Embed Size (px)
Citation preview
TỔNG QUAN VỀ MẠNG RIÊNG ẢO (VPN)
1. Mạng riêng ảo VPN Khái niệm:
VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm
đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí.VPN cho phép các máy
tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn
đảm bảo được tính riêng tư và bảo mật dữ liệu.
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các
địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết
nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua
Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa 2. Các mô hình của VPN
2.1. Remote-Access: Hay cũng được gọi là Virtual Private Dial-up Network (VPDN), đây là dạng kết nối
User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng
(private network) từ các địa điểm từ xa. Điển hình, mỗi công ty có thể hy vọng rằng cài đặt
một mạng kiểu Remote-Access diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ
ESP (Enterprise Service Provider). ESP cài đặt một một công nghệ Network Access Server
(NAS) và cung cấp cho các user ở xa với phần mềm client trên mỗi máy của họ. Các nhân
viên từ xa này sau đó có thể quay một số từ 1-800 để kết nối được theo chuẩn NAS và sử
dụng các phần mềm VPN client để truy cập mạng công ty của họ. Các công ty khi sử dụng
loại kết nối này là những hãng lớnvới hàng trăm nhân viên thương mại. Remote-access VPNs
đảm bảo các kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên
từ xa qua một nhà cung cấp dịch vụ thứ ba (third-party)
2.2. Site-to-Site:
Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có
thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet. Các mạng Site-to-
site VPN có thể thuộc một trong hai dạng sau:
Intranet-based: Áp dụng trong truờng hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi
địa điểm đều đã có 1 mạng cục bộ LAN. Khi đó họ có thể xây dựng một mạng riêng ảo VPN
để kết nối các mạng cục bộ đó trong 1 mạng riêng thống nhất.
Extranet-based: Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ
như, một đồng nghiệp, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng extranet
VPN để kết nối kiểu mạng Lan với mạng Lan và cho phép các công ty đó có thể làm việc
trong một môi trường có chia sẻ tài nguyên.
3.Lợi ích của VPN:
VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và những mạng
mạng leased-line.Những lợi ích đầu tiên bao gồm:
• Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi truyền tới 20-
40% so với những mạng thuộc mạng leased-line và giảm việc chi phí truy cập từ xa từ
60-80%.
• Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã có tính linh hoạt và
có thể leo thang những kiến trúc mạng hơn là những mạng cổ điển, bằng cách đó nó có
thể hoạt động kinh doanh nhanh chóng và chi phí một cách hiệu quả cho việc kết nối
mở rộng. Theo cách này VPN có thể dễ dàng kết nối hoặc ngắt kết nối từ xa của những
văn phòng, những vị trí ngoài quốc tế,những người truyền thông, những người dùng
điện thoại di động, những người hoạt động kinh doanh bên ngoài như những yêu cầu
kinh doanh đã đòi hỏi.
• Đơn giản hóa những gánh nặng.
• Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng: Sử dụng
một giao thức Internet backbone loại trừ những PVC tĩnh hợp với kết nối hướng những
giao thức như là Frame Rely và ATM.
• Tăng tình bảo mật: các dữ liệu quan trọng sẽ được che giấu đối với những người
không có quyền truy cập và cho phép truy cập đối với những người dùng có quyền truy
cập.
• Hỗ trợ các giao thức mạn thông dụng nhất hiện nay như TCP/IP
• Bảo mật địa chỉ IP: bởi vì thông tin được gửi đi trên VPN đã được mã hóa do đó
các điạ chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài
Internet.
3.Các thành phần cần thiết để tạo kết nối VPN:
User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phép người
dùng hợp lệ kết nối và truy cập hệ thống VPN.
- Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập
hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.
- Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm
bảo đảm tính riêng tư và toàn vẹn dữ liệu.
- Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá
và giải mã dữ liệu.
4.Mô tả bài lab và đồ hình
Cấu hình VPN cho phép 2 LAN ở router HN và router SG liên lạc được với nhau.
Cấu hinh:
Router HN và SG, cấu hình hostname và ip theo mô hình, sau đó cấu hình default route.
R1 (config)#host HN
HN (config)# interface s0/0
HN (config-if)# ip address 192.168.1.1 255.255.255.0
HN (config-if)# clockrate 64000
HN (config-if)# no shutdown
HN (config-if)# interface fastethernet0/0
HN (config-if)# ip address 1.1.1.254 255.255.255.0
HN (config-if)# no shutdown
HN (config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2
R3 (config)#host SG
SG (config)# interface s0/0
SG (config-if)# ip address 192.168.2.1 255.255.255.0
SG (config-if)# no shutdown
SG (config-if)# clockrate 64000
SG (config-if)# interface fastethernet0/0
SG (config-if)# ip address 2.2.2.254 255.255.255.0
SG (config-if)# no shutdown
SG (config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2
R2(config)#interface s0/0
R2(config-if)# ip address 192.168.1.2 255.255.255.0
R2(config-if)# no shutdown
R2(config-if)# clockrate 64000
R2(config-if)# interface serial0/1
R2(config-if)# ip address 192.168.2.2 255.255.255.0
R2(config-if)# clockrate 64000
R2(config-if)# no shutdown
Các bước cấu hình VPN site to site
Bước 1: Tạo internet key exchange (IKE) key policy
HN (config)#crypto isakmp policy 9
HN (config-isakmp)#hash md5
HN (config-isakmp)#authentication pre-share
SG (config)#crypto isakmp policy 9
SG (config-isakmp)#hash md5
SG (config-isakmp)#authentication pre-share
Bước 2: Tạo share key để sử dụng cho kết nối VPN
HN (config)#crypto isakmp key 12345 address 192.168.2.1
SG (config)#crypto isakmp key 12345 address 192.168.1.1
Bước 3: Quy định lifetime
HN (config)#crypto ipsec security-association lifetime seconds 86400
SG (config)# crypto ipsec security-association lifetime seconds 86400
Bước 4: Cấu hình ACL dãy IP có thể VPN
HN (config)# access-list 100 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
SG (config)# access-list 100 permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
Bước 5: Cấu hình tranform-set Ipsec
HN (config)# crypto ipsec transform-set LAN1 esp-md5-hmac esp-3des
SG (config)# crypto ipsec transform-set LAN2 esp-md5-hmac esp-3des
Bước 6: Tạo crypto-map cho các trasform, setname
HN (config)#crypto map mapvpn1 10 ipsec-isakmp
HN (config-crypto-map)#set peer 192.168.2.1
HN (config-crypto-map)#set transform-set LAN1
HN (config-crypto-map)#match address 100
SG (config)#crypto map mapvpn1 10 ipsec-isakmp
SG (config-crypto-map)#set peer 192.168.1.1
SG (config-crypto-map)#set transform-set LAN2
SG (config-crypto-map)#match address 100
Bước 7: Gán vào interface
HN (config)#interface s0/0
HN (config-if)#crypto map mapvpn1
SG (config)#interface s0/0
SG (config-if)#crypto map mapvpn2
Phần trên các router cấu hình đến đây đã xong!
Kết quả: ping từ LAN 1.1.1.0/24 sang LAN 2.2.2.0 /24 đã thành công!
Kiểm tra và thẩm định quá trình hoạt động của IPSe
Dùng lệnh show crypto isakmp sa cho ta biết các tất cả active SA đang có trên
thiết bị.
Muốn xem cấu hình transform set thì dùng câu lệnh show crypto ipsec
transform-set
Kiểm tra xem một IPSec SA đang hoạt động thì dùng lệnh show crypto ipsec sa
