Generated Configuration:
113
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Review Generated Configuration (tt):
114
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Verify Easy VPN Server Configuration:
115
1.
3.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Verify Easy VPN Server Configuration (tt):
116
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Monitoring Easy VPN Server:
117
1.
2.
3.
5.
4.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và
Easy VPN Server với Cisco SDM
Advanced Monitoring:
118
show crypto isakmp sa
show crypto ipsec sa
router#
router#
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Tổng quan
Cài đặt Cisco VPN Client
Tạo một kết nối với User
Cấu hình và chứng thực tài khoản người dùng
Cấu hình Tunnel
Kích hoạt chức năng sao lưu máy chủ
Cấu hình kết nối với Internet thông qua mạng dial-up
Các tác vụ cấu hình Cisco VPN Client
Sử dụng Cisco VPN Client để thiết lập kết nối VPN và kiểm
tra trạng thái hoạt động.
119
Các bước cấu hình và triển khai Cisco VPN Client
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Sử dụng Cisco VPN Client để thiết lập kết nối VPN và kiểm
tra trạng thái kết nối :
Quá trình cài đặt :
Tải phiên bản mới nhất của Cisco VPN Client CCO
Hủy bỏ tất cả những phiên bản trước của Cisco VPN Client
Quá trình cài đặt :
Bật VPN Client
Tạo và cấu hình kết nối VPN
Kiểm tra các kết nối VPN
120
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Cài đặt Cisco VPN Client:
121
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Tạo kết nối:
122
2.
1.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Tạo kết nối (tt):
123
4.
6.
3.
5.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Tạo kết nối (tt):
Chứng thực:
Tạo nhóm
Mutual chứng thực
Đăng ký CA
124
1.
2.
3.
4.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Mutual Group Authentication:
125
1.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Cấu hình Transparent Tunneling :
Sử dụng cấu hình mặc định
NAT- T cho phép IPSec và IKE qua cổng UDP 4500
126
1.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Bật chức năng backup:
Danh sách được sử dụng khi máy chủ VPN không hoạt động
được
127
1.
2.
3.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Kết nối dial-up:
128
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
Câu hỏi ôn tập
Trình bày các thành phần của IPSec và đặc điểm của IPSec
VPN.
Triển khai Site-to-Site IPSec VPN.
Các bước cấu hình IPSec Site-to-Site VPN sử dụng SDM.
Các bước cấu hình được Cisco Easy VPN Server với SDM.
Trình bày cách triển khai Cisco VPN Client.
129
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
TÓM LƯỢC BÀI HỌC
Sử dụng giao thức bảo mật cho Tunnel VPN: IPSec
Cấu hình Site-to-Site IPSec VPN
Cấu hình Cisco Easy VPN.
Kết luận:
Bài học này rất hay giúp triển khai một hệ thống VPN với cơ chế bảo
mật thông qua giao thức IPSec.
Ứng dụng bài học vào thực tiễn xây dựng hệ thống VPN an toàn cho
DN.
130
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:
@Email: fit@ispace.edu.vn
HỎI - ĐÁP
131
Các file đính kèm theo tài liệu này:
- lesson05_4702.pdf