Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến công
nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế để kết nối
nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một cách tự
do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng đó đang
dùng. Để làm được điều này người ta sử dụng một máy tính đặc biệt gọi là router để
kết nối các LAN và WAN với nhau. Các máy tính kết nối vào Internet thông qua nhà
cung cấp dịch vụ (ISP-Internet Service Provider), cần một giao thức chung là TCP/IP.
Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng
viễn thông công cộng. Với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực
tuyến, tư vấn y tế, và rất nhiều điều khác đã trở thành hiện thực.Tuy nhiên, do Internet
có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó
khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ.
Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoả mãn những yêu cầu trên
mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là mô
hình mạng riêng ảo (Virtual Private Network - VPN). Với mô hình mới này, người ta
không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin
cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được sự hoạt động của mạng này.
VPN cho phép người sử dụng làm việc tại nhà, trên đường đi hay các văn phòng chi
nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được
cung cấp bởi mạng công cộng.[5] Nó có thể đảm bảo an toàn thông tin giữa các đại lý,
người cung cấp, và các đối tác kinh doanh với nhau trong môi trường truyền thông
rộng lớn. Trong nhiều trường hợp VPN cũng giống như WAN (Wide Area Network),
tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng công cộng như
Internet mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều.
6 trang |
Chia sẻ: tlsuongmuoi | Lượt xem: 2254 | Lượt tải: 1
Bạn đang xem nội dung tài liệu Đề tài Tổng quan về VPN, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
T NG QUAN V VPNỔ Ề
T NG QUAN V VPNỔ Ề
Trong th i đ i ngày nay, Internet đã phát tri n m nh v m t mô hình cho đ n côngờ ạ ể ạ ề ặ ế
ngh , đáp ng các nhu c u c a ng i s d ng. Internet đã đ c thi t k đ k t n iệ ứ ầ ủ ườ ử ụ ượ ế ế ể ế ố
nhi u m ng khác nhau và cho phép thông tin chuy n đ n ng i s d ng m t cách tề ạ ể ế ườ ử ụ ộ ự
do và nhanh chóng mà không xem xét đ n máy và m ng mà ng i s d ng đó đangế ạ ườ ử ụ
dùng. Đ làm đ c đi u này ng i ta s d ng m t máy tính đ c bi t g i là router để ượ ề ườ ử ụ ộ ặ ệ ọ ể
k t n i các LAN và WAN v i nhau. Các máy tính k t n i vào Internet thông qua nhàế ố ớ ế ố
cung c p d ch v (ISP-Internet Service Provider), c n m t giao th c chung là TCP/IP.ấ ị ụ ầ ộ ứ
Đi u mà k thu t còn ti p t c ph i gi i quy t là năng l c truy n thông c a các m ngề ỹ ậ ế ụ ả ả ế ự ề ủ ạ
vi n thông công c ng. V i Internet, nh ng d ch v nh giáo d c t xa, mua hàng tr cễ ộ ớ ữ ị ụ ư ụ ừ ự
tuy n, t v n y t , và r t nhi u đi u khác đã tr thành hi n th c.Tuy nhiên, do Internetế ư ấ ế ấ ề ề ở ệ ự
có ph m vi toàn c u và không m t t ch c, chính ph c th nào qu n lý nên r t khóạ ầ ộ ổ ứ ủ ụ ể ả ấ
khăn trong vi c b o m t và an toàn d li u cũng nh trong vi c qu n lý các d ch v .ệ ả ậ ữ ệ ư ệ ả ị ụ
T đó ng i ta đã đ a ra m t mô hình m ng m i nh m tho mãn nh ng yêu c u trênừ ườ ư ộ ạ ớ ằ ả ữ ầ
mà v n có th t n d ng l i nh ng c s h t ng hi n có c a Internet, đó chính là môẫ ể ậ ụ ạ ữ ơ ở ạ ầ ệ ủ
hình m ng riêng o (Virtual Private Network - VPN). V i mô hình m i này, ng i taạ ả ớ ớ ườ
không ph i đ u t thêm nhi u v c s h t ng mà các tính năng nh b o m t, đ tinả ầ ư ề ề ơ ở ạ ầ ư ả ậ ộ
c y v n đ m b o, đ ng th i có th qu n lý riêng đ c s ho t đ ng c a m ng này.ậ ẫ ả ả ồ ờ ể ả ượ ự ạ ộ ủ ạ
VPN cho phép ng i s d ng làm vi c t i nhà, trên đ ng đi hay các văn phòng chiườ ử ụ ệ ạ ườ
nhánh có th k t n i an toàn đ n máy ch c a t ch c mình b ng c s h t ng đ cể ế ố ế ủ ủ ổ ứ ằ ơ ở ạ ầ ượ
cung c p b i m ng công c ng.[5] Nó có th đ m b o an toàn thông tin gi a các đ i lý,ấ ở ạ ộ ể ả ả ữ ạ
ng i cung c p, và các đ i tác kinh doanh v i nhau trong môi tr ng truy n thôngườ ấ ố ớ ườ ề
r ng l n. Trong nhi u tr ng h p VPN cũng gi ng nh WAN (Wide Area Network),ộ ớ ề ườ ợ ố ư
tuy nhiên đ c tính quy t đ nh c a VPN là chúng có th dùng m ng công c ng nhặ ế ị ủ ể ạ ộ ư
Internet mà đ m b o tính riêng t và ti t ki m h n nhi u.ả ả ư ế ệ ơ ề
1. Đ nh Nghĩa VPN:ị
- VPN đ c hi u đ n gi n nh là s m r ng c a m t m ng riêng (private network)ượ ể ơ ả ư ự ở ộ ủ ộ ạ
thông qua các m ng công c ng. V căn b n, m i VPN là m t m ng riêng r s d ngạ ộ ề ả ỗ ộ ạ ẽ ử ụ
m t m ng chung (th ng là internet) đ k t n i cùng v i các site (các m ng riêng l )ộ ạ ườ ể ế ố ớ ạ ẻ
hay nhi u ng i s d ng t xa. Thay cho vi c s d ng b i m t k t n i th c, chuyênề ườ ử ụ ừ ệ ử ụ ở ộ ế ố ự
d ng nh đ ng leased line, m i VPN s d ng các k t n i o đ c d n đ ng quaụ ư ườ ỗ ử ụ ế ố ả ượ ẫ ườ
Internet t m ng riêng c a các công ty t i các site hay các nhân viên t xa. Đ có thừ ạ ủ ớ ừ ể ể
g i và nh n d li u thông qua m ng công c ng mà v n b o đ m tính an tòan và b oử ậ ữ ệ ạ ộ ẫ ả ả ả
m t VPN cung c p các c ch mã hóa d li u trên đ ng truy n t o ra m t đ ngậ ấ ơ ế ữ ệ ườ ề ạ ộ ườ
ng b o m t gi a n i nh n và n i g i (Tunnel) gi ng nh m t k t n i point-to-pointố ả ậ ữ ơ ậ ơ ử ố ư ộ ế ố
trên m ng riêng. Đ có th t o ra m t đ ng ng b o m t đó, d li u ph i đ c mãạ ể ể ạ ộ ườ ố ả ậ ữ ệ ả ượ
hóa hay che gi u đi ch cung c p ph n đ u gói d li u (header) là thông tin v đ ngấ ỉ ấ ầ ầ ữ ệ ề ườ
đi cho phép nó có th đi đ n đích thông qua m ng công c ng m t cách nhanh chóng.ể ế ạ ộ ộ
D l êu đ c mã hóa m t cách c n th n do đó n u các packet b b t l i trên đ ngữ ị ượ ộ ẩ ậ ế ị ắ ạ ườ
truy n công c ng cũng không th đ c đ c n i dung vì không có khóa đ gi i mã.ề ộ ể ọ ượ ộ ể ả
Liên k t v i d li u đ c mã hóa và đóng gói đ c g i là k t n i VPN. Các đ ngế ớ ữ ệ ượ ượ ọ ế ố ườ
k t n i VPN th ng đ c g i là đ ng ng VPN (VPN Tunnel).ế ố ườ ượ ọ ườ ố
2. L i ích c a VPN:ợ ủ
VPN cung c p nhi u đ c tính h n so v i nh ng m ng truy n th ng và nh ng m ngấ ề ặ ơ ớ ữ ạ ề ố ữ ạ
m ng leased-line.Nh ng l i ích đ u tiên bao g m:ạ ữ ợ ầ ồ
• Chi phí th p h n nh ng m ng riêng: VPN có th gi m chi phí khi truy n t i 20-40%ấ ơ ữ ạ ể ả ề ớ
so v i nh ng m ng thu c m ng leased-line và gi m vi c chi phí truy c p t xa t 60-ớ ữ ạ ộ ạ ả ệ ậ ừ ừ
80%.
• Tính linh ho t cho kh năng kinh t trên Internet: VPN v n đã có tính linh ho t và cóạ ả ế ố ạ
th leo thang nh ng ki n trúc m ng h n là nh ng m ng c đi n, b ng cách đó nó cóể ữ ế ạ ơ ữ ạ ổ ể ằ
th ho t đ ng kinh doanh nhanh chóng và chi phí m t cách hi u qu cho vi c k t n iể ạ ộ ộ ệ ả ệ ế ố
m r ng. Theo cách này VPN có th d dàng k t n i ho c ng t k t n i t xa c aở ộ ể ễ ế ố ặ ắ ế ố ừ ủ
nh ng văn phòng, nh ng v trí ngoài qu c t ,nh ng ng i truy n thông, nh ng ng iữ ữ ị ố ế ữ ườ ề ữ ườ
dùng đi n tho i di đ ng, nh ng ng i ho t đ ng kinh doanh bên ngoài nh nh ng yêuệ ạ ộ ữ ườ ạ ộ ư ữ
c u kinh doanh đã đòi h i.ầ ỏ
• Đ n gi n hóa nh ng gánh n ng.ơ ả ữ ặ
• Nh ng c u trúc m ng ng, vì th gi m vi c qu n lý nh ng gánh n ng: S d ng m tữ ấ ạ ố ế ả ệ ả ữ ặ ử ụ ộ
giao th c Internet backbone lo i tr nh ng PVC tĩnh h p v i k t n i h ng nh ngứ ạ ừ ữ ợ ớ ế ố ướ ữ
giao th c nh là Frame Rely và ATM.ứ ư
• Tăng tình b o m t: các d li u quan tr ng s đ c che gi u đ i v i nh ng ng iả ậ ữ ệ ọ ẽ ượ ấ ố ớ ữ ườ
không có quy n truy c p và cho phép truy c p đ i v i nh ng ng i dùng có quy nề ậ ậ ố ớ ữ ườ ề
truy c p.ậ
• H tr các giao th c m n thông d ng nh t hi n nay nh TCP/IPỗ ợ ứ ạ ụ ấ ệ ư
• B o m t đ a ch IP: b i vì thông tin đ c g i đi trên VPN đã đ c mã hóa do đó cácả ậ ị ỉ ở ượ ử ượ
đi ch bên trong m ng riêng đ c che gi u và ch s d ng các đ a ch bên ngoàiạ ỉ ạ ượ ấ ỉ ử ụ ị ỉ
Internet.
3. Các thành ph n c n thi t đ t o k t n i VPN:ầ ầ ế ể ạ ế ố
- User Authentication: cung c p c ch ch ng th c ng i dùng, ch cho phép ng iấ ơ ế ứ ự ườ ỉ ườ
dùng h p l k t n i và truy c p h th ng VPN. ợ ệ ế ố ậ ệ ố
- Address Management: cung c p đ a ch IP h p l cho ng i dùng sau khi gia nh pấ ị ỉ ợ ệ ườ ậ
h th ng VPN đ có th truy c p tài nguyên trên m ng n i b .ệ ố ể ể ậ ạ ộ ộ
- Data Encryption: cung c p gi i pháp mã hoá d li u trong quá trình truy n nh mấ ả ữ ệ ề ằ
b o đ m tính riêng t và toàn v n d li u. ả ả ư ẹ ữ ệ
- Key Management: cung c p gi i pháp qu n lý các khoá dùng cho quá trình mã hoá vàấ ả ả
gi i mã d li u.ả ữ ệ
4. Các thành ph n chính t o nên VPN Cisco:ầ ạ
a. Cisco VPN Router: s d ng ph n m m Cisco IOS, IPSec h tr cho vi c b o m tử ụ ầ ề ỗ ợ ệ ả ậ
trong VPN. VPN t I u hóa các router nh là đòn b y đang t n t I s đ u t c aố ư ư ẩ ồ ạ ự ầ ư ủ
Cisco. Hi u qu nh t trong các m ng WAN h n h p. ệ ả ấ ạ ỗ ợ
b. Cisco Secure PIX FIREWALL: đ a ra s l a ch n khác c a c ng k t n I VPN khiư ự ự ọ ủ ổ ế ố
b o m t nhóm “riêng t ” trong VPN. ả ậ ư
c. Cisco VPN Concentrator series: Đ a ra nh ng tính năng m nh trong vi c đi u khi nư ữ ạ ệ ề ể
truy c p t xa và t ng thích v I d ng site-to-site VPN. Có giao di n qu n lý d sậ ừ ươ ớ ạ ệ ả ễ ử
d ng và m t VPN client. ụ ộ
d. Cisco Secure VPN Client : VPN client cho phép b o m t vi c truy c p t xa t Iả ậ ệ ậ ừ ớ
router Cisco và Pix Firewalls và nó là m t ch ng trình ch y trên h đi u hànhộ ươ ạ ệ ề
Window.
e. Cisco Secure Intrusion Detection System(CSIDS) và Cisco Secure Scanner th ngườ
đ c s d ng đ giám sát và ki m tra các v n đ b o m t trong VPN. ượ ử ụ ể ể ấ ề ả ậ
f. Cisco Secure Policy Manager and Cisco Works 2000 cung c p vi c qu n lý h th ngấ ệ ả ệ ố
VPN r ng l n.ộ ớ
1. Các giao th c VPN:ứ
- Các giao th c đ t o nên c ch đ ng ng b o m t cho VPN là L2TP, Cisco GREứ ể ạ ơ ế ườ ố ả ậ
và IPSec.
1.1 L2TP:
- Tr c khi xu t hi n chu n L2TP (tháng 8 năm 1999), Cisco s d ng Layer 2ướ ấ ệ ẩ ử ụ
Forwarding (L2F) nh là giao th c chu n đ t o k t n i VPN. L2TP ra đ i sau v iư ứ ẩ ể ạ ế ố ờ ớ
nh ng tính năng đ c tích h p t L2F.ữ ượ ợ ừ
- L2TP là d ng k t h p c a Cisco L2F và Mircosoft Point-to-Point Tunneling Protocolạ ế ợ ủ
(PPTP). Microsoft h tr chu n PPTP và L2TP trong các phiên b n WindowNT vàỗ ợ ẩ ả
2000
- L2TP đ c s d ng đ t o k t n i đ c l p, đa giao th c cho m ng riêng o quay sượ ử ụ ể ạ ế ố ộ ậ ứ ạ ả ố
(Virtual Private Dail-up Network). L2TP cho phép ng i dùng có th k t n i thông quaườ ể ế ố
các chính sách b o m t c a công ty (security policies) đ t o VPN hay VPDN nh làả ậ ủ ể ạ ư
s m r ng c a m ng n i b công ty.ự ở ộ ủ ạ ộ ộ
- L2TP không cung c p mã hóa.ấ
- L2TP là s k t h p c a PPP(giao th c Point-to-Point) v i giao th c L2F(Layer 2ự ế ợ ủ ứ ớ ứ
Forwarding) c a Cisco do đó r t hi u qu trong k t n i m ng dial, ADSL, và cácủ ấ ệ ả ế ố ạ
m ng truy c p t xa khác. Giao th c m r ng này s d ng PPP đ cho phép truy c pạ ậ ừ ứ ở ộ ử ụ ể ậ
VPN b i nh ng ng I s d ng t xa.ở ữ ườ ử ụ ừ
1.2 GRE:
- Đây là đa giao th c truy n thông đóng gói IP, CLNP và t t c cá gói d li u bên trongứ ề ấ ả ữ ệ
đ ng ng IP (IP tunnel)ườ ố
- V i GRE Tunnel, Cisco router s đóng gói cho m i v trí m t giao th c đ c tr ng chớ ẽ ỗ ị ộ ứ ặ ư ỉ
đ nh trong gói IP header, t o m t đ ng k t n i o (virtual point-to-point) t i Ciscoị ạ ộ ườ ế ố ả ớ
router c n đ n. Và khi gói d li u đ n đích IP header s đ c m raầ ế ữ ệ ế ẽ ượ ở
- B ng vi c k t n i nhi u m ng con v i các giao th c khác nhau trong môi tr ng cóằ ệ ế ố ề ạ ớ ứ ườ
m t giao th c chính. GRE tunneling cho phép các giao th c khác có th thu n l i trongộ ứ ứ ể ậ ợ
vi c đ nh tuy n cho gói IP.ệ ị ế
1.3 IPSec:
- IPSec là s l a ch n cho vi c b o m t trên VPN. IPSec là m t khung bao g m b oự ự ọ ệ ả ậ ộ ồ ả
m t d li u (data confidentiality), tính tòan v n c a d li u (integrity) và vi c ch ngậ ữ ệ ẹ ủ ữ ệ ệ ứ
th c d li u.ự ữ ệ
- IPSec cung c p d ch v b o m t s d ng KDE cho phép th a thu n các giao th c vàấ ị ụ ả ậ ử ụ ỏ ậ ứ
thu t tóan trên n n chính sách c c b (group policy) và sinh ra các khóa b o mã hóa vàậ ề ụ ộ ả
ch ng th c đ c s d ng trong IPSec.ứ ự ượ ử ụ
1.4 Point to Point Tunneling Protocol (PPTP):
- Đ c s d ng tr n các máy client ch y HĐH Microsoft for NT4.0 và Windows 95+ .ượ ử ụ ệ ạ
Giao th c này đ c s d ng đ mã hóa d li u l u thông trên M ng LAN. Gi ng nhứ ựơ ử ụ ể ữ ệ ư ạ ố ư
giao th c NETBEUI và IPX trong m t packet g I lên Internet. PPTP d a trên chu nứ ộ ử ự ẩ
RSA RC4 và h tr b I s mã hóa 40-bit ho c 128-bit. ỗ ợ ở ự ặ
- Nó không đ c phát tri n trên d ng k t n I LAN-to-LAN và gi i h n 255 k t n iượ ể ạ ế ố ớ ạ ế ố
t I 1 server ch có m t đ ng h m VPN trên m t k t n i. Nó không cung c p s mãớ ỉ ộ ườ ầ ộ ế ố ấ ự
hóa cho các công vi c l n nh ng nó d cài đ t và tri n khai và là m t gi I pháp truyệ ớ ư ễ ặ ể ộ ả
c p t xa ch có th làm đ c trên m ng MS. Giao th c này thì đ c dùng t t trongậ ừ ỉ ể ượ ạ ứ ượ ố
Window 2000. Layer 2 Tunneling Protocol thu c v IPSec.ộ ề
2. Thi t l p m t k t n i VPN:ế ậ ộ ế ố
- Máy VPN c n k t n i (VPN client) t o k t n t VPN (VPN Connection) t i máy chầ ế ố ạ ế ố ớ ủ
cung c p d ch v VPN (VPN Server) thông qua k t n i Internet.ấ ị ụ ế ố
- Máy ch cung c p d ch v VPN tr l i k t n i t iủ ấ ị ụ ả ờ ế ố ớ
- Máy ch cung c p d ch v VPN ch ng th c cho k t n i và c p phép cho k t n iủ ấ ị ụ ứ ự ế ố ấ ế ố
- B t đ u trao đ i d li u gi a máy c n k t n i VPN và m ng công tyắ ầ ổ ữ ệ ữ ầ ế ố ạ
Qui Trình C u Hình 4 B c IPSec/VPN Trên Cisco IOSấ ướ
Ta có th c u hình IPSec trên VPN qua 4 b c sau đây:ể ấ ướ
1. Chu n b cho IKE và IPSecẩ ị
2. C u hình cho IKEấ
3. C u hình cho IPSecấ
•
• C u hình d ng mã hóa cho gói d li uấ ạ ữ ệ
Crypto ipsec transform-set
• C u hình th i gian t n t i c a gói d li u và các tùy ch n b o m t khácấ ờ ồ ạ ủ ữ ệ ọ ả ậ
Crypto ipsec sercurity-association lifetime
• T o crytoACLs b ng danh sách truy c p m r ng (Extended Access List)ạ ằ ậ ở ộ
Crypto map
• C u hình IPSec crypto mapsấ
• Áp d ng các crypto maps vào các c ng giao ti p (interfaces)ụ ổ ế
Crypto map map-name
4. Ki m tra l i vi c th c hi n IPSecể ạ ệ ự ệ
A. C u hình cho mã hóa d li u:ấ ữ ệ
- Sau đây b n s c u hình Cisco IOS IPSec b ng cách s d ng chính sách b o m tạ ẽ ấ ằ ử ụ ả ậ
IPSec (IPSec Security Policy) đ đ nh nghĩa các các chính sách b o m t IPSecể ị ả ậ
(transform set).
- Chính sách b o m t IPSec (transform set) là s k t h p các c u hình IPSec transformả ậ ự ế ợ ấ
riêng r đ c đ nh nghĩa và thi t k cho các chính sách b o m t l u thông trên m ng.ẽ ượ ị ế ế ả ậ ư ạ
Trong su t quá trình trao đ i ISAKMP IPSec SA n u x y ra l i trong quá trình IKEố ổ ế ả ỗ
Phase 2 quick mode, thì hai bên s s d ng transform set riêng cho vi c b o v d li uẽ ử ụ ệ ả ệ ữ ệ
riêng c a mình trên đ ng truy n. Transform set là s k t h p c a các nhân t sau:ủ ườ ề ự ế ợ ủ ố
• C ch cho vi c ch ng th c: chính sách AHơ ế ệ ứ ự
• C ch cho vi c mã hóa: chính sách ESPơ ế ệ
• Ch đ IPSec (ph ng ti n truy n thông cùng v i đ ng h m b o m t)ế ộ ươ ệ ề ớ ườ ầ ả ậ
- Transform set b ng v i vi c k t h p các AH transform, ESP transform và ch đằ ớ ệ ế ợ ế ộ
IPSec (ho c c ch đ ng h m b o m t ho c ch đ ph ng ti n truy n thông).ặ ơ ế ườ ầ ả ậ ặ ế ộ ươ ệ ề
Transform set gi i h n t m t cho t i hai ESP transform và m t AH transform. Đ nhớ ạ ừ ộ ớ ộ ị
nghĩa Transform set b ng câu l nh cryto ipsec transform-set ch đ gobal mode. Vàằ ệ ở ế ộ
đ xoá các cài đ t transform set dùng l nh d ng no.ể ặ ệ ạ
- Cú pháp c a l nh và các tham s truy n vào nh sau:ủ ệ ố ề ư
crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]
- Các tham s c a l nh crypto ipsec transform-set:ố ủ ệ
- B n có th c u hình nhi u transform set và ch rõ m t hay nhi u transform set trongạ ể ấ ề ỉ ộ ề
m c crypto map. Đ nh nghĩa các transform set trong m c crypto map đ c s d ngụ ị ụ ượ ử ụ
trong trao đ i IPSec SA đ b o v d li u đ c đinh nghĩa b i ACL c a m c cryptoổ ể ả ệ ữ ệ ượ ở ủ ụ
map. Trong su t quá trình trao đ i, c hai bên s tìm ki m các transform set gi ng nhauố ổ ả ẽ ế ố
c hai phiá. Khi mà các transform set đ c tìm th y, nó s đ c s d ng đ b o vở ả ượ ấ ẽ ượ ử ụ ể ả ệ
d li u trên đ ng truy n nh là m t ph n c a các IPSec Sa c 2 phía.ữ ệ ườ ề ư ộ ầ ủ ở ả
- Khi mà ISAKMP không đ c s d ng đ thi t l p các Sa, m t transform set riêng rượ ử ụ ể ế ậ ộ ẽ
s đ c s d ng. Transform set đó s không đ c trao đ i.ẽ ượ ử ụ ẽ ượ ổ
- Thay đ i c u hình Transform set:ổ ấ
B1: Xóa các tranform set t crypto mapừ
B2: Xóa các transform set trong ch đ c u hình gobal modeế ộ ấ
B3: C u hình l i transform set v i nh ng thay đ iấ ạ ớ ữ ổ
B4: Gán transform set v i crypto mapớ
B5: Xóa c s d li u SA (SA database)ơ ở ữ ệ
B6: Theo dõi các trao đ i SA và ch c ch n nó h at đ ng t tổ ắ ắ ọ ộ ố
- C u hình cho vi c trao đ i transform:ấ ệ ổ
- Tranform set đ c trao đ i trong su t ch đ quick mode trong IKE Phase 2 là nh ngượ ổ ố ế ộ ữ
các transform set mà b n c u hình u tiên s d ng. B n có th c u hình nhi uạ ấ ư ử ụ ạ ể ấ ề
transform set và có th ch ra m t hay nhi u transform set trong m c crypto map. C uể ỉ ộ ề ụ ấ
hình transform set t nh ng b o m t thông th ng nh nh t gi ng nh trong chínhừ ữ ả ậ ườ ỏ ấ ố ư
sách b o m t c a b n. Nh ng transform set đ c đ nh nghĩa trong m c crypto mapả ậ ủ ạ ữ ượ ị ụ
đ c s d ng trong trao đ i IPSec SA đ b o v d li u đ c đ nh nghĩa b i ACLượ ử ụ ổ ể ả ệ ữ ệ ượ ị ở
c a m c crypto map.ủ ụ
- Trong su t quá trình trao đ i m i bên s tìm ki m các transform set gi ng nhau cố ổ ỗ ẽ ế ố ở ả
hai bên nh minh h a hình trên. Các transform set c a Router A đ c so sánh v iư ọ ở ủ ượ ớ
m t transform set c a Router B và c ti p t c nh th . Router A transform set 10, 20,ộ ủ ứ ế ụ ư ế
30 đ c so sánh v i transform set 40 c a Router B. N u mà không tr v k t qu đúngượ ớ ủ ế ả ể ế ả
thì t t c các transform set c a Router A sau đó s đ c so sánh v i transform set ti pấ ả ủ ẽ ượ ớ ế
theo c a Router B. Cu i cùng transform set 30 c a Router A gi ng v i transform set 60ủ ố ủ ố ớ
c a Router B. Khi mà transform set đ c tìm th y, nó s đ c ch n và áp d ng choủ ượ ấ ẽ ượ ọ ụ
vi c b o v đ ng truy n nh là m t ph n c a IPSec SA c a c hai phía. IPSec ệ ả ệ ườ ề ư ộ ầ ủ ủ ả ở
m i bên s ch p nh n m t transform duy nh t đ c ch n cho m i SA.ỗ ẽ ấ ậ ộ ấ ượ ọ ỗ
B. C u hình th i gian t n t i c a IPSec trong quá trình trao đ i:ấ ờ ồ ạ ủ ổ
- IPSec SA đ c đ nh nghĩa là th i gian t n t i c a IPSec SA tr c khi th c hi n l iượ ị ờ ồ ạ ủ ướ ự ệ ạ
quá trình trao đ i ti p theo. Cisco IOS h tr giá tr th i gian t n t i có th áp d ng lênổ ế ỗ ợ ị ờ ồ ạ ể ụ
t t c các crypto map. Giá tr c a global lifetime có th đ c ghi đè v i nh ng m cấ ả ị ủ ể ượ ớ ữ ụ
trong crypto map.
- B n có th thay đ i giá tr th i gian t n t i c a IPSec SA b ng câu l nh ạ ể ổ ị ờ ồ ạ ủ ằ ệ crypto ipsec
security-association lifetime ch đ global configuration mode. Đ tr v giá trở ế ộ ể ả ề ị
m c đ nh ban đ u s d ng d ng câu l nh no. C u trúc và các tham s c a câu l nhặ ị ầ ử ụ ạ ệ ấ ố ủ ệ
đ c đ nh nghĩa nh sau:ượ ị ư
cryto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes}
- Cisco khuy n cáo b n nên s d ng các giá tr m c đ nh. B n thân th i gian t n t iế ạ ử ụ ị ặ ị ả ờ ồ ạ
c a m i IPSec SA có th đ c c u hình b ng cách s d ng crypto map.ủ ỗ ể ượ ấ ằ ử ụ
- Đ nh nghĩa Crypto Access Lists:ị
-Crypto access list (Crypto ACLs) đ c s d ng đ đ nh nghĩa nh ng l u thôngượ ử ụ ể ị ữ ư
(traffic) nào đ c s d ng hay kho s d ng IPSec.ượ ử ụ ử ụ
- Crypto ACLs th c hi n các ch c năng sau:ự ệ ứ
• Outbound: Ch n nh ng traffic đ c b o v b i IPSec. Nh ng traffic còn l i s đ cọ ữ ượ ả ệ ở ữ ạ ẽ ượ
g i d ng không mã hóa.ử ở ạ
• Inbound: N u có yêu c u thì inbound access list có th t o đ l c ra và l ai b nh ngế ầ ể ạ ể ọ ọ ỏ ữ
traffic kho đ c b o v b i IPSec.ượ ả ệ ở
C. T o cryto ACLs b ng danh sách truy c p m r ng (Extends access list):ạ ằ ậ ở ộ
- Cryto ACLs đ c đ nh nghĩa đ b o v nh ng d li u đ c truy n t i trên m ng.ượ ị ể ả ệ ữ ữ ệ ượ ề ả ạ
Danh sach truy c p m r ng (Extended IP ACLs) s ch n nh ng lu ng d li u (IPậ ở ộ ẽ ọ ữ ồ ữ ệ
traffic) đ mã hóa b ng cách s d ng các giao th c truy n t i (protocol), đ a ch IP (IPể ằ ử ụ ứ ề ả ị ỉ
address), m ng (network), m ng con (subnet) và c ng d ch v (port). M c dù cú phápạ ạ ổ ị ụ ặ
ACL và extended IP ACLs là gi ng nhau, nghĩa là ch có s khác bi t chút ít trongố ỉ ự ệ
crypto ACLs. Đó là cho phép (permit) ch nh ng gói d li u đánh d u m i đ c mãỉ ữ ữ ệ ấ ớ ượ
hóa và t ch i (deny) v i nh ng gói d li u đ c đánh d u m i không đ c mã hóa.ừ ố ớ ữ ữ ệ ượ ấ ớ ượ
Crypto ACLs h at đ ng t ng t nh extendeds IP ACL đó là ch áp d ng trên nh ngọ ộ ươ ự ư ỉ ụ ữ
lu ng d li u đi ra (outbound traffic) trên m t interface.ồ ữ ệ ộ
D. C u hình IPSec crypto maps:ấ
E. Áp d ng các crypto maps vào các c ng giao ti p (interfaces):ụ ổ ế
Các file đính kèm theo tài liệu này:
- Tổng quan về vpn.pdf