Nghiên cứu và triển khai VPN trên thiết bị Cisco _ Ngô Hoàng Tuấn _ KM09

7/16/2019 Nghiên cứu và triển khai VPN trên thiết bị Cisco _ Ngô Hoàng Tuấn _ KM09

http://slidepdf.com/reader/full/nghien-cuu-va-trien-khai-vpn-tren-thiet-bi-cisco-ngo-hoang-tuan 1/56

Nghiên cứu và triển khai VPN trên thiết bị Cisco

Lờ i mở đầu

Ngày nay thế giới chúng ta đã và đang bướ c vào k ỷ nguyên của sự bùng nổ thông tin. Cùng vớ i sự phát triển của các phương tiện truyền thông đại chúng, lĩnh

vực truyền thông mạng máy tính đã và đang phát triển không ngừng. Vớ i internet,

bức tườ ng ngăn cách giữa các quốc gia, giữa các nền văn hóa, giữa những con

ngườ i với nhau đã ngày càng giảm đi. Ngày nay theo thống kê có khoảng 2,4 tỷ

người đang sử dụng internet và các ứng dụng trên internet là vô cùng phong phú.

Tuy nhiên khi internet làm giảm đi ranh giớ i giữa các công ty, tổ chức, giữa các cá

nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các thông tin cá

nhân, các tài nguyên thông tin,… cũng tăng lên.

Vậy làm sao để các tổ chức, các cá nhân đang sử dụng mạng cục bộ khi

tham gia internet vừa có thể bảo vệ an toàn đượ c các dữ liệu quan tr ọng, vừa đảm

bảo đượ c tính sẵn sàng cao của dữ liệu mỗi khi cần đến, đồng thờ i vẫn đảm bảo

khả năng truy xuất thuận tiện, nhanh chóng . Vấn đề này đã trở nên hết sức quan

tr ọng trong thờ i buổi bùng nổ công nghệ thông tin hiện nay.Vớ i những lý do trên,

em chọn đề tài “Nghiên c ứ u vàtr i ể n khai VPN trên thi ế t b ị Cisco ” là đề tài

nguyên cứu thực tậ p tốt nghiệ p của em.

VPN là công nghệ đượ c sử dụng phổ biến hiện nay nhằm cung cấ p k ết nối

an toàn và hiệu quả để truy cậ p tài nguyên nội bộ công ty từ bên ngoài thông qua

mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm

được tính riêng tư của dữ liệu giống như đang truyền trên một hệ thống mạngriêng.

Tp.Hồ Chí Minh, 10, tháng 05, năm 2013




Lờ i cảm ơn

Trong đợ t thực tậ p vừa qua, em đã nhận đượ c sự hướ ng dẫn, giú p đỡ và hỗ

tr ợ từ nhiều phía. Tất cả những điều đó đã tr ở thành một động lực r ất lớ n giúp em

có thể hoàn thành tốt mọi công việc đượ c giao. Vớ i tất cả sự cảm kích và trân

tr ọng, em xin gửi lờ i cảm ơ n tớ i tất cả mọi ngườ i.

Trướ c tiên cho em gửi lờ i cảm ơn đến Ban lãnh đạo Công ty TNHH thương

mại và k ỹ thuật tin học TTC (Số 58, Mạc Đĩnh Chi, Phườ ng Đa Kao, Quận 1,

Tp.Hồ Chí Minh) đã tạo điều kiện cho em đượ c tham gia thực tậ p tại công ty cũng

như hỗ tr ợ về mọi mặt trong thờ i gian thực tậ p vừa qua.Xin cảm ơ n anh Nguyễn

Quang Lâm và các anh chị trong công ty đã tận tình giú p đỡ em trong suốt thờ i

gian thực tậ p tại công ty.

Em xin chân thành cảm ơ n thầy Nguyễn Hữu Chân Thành cùng các thầy cô

trong bộ môn Truyền Thông và mạng máy tính đã tận tình hướ ng dẫn, giú p đỡ emtrong thờ i gian thực tậ p và hoàn thành bài báo cáo.

Xin trân tr ọng cảm ơ n!




Nhật ký thự c tập

Thờ i gian thự c tập 25/02/2013 đến 03/05/2013.

Tuần 1(25/02/2013 - 02/03/2012): Tìm hiểu về công ty, hoạt động lĩnh vực

kinh doanh, tác phong làm việc tại công ty.

Tuần 2 (04/03/2013 - 09/03/2013): Cùng các anh trong phòng k ỹ thuật tìm

hiểu công việc cơ bản và tham gia hỗ tr ợ một số công việc đơn giản.

Tuần 3, 4, 5, 6, 7, 8 (18/03/2013 - 20/04/2013): Cùng các anh trong phòng

k ỹ thuật đi sửa chữa hệ thống, bảo trì máy tính, giao hàng cho khách hàng

công ty.

Tuần 9 (22/04/2013 - 27/04/2013): Tổng hợ p tài liệu, hoàn thành báo cáo

thực tậ p tốt nghiệ p.




Nhận xét và đánh giá của Ban lãnh đạo công ty:

...........................................................................................................................

...........................................................................................................................

...........................................................................................................................

...........................................................................................................................

...........................................................................................................................

...........................................................................................................................

...........................................................................................................................

...........................................................................................................................

...........................................................................................................................

...........................................................................................................................

...........................................................................................................................

...........................................................................................................................

...........................................................................................................................

...........................................................................................................................

Xác nhận của Công ty




Nhận xét và đánh giá của giảng viên hướ ng dẫn:

..............................................................................................

..............................................................................................

..............................................................................................

..............................................................................................

..............................................................................................

..............................................................................................

..............................................................................................

..............................................................................................

..............................................................................................

..............................................................................................

..............................................................................................

..............................................................................................

..............................................................................................

..............................................................................................

Giảng viên hướ ng dẫn




MỤC LỤC

Chương 1: TỔ NG QUAN VỀ VPN ..................................................................... 31.1 Định nghĩa về VPN ........................................................................................ 31.2 Lợ i ích của VPN ............................................................................................. 51.3 Các thành phần cần thiết để tạo nên k ết nối VPN .......................................... 51.4 Các thành phần tạo nên hệ thống VPN của Cisco ......................................... 61.5 Thiết lậ p một k ết nối VPN ............................................................................. 61.6 Các công nghệ VPN ....................................................................................... 7

1.6.1 Site - to - site VPN ................................................................................ 71.6.1.1 Layer 2 VPN ................................................................................ 81.6.1.2 Layer 3 VPN ................................................................................ 8

1.6.1.3 GRE ............................................................................................. 91.6.1.4 MPLS VPN.................................................................................. 9

1.6.2 Remote Access VPN ............................................................................. 101.6.2.1 L2TP ............................................................................................ 111.6.2.2 IPSec ............................................................................................ 11

Chương 2: TÌM HIỂU VỀ IPSEC ........................................................................ 132.1 IPSec Transport mode .................................................................................... 132.2 IPSec Tunnel mode ........................................................................................ 152.3 Tổng quan về ESP và AH .............................................................................. 16

2.3.1 ESP ........................................................................................................ 162.3.1.1 ESP mode .................................................................................... 162.3.1.2 ESP Packet Field ......................................................................... 172.3.1.3 Quá trình hoạt động và mã hoá của ESP ..................................... 18

2.3.2 AH (Authentication Header)................................................................. 212.3.2.1 AH mode ..................................................................................... 212.3.2.2 AH xác thực và đảm bảo tính toàn vẹn dữ liệu ........................... 222.3.2.3 AH Header ................................................................................... 232.3.2.4 Hoạt động của giao thức AH ....................................................... 242.3.2.5 AH version 3 ............................................................................... 25

2.3.2.6 AH Summary ............................................................................... 26




2.4 IKE (Internet Key Exchange) ......................................................................... 282.4.1 IKE Phase ............................................................................................. 29

2.4.1.1 IKE Phase I .................................................................................. 29

2.4.1.2 IKE Phase II ................................................................................ 302.4.1.3 IKE mode .................................................................................... 31

Chương 3: TỔ NG QUAN HỆ ĐIỀU HÀNH CISCO IOS .................................. 353.1 Kiến trúc hệ thống .......................................................................................... 353.2 Cisco IOS CLI ................................................................................................ 37Chương 4: CẤU HÌNH VPN TRÊN THIẾT BỊ CISCO ..................................... 404.1 Mô hình .......................................................................................................... 404.2 Cấu hình ......................................................................................................... 414.3 K ết quả ........................................................................................................... 43

Tài liệu tham khảo ................................................................................................ 50




SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 1

Chương 1: TỔNG QUAN VỀ VPN

Trong thờ i buổi công nghệ hiện nay, mạng internet đã phát triển mạnh mẽ

về hệ tầng mạng cũng như các công nghệ đáp ứng cho nhu cầu sử dụng internet

của người dùng. Ngườ i dùng có thể k ết nối, chia sẻ tài nguyên, dữ liệu,… một

cách nhanh chóng và chính xác, để làm được điều này chúng ta phải sử dụng 1

thiết bị gọi là router để k ết nối các hệ thống mạng LAN, WAN vớ i nhau. Các máy

tính k ết nối vớ i internet thông qua nhà cung cấ p dịch vụ (Internet Service Provider

– ISP) cần có một giao thức chung là TCP/IP. Tuy nhiên internet có phạm vi toàncầu không một tổ chức nào có thể quản lý nên r ất khó khăn trong việc bảo mật an

toàn dữ liệu và quản lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình mạng

thỏa mãn các nhu cầu trên mà vẫn sử dụng các hạ tầng của mạng internet có sẵn,

đó chính là mô hình mạng riêng ảo – Virtual Private Network (VPN).Vớ i mô hình

này, ngườ i dụng không cần phải đầu tư nhiều về hệ thống nhưng độ bảo mât, tin

cậy vẫn đảm bảo và đồng thờ i quản lý đượ c hệ thống mạng riêng này. Nó đảm bảo

đượ c sự an toàn dữ liệu giữa các đại lý, ngườ i cung cấ p, các công ty vớ i nhau

trong môi trườ ng internet r ộng lớn và đầy nguy cơ tấn công mạng.

1.1 Định nghĩa về VPN

VPN đượ c hiểu như là sự mở r ộng của 1 mạng riêng thông qua 1 mạng

chung. Về căn bản, mỗi VPN sẽ k ết nối với cùng các VPN khác hay các ngườ i

dùng từ xa thông qua internet. Thay cho 1 k ết nối thực như leased – line, VPN sử

dụng các k ết nối ảo đượ c thiết lậ p giữa các mạng riêng của các công ty tớ i các site

hay nhân viên làm việc từ xa thông qua internet.





VNP cung cấp các cơ chế mã hóa dữ liệu trên đườ ng truyền tạo ra một

đườ ng ống bảo mật (Tunnel) giữa nơi nhận và nơi gửi. Để có thể tạo ra một

Tunnel đó, dữ liệu phải đượ c mã hóa, chỉ còn để lại phần header (là phần thông tin

cung cấp địa chỉ đường đi) để nó đi đến đúng đích thông qua mạng công cộng một

cách nhanh chóng. Do đó nếu các gói tin (packet) bị hacker bắt được trên đườ ng

truyền công cộng cũng không thể đọc được vì đã bị mã hóa nội dung. Liên k ết vớ i

dữ liệu được mã hóa và đóng gói đượ c gọi là k ết nối VPN. Các đườ ng k ết nối

VPN thường đượ c gọi là đườ ng ống VPN (VPN Tunnel).

Hình 1.1 Mô hình k ế t nố i VPN





1.2 Lợ i ích của VPN

VPN cung cấ p nhiều đặc tính lợi ích hơn so vớ i mạng truyền thống vànhững mạng leased – line. Một số lợi ích như là:

Chi phí thấp hơn các mạng riêng khác: VPN có thể giảm chi phí từ 20-40%

so vớ i những mạng thuộc mạng leased – line và giảm chi phí truy cậ p từ xa

từ 60-80%.

Tính linh hoạt cho khả năng sử dụng hệ thống mạng có sẵn.

Sử dụng những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh

nặng: Sử dụng một giao thức Internet backbone tích hợ p vớ i k ết nối hướ ng

những giao thức như Frame Relay và ATM.

Tăng tính bảo mật: Các dữ liệu quan tr ọng đượ c mã hóa và phân quyền sử

dụng cho từng ngườ i dùng (user) khác nhau.

Hỗ tr ợ các giao thức mạng thông dụng hiện nay như TCP/IP.

Bảo mật địa chỉ IP: Bờ i vì thông tin gửi đi trên VPN đã đượ c mã hóa cácđịa chỉ bên trong mạng riêng (private) và chỉ sử dụng các địa chỉ bên ngoài

(puplic) internet.

1.3 Các thành phần cần thiết để tạo k ết nối VPN

User Authentication: cung cấp cơ chế chứng thực ngườ i dùng. Chỉ cho phép

user hợ p lệ k ết nối và truy cậ p vào hệ thống VPN. Address Management: cung cấp địa chỉ IP hợ p lệ cho ngườ i dùng sau khi

gia nhậ p hệ thống VPN để có thể truy cậ p tớ i tài nguyên mạng nội bộ.





Data Encryption: cung cấ p giải pháp mã hóa dữ liệu trong quá trính truyền

nhằm bảo đảm tính bảo mật và toàn vẹn dữ liệu.

Key Management: Cung cấ p các giải pháp quản lý mã khóa dùng cho quá

trình mã hóa và giải mã dữ liệu trong quá trình truyền và nhận.

1.4 Các thành phần tạo nên hệ thống VNP của Cisco

Cisco VPN Router: sử dụng phần mềm Cisco IOS, IPSec hỗ tr ợ cho việc

bảo mật trong VPN. Có hiệu quả cao trong các mạng WAN hỗn hợ p.

Cisco Secure PIX Firewall: đưa ra các sự lựa chọn khác của cổng k ết nối

VPN khi bảo mật nhóm riêng tư trong hệ thống VPN.

Cisco VPN Concentrator series: Đưa ra các chức năng trong việc điều khiển

truy cậ p từ xa và tương thích vớ i dạng site – to – site VPN.

Cisco Secure VPN Client: VPN Client cho phép bảo mật truy cậ p từ xa tớ i

router Cisco và Pix Firewall và nó chạy trên hệ điều hành Windown.

Cisco Secure Instrusion Detection System và Cisco Secure Scaner: thườ ngdùng để giám sát và kiểm tra các vấn đề bảo mật trong VPN.

Cisco Secure Policy Manager and Cisco Works 2000: Cung cấ p việc quản

lý một hệ thống VPN r ộng lớ n.

1.5 Thiết lập một k ết nối VPN

Máy VPN cần k ết nối (VPN client) tạo k ết nốt VPN (VPN Connection) tớ imáy chủ cung cấ p dịch vụ VPN (VPN Server) thông qua k ết nối Internet.

Máy chủ cung cấ p dịch vụVPN tr ả lờ i k ết nối tớ i máy VPN cần k ết nối.





Máy chủ cung cấ p dịch vụVPN chứng thực cho k ết nối và cấ p phép cho k ết

nối vào hệ thống VPN.

Bắt đầu trao đổi dữ liệu giữa VPN client và mạng nội

bộ.

Hình 1.2 Thiế t l ậ p một k ế t nố i VPN

1.6 Các công nghệ VPN

Có thế chia VPN thành 2 loại công nghệ là: Site - to - site VPN và Remote Access

VPN.

1.6.1 Site - to - site VPN:

Theo cách hiểu đơ n giản nhất thì VPN là một k ết nối giữa 2 thiết bị đầu

cuối trên mạng công cộng để tạ p nên một k ết nối phù hợ p vớ i như cầu của công





ty, doanh nghiệ p. Các k ết nối này có thể thực hiện ở lớ p 2 (Layer 2) hoặc lớ p 3

(Layer 3) trong mô hình 7 lớ p OSI và công nghệ VPN có thế đượ c phân thành

Layer 2VPN và Layer 3 VPN. Việc thiết lậ p k ết nối site - to - site trên Layer 2

hoặc Layer 3 là như nhau.

1.6.1.1 Layer 2 VPN

Layer 2 VPN hoạt động ở lớ p 2 của mô hình 7 lớ p OSI, đó là những k ết nối

point - to - point và thiết lậ p k ết nối giữa các tr ụ sở trên một mạch ảo (Virtual

Curcuit). Một mạch ảo là một k ết nối end - to - end hợ p lý giữa hai thiết bị đầucuối trong một mạng và có thể mở r ộng nhiều yếu tố, nhiều phân đoạn vật lý của

một mạng. Các mạch ảo đượ c cấu hình end - to - end và đượ c gọi là một mạch ảo

thườ ng tr ực (PVC). ATM và Frame Relay là hai trong số các công nghệ phổ biến

nhất ở Layer 2 VPN. Hai công nghệ này có thể cung cấ p k ết nối site - to - site cho

một công ty bằng cách cấu hình mạch ảo v ĩ nh viễn trên một mạng back - point

đượ c chia sẻ.

Một trong những ưu điểm của Layer 2 VPN là sự độc lậ p lưu lượ ng có thể

thực hiện trên nó. ATM và Frame Relay dùng k ết nối giữa các tr ụ sở có thể mạng

theo nhiều công nghệ của Layer 3 như IP, IPX, Apple Talk. Mặt khác ATM và

Frame Relay cũng cung cấ p chất lượ ng dịch vụ (QoS), một điều r ất quan tr ọng

trong các hệ thống mạng yêu cầu độ tr ễ như voice, video.

1.6.1.2 Layer 3 VPN





Một k ết nối giữa các site có thể thực hiện trên lớ p 3 (Network Layer) trên

mô hình 7 lớ p OSI. Ví dụ phổ biến của Layer 3 VPN như GRE (Generic Routing

Encapsulation), MPLS (Multiprotocol Label Switchin) và IPSec VPN. Layer 3

VPN có thể là một k ết nối point - to - point để k ết nối 2 site như GRE hoặc IPSec

VPN hoặc thiết lậ p một k ết nối any - to - any bằng cách dùng MPLS, một công

nghệ mà các nhà cung cấ p dịch vu đang đầu tư r ất lớ n.

1.6.1.3 GRE

Là giao thức đượ c phát triển đầu tiên bở i Cisco vớ i mục đích tạo ra cáckênh truyền ảo (tunnel) để mang các giao thức Layer 3 thông qua mạng IP.

Vớ i GRE Tunnel, Cisco router sẽ đóng gói cho mỗi vị trí một giao thức đặc

tr ưng chỉ định trong gói IP Header và tạo ra một k ết nối ảo đến Cisco router cần

đến. Bằng việc k ết nối nhiều mạng con vớ i các giao thức khác nhau trong môi

trườ ng có một giao thức chính, GRE Tunnel cho phép các giao thức khác nhau có

thể thuận lợ i trong việc định tuyến cho gói tin.

1.6.1.4 MPLS VPN

MPLS là chuyển mạch nhãn đa giao thức đượ c phát triển tiên phong bở i

Cisco. Một nguyên tắc phổ biến trong các công nghệ VPN là đóng gói dữ liệu vớ i

một header, MPLS VPN sử dụng các nhãn để đóng gói dữ liệu, sau đó tạo thành

k ết nối VPN giữa các site.





Một trong những lợ i thế của MPLS VPN so vớ i các công nghệ khác là nó

cung cấ p sự linh hoạt để cấu hình tùy ý cấu trúc liên k ết giữa các tr ụ sở VPN dựa

trên hạ tầng mạng có sẵn.

Hình 1.3 Mô hình MPLS VPN

1.6.2 Remote Access VPN

Như đã phân loại ở trên, VPN gồm site - to - site VPN và Remote Access

VPN. Trong đó, site - to - site VPN là các k ết nối tĩnh, các site đều biết thông tin

cấu hình của nhau nên không đáp ứng đượ c nhu cầu vớ i các user di chuyển nhiều.

Ví dụ như các nhân viên làm việc từ xa (telecommuters) có thể truy cậ p vào dữ





liệu của các chi nhánh xa, từ đó giúp cho công việc đạt hiệu suất cao hơn. Hai

trong số các phương thức truy cậ p từ xa để VPN vào mạng nội bộ phổ biến là

Layer 2 Tunneling Protocol (L2TP) và IPSec VPN.

1.6.2.1 L2TP

Trướ c khi xuất hiện chuẩn L2TP (tháng 8 năm 1999), Cisco sửdụng Layer 2

Forwarding (L2F) nhưlà giao thức chuẩn đểtạo k ết nối VPN. L2TP ra đờ i sau vớ i

những tính năng đượ c tích hợ p từL2F. L2TP là dạng k ết hợ p của Cisco L2F và

Mircosoft Point-to-Point Tunneling Protocol (PPTP). Microsoft hỗtr ợ chuẩn PPTPvà L2TP trong các phiên bản WindowNT và 2000. L2TP đượ c sử dụng đểtạo k ết

nối độc lập, đa giao thức cho mạng riêng ảo quay số (Virtual Private Dail-up

Network). L2TP cho phép ngườ i dùng có thể k ết nối thông qua các chính sách bảo

mật của công ty (security policies) để tạo VPN hay VPDN như là sự mở r ộng của

mạng nội bộ công ty. L2TP không cung cấ p mã hóa.

1.6.2.2 IPSec

Một trong những sự quan tâm hàng đầu trong mạng VPN chính là sự an

toàn dữ liệu khi truyền thông mạng Internet. Có ngh ĩ a là làm thế nào để chống

việc nghe tr ộm hay ăn cắ p thông tin trong mạng VPN?

Mã hóa dữ liệu là một trong những cách để bảo vệ trướ c sự tấn công trên.

Mã hóa dữ liệu có thể thực hiện bằng cách dùng các thiết bị mã hóa - giải mã ở mỗi site. IPSec là một bộ các giao thức đượ c phát triển dướ i sự bảo tr ợ của IETF

(Internet Engineering Task Force) để cung cấ p các dịch vụ an toàn trên nền tảng





mạng chuyển mạch gói IP. Internet là mạng chuyển mạch gói phổ biến toàn cầu

nên IPSec VPN đượ c triển khai thông qua mạng Internet. Chính vì thế có thê tiết

kiệm một chi phí đáng k ể cho một công ty so vớ i 1 đườ ng truyền Leased Line.

IPSec cung cấ p tính toàn vẹn (Intergery), tính xác thực (Authentication),

kiểm soát truy cậ p (Access Control) và tính bảo mật (Configurity). Vớ i IPSec,

thông tin trao đổi giữa các chi nhánh từ xa có thể đượ c mã hóa hoặc xác minh,

tránh đượ c tình tr ạng mất mát dữ liệu khi truyền trong mạng Internet.

IPSec là sự lựa chọn cho việc bảo mật trên VPN. IPSec là một khung baogồm bảo mật dữ liệu (data confidentiality), tính toàn vẹn của dữ liệu (integrity) và

việc chứng thực dữ liệu (Authentication). IPSec cung cấ p dịch vụ bảo mật sử dụng

KDE cho phép thỏa thuận các giao thức và thuật tóan trên nền chính sách cục

bộ(group policy) và sinh ra các khóa bảo mã hóa và chứng thực đượ c sửdụng

trong IPSec.





Hình 1.4 Mô hình dùng IPSec

Chương 2: TÌM HIỂU VỀ IPSEC

Thuật ngữ IPSec là một từ viết tắt của thuật Internet Protocol Security. Nócó quan hệ tớ i một số bộ giao thức (AH, ESP, FIP-140, ...) đượ c phát triển bở i

Internet Engineering Task Force (IETF). Mục đích chính của việc phát triển IPSec

là cung cấ p một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI.

Mọi giao tiế p trong một mạng trên cơ sở IP đều dựa vào các giao thức IP.

Do đó, khi một cơ chế bảo mật cao đượ c tích hợ p vớ i giao thức IP, toàn bộ mạng

đượ c bảo mật bở i vì các giao tiếp đều đi qua tầng 3 (đó là lý do tại sao IPSec đượ c

phát triển giao thức ở tầng 3 thay vì tầng 2). IPSec VPN dùng các dịch vụ đượ c





định nghĩa trong IPSec để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán, tính bí

mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng.

Encapsulating Security Payload (ESP) và Authentication Header (AH) là

hai giao thức đượ c sử dụng để cung cấ p tính toàn vẹn cho các gói tin IP. Nhưng

trướ c hết ta phải tìm hiểu về hai cơ chế hoạt động trong IPSec gồm có IPSec

Transport Mode và IPSec Tunnel Mode và các dịch vụ của nó.

2.1 IPSec Transport Mode

Transport mode bảo vệ giao thức tầng trên và các ứng dụng. Trong

Transport mode , một IPSec Header (có thể là ESP hay AH) đượ c chèn giữa phần

IP Header và phần header của tầng trên.

Hình 2.1 Mô hình Transport mode packet

Như mô hình trên, AH hoặc ESP sẽ được đặt sau IP header nguyên thủy. Vìvậy chỉ có tải (IP payload) là được mã hóa và IP header ban đầu là đượ c giữ

nguyên vẹn. Transport mode có thể đượ c dùng khi cả hai host hỗtr ợ IPSec. Chế độ





transport này có thuận lợ i là chỉ thêm vào vài bytes cho mỗi gói tin và nó cũng

cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói. Khả

năng này cho phép các tác vụ xử lý đặc biệt trên các mạng trung gian dựa trên các

thông tin trong IP header. Tuy nhiên các thông tin Layer 4 sẽ bị mã hóa, làm giớ i

hạn khả năng kiểm tra của gói.

Khó khăn lớ n nhất trong việc triển khai Transport mode trong thực tế là sự

phức tạ p trong việc quản lý bảo mật các gói tin IP, vì trườ ng IP Header trong

Transport mode không đượ c mã hoá cộng vớ i sự phức tạ p trong việc định tuyến

giữ các site. Do sự phức tạ p trong việc triển khai trong thực tế, nên ngườ i ta sẽ sử

dụng một VPN gateway để bảo vệ dữ liệu từ tất cả các site đến một site ngang

hàng.

2.2 IPSec Tunnel Mode

IPSec VPN sử dụng Transport mode và cơ chế đóng gói GRE là những

cách sử dụng phổ biến tại các site trong một mạng site - to - site VPN. Nhưng vì

một lý do nào đó một site lại không hỗ tr ợ GRE nhưng lại đòi hỏi thiết lậ p IPSec

VPN vớ i các site khác. Trong trườ ng hợ p này IPSec Tunnel mode sẽ giúp giải

quyết vấn đề này một cách nhanh chóng.

Trong IPSec Tunnel mode, gói tin IP sẽ được đóng gói thêm một IP Header

mớ i và các IPSec Header (ESP hoặc AH) sẽ đượ c chèn giữa IP Header cũ và mớ i.

Bởi vì được đóng gói vớ i một IP Header mớ i nên IPSec Tunnel mode sẽ dùng để

tăng cườ ng tính bảo mật trong việc truyền tải dữ liệu giữa các site thông qua hạ

tầng mạng công cộng.





Các giao thức bảo mật trong IPSec gồm hai giao thức chính là ESP và AH.

ESP sử dụng IP Protocol number 50 và AH sử dụng IP Protocol number 51.

IPSec hoạt động ở hai mode chính đã nói ở trên là Transport mode và

Tunnel mode. Khi hoạt động ở Transport mode thì IP Header vẫn đượ c giữ

nguyên và lúc này giao thức ESP sẽ đượ c chèn vào giữa tải (Payload) và IP

Header của gói tin. Còn ở Tunnel mode thì sau khi đóng gói dữ liệu thì giao thức

ESP sẽ mã hoá payload và sẽ chèn một IP Header mới vào gói tin trướ c khi

forward đi.

2.3 Tổng quan về ESP và AH

2.3.1 ESP

Giao thức này đảm nhận công việc mã hoá, xác thực và đảm bảo tính toàn

vẹn dữ liệu. Sau khi đóng gói bằng giao thức ESP, mọi thông tin dùng mã hoá và

giải mã gói tin sẽ nằm trong ESP Header. Các thuật toán mã hoá dùng trong giao

thức này như là DES, 3DES, AES, MD5, SHA,...Nhưng sự mã hoá của ESP có

thể bị vô hiệu hoá thông qua thuật toán mã hoá Null ESP Algorithm. Do đó ESP

có thể cung cấ p chỉ mã hoá dữ liệu hoặc chỉ đảm bảo tính toàn vẹn dữ liệu hoặc

mã hoá và đảm bảo tính toàn vẹn dữ liệu.

2.3.1.1 ESP Mode





ESP hoạt động đượ c ở hai mode: Transport mode và Tunnel mode

Transport mode: ESP sử dụng IP header gốc của gói tin. ESP chỉ có thể mãhoá hoặc đảm bảo tính toàn vẹn dữ liệu. ESP trong Transport mode không

tương thích vớ i NAT

Tunnel mode: ESP tạo ra một IP header mớ i cho mỗi gói tin và IP header

mới đó liệt kê các đầu cuối của ESP Tunnel nguồn và đích của gói tin. ESP

Tunnel mode đượ c sử dụng phổ biến hơn Transport mode vì tốc độ truyền

nhanh hơn.

2.3.1.2 ESP Packet Fields

ESP thêm một header và trailer vào xung quanh nội dung của mỗi gói tin.

ESP Header đượ c cấu thành bởi hai trườ ng là: SPI và Sequence Number





Hình 2.2 ESP Packet Field

SPI (32 bit): mỗi đầu cuối của mỗi k ết nối IPSec đượ c tuỳ chọn giá tr ị SPI.

Phía nhận sử dụng giá tr ị SPI với địa chỉ đích và giao thức IPSec sẽ xác

định chính sách SA (Security Associate) duy nhất áp dụng cho gói tin.

Sequence Number: Thường đượ c dùng cung cấ p dịch vụ anti - replay. Khi

SPI đượ c thiết lậ p, chỉ số này là 0. Trướ c khi mỗi gói tin đượ c gửi, chỉ số này luôn tăng lên 1 và được đặt trong ESP header. Để chắc chắn r ằng không

có gói tin nào đượ c công nhận thì chỉ số này không đượ c phép ghi lên bằng

0.

Phần k ế tiếp là Payload, đượ c tạo bởi payload data đã đượ c mã hoá và

Initialization Vector (IV) không đượ c mã hoá. Giá tr ị của IV trong suốt quá

trình mã hoá là khác nhau trong mỗi gói tin. Phần tiế p theo của gói tin là ESP Trailer, gồm 2 trườ ng nhỏ là:





i. Padding (0 - 255 bytes): được thêm vào cho đủ kích thướ c của mỗi

gói tin.

ii. Padlength: Chiều dài của padding.

Next Header: Trong Tunnel mode, payload là gói tin IP, giá tr ị Next Header

được cài đặt là 4. Trong Transport mode, payload luôn là giao thức lớ p 4.

Nếu giao thức lớ p 4 là TCP thì giá tr ị Next Header là 6, là UDP thì giá tr ị

Next Header là 17. Mỗi ESP Trailer luôn chứa một giá tr ị Next Header.

Authentication data: trườ ng này chứa giá tr ị Intergrity Check Value (ICV)

cho gói tin ESP, ICV đượ c tính lên toàn bộ gói tin ESP, công nhận chotrườ ng dữ liệu xác thực của nó.

2.3.1.3 Quá trình hoạt động và mã hoá của ESP

Hình 2.3 Hoạt động của ESP

ESP sử dụng mật mã đối xứng để cung cấ p sự mật mã hoá dữ liệu cho gói

tin IPSec. Cả hai bên đầu cuối đều phải dùng chung một key giống nhau mớ i mã

hoá và giải mã chính xác gói tin. Khi một đầu cuối mã hoá thì nó sẽ chia gói tin

thành các block nhỏ và sau đó thực hiện mã hoá nhiều lần, sử dụng các block dữ





liệu và key. Khi một đầu cuối nhận đượ c dữ liệu mã hoá, nó dùng key giống như

lúc mã hoá của nguồn và thực hiện quá trình ngượ c vớ i lúc mã hoá để giải mã dữ

liệu chính xác.

Gói tin ESP có chứa 5 đoạn: Ethernet Header, IP Header, ESP

Header,Encrypted Data và Authentication. Dữ liệu đượ c mã hoá không thể xác

định dù gói tin truyền trong Transport mode hay Tunnel mode. Tuy vậy, vì IP

Header không được mã hoá nên trườ ng giao thức IP trong header vẫn phát hiện

đượ c giao thức dùng cho payload.

Hình 2.4 ESP Packet Capture

Hình dướ i cho thấy, các trườ ng ESP Header từ 4 gói tin đầu trong ESP

session giữa host A và B. Mỗi host dùng một giá tr ị SPI khác nhau, và giá tr ị

Sequence Number là 1 và tăng dần lên cho các gói tin sau.





Hình 2.5 ESP Header Fields t ừ ESP Packets

ESP Version 3

Một phiên bản mớ i cho ESP là phiên bản 3, một phiên bản vừa đượ c bổ

sung, dựa trên chuẩn phác thảo. Tìm ra đượ c chức năng chính để cho thấy

sự khác biệt giữa version 2 và 3, có những điểm như sau:

Chuẩn ESP version 2 chỉ là hỗ tr ợ cho mã hoá chứ không có tính năng bảo

vệ toàn vẹn dữ liệu. Do đó, chuẩn ESP version 3 được đưa ra nhằm hỗ tr ợ

cho sự lựa chọn này.

ESP version 3 có thể dùng chuỗi số dài hơn, giống vớ i AH version 3.

ESP version 3 hỗ tr ợ trong việc sử dụng k ết hợ p các thuật toán, từ đó việc

mã hoá và bảo vệ tính toàn vẹn dữ liệu sẽ nhanh và an toàn hơn.

Tóm lại:

Trong Transport mode, ESP cung cấ p sự mã hoá và đảm bảo an toàn cho

payload của gói tin IP. ESP trong Transport mode không tương thích vớ i NAT.





Trong Tunnel mode, ESP cung cấ p sự mã hoá, toàn vẹn dữ liệu và xác thực.

ESP tương thích với NAT. ESP trong Tunnel mode đượ c sử dụng phổ biến hơn vì

nó mã hoá IP Header gốc, từ đó có thể giấu đi địa chỉ IP nguồn, IP đích thật của

gói tin và nó cũng có thể thêm bytes đệm vào để đủ gói tin.

2.3.2 AH

Là một trong những giao thức cung cấp tính năng đảm bảo tính toàn vẹn

cho gói tin và xác thực dữ liệu. AH không mã hoá bất kì thành phần nào của gói

tin. Trong phiên bản đầu của IPSec, giao thức ESP không cung cấ p xác thực dữ liệu, vì thế ngườ i ta cần k ết hợ p hai giao thức này để cung cấ p một sự an toàn và

toàn vẹn cho dữ liệu.

2.3.2.1 AH Mode

AH mode có hai mode là: Transport mode và Tunnel mode.

Transport mode: AH không tạo IP Header mớ i.

Tunnel mode: AH tạo một IP Header mớ i cho mỗi gói tin.

Trong cấu trúc IPSec sử dụng gateway, địa chỉ thật của IP Header phải thay

đổi thành địa chỉ IP của gateway. Vì trong Transport mode chỉ sử dụng IP Header

gốc nên chính vì thế Transport mode thườ ng dùng trong cấu trúc host - to - host.

AH cung cấ p tính toàn vẹn dữ liệu cho toàn bộ gói tin dù bất kì là Transport modehay Tunnel mode.





Hình 2.6 AH Mode

2.3.2.2 AH xác thực và đảm bảo tính toàn vẹn dữ liệu

Hình 2.7 Quá trình xác thự c AH

Bướ c 1: AH sẽ đem gói dữ liệu và key bí mật thông qua các thuật toán cho

ra 1 chuỗi số và chuỗi số này sẽ gán vào AH Header.

Bướ c 2: AH Header này sẽ chèn vào giữa Payload và IP Header và chuyển

về đích thông qua Router A.





Bướ c 3: Router B sau khi nhận gói tin này bao gồm: IP Header, AH Header

và Payload cùng vớ i key bí mật đã được quy định giữa 2 site và dùng thuật

toán ở site nguồn cho ra một chuỗi số.

Bướ c 4: So sánh chuỗi số vừa tạo ra giữa site đích và nguồn, nếu giống

nhau thì chấ p nhận gói tin đượ c truyền.

2.3.2.3 AH Header

Hình 2.8 AH Header

Next Header (8 bits): Chỉ chứa số giao thức IP. Trong Tunnel mode,

payload là gói tin IP, giá tr ị Next Header được đặt là 4. Trong Transport

mode, payload luôn được xác định bở i giao thức của lớ p Transport. Nếu

giao thức lớ p Transport là TCP thì giá tr ị Next Header là 6, còn UDP là 17.

Length (8 bits): Độ dài của AH Header

Security Parameters Index - SPI (32 bits): Chứa giá tr ị ngẫu nhiên, dùng để

xác định chính sách Security Association (SA) dùng để bảo mật gói tin.

Nếu giá tr ị này đặt là 0 thì gói tin không đượ c bảo vệ. Giá tr ị ngẫu nhiên từ

1-255 đều đượ c bảo vệ.

Sequence Number: Chỉ số này tăng lên 1 cho mỗi AH datagram khi một

host trong site gửi gói tin có liên quan đến SA.Giá tr ị ban đầu là 1, không





bao giờ được đặt giá tr ị 0. Vì khi host gửi yêu cầu kiểm tra mà giá tr ị này

không tăng lên và nó sẽ thoả thuận một SA mớ i nếu SA này đượ c thiết lậ p.

Host nhận sẽ dùng chuỗi số để phát hiện replayed datagrams. Bên nhận có

thể không kiểm tra chuỗi số, nhưng bên gửi phải có để tăng giá trị này và

gửi chuỗi số.

Authentication Data: Chứa k ết quả của giá tr ị Integrity Check Value (ICV).

Trườ ng này luôn là bội số của 32 bits, và đượ c chèn vào nếu chiều dài của

ICV trong các bytes chưa đầy.

2.3.2.4 Hoạt động của giao thứ c AH

Hướ ng tốt nhất để hiểu AH làm việc như thế nào, ta sẽ xem và phân tích

các gói tin AH. Hình dưới đây là một ví dụ rõ về cách hoạt động của AH.

Hình 2.9 AH Packet Capture

Hình trên cho thấy các thành phần của gói tin AH. Mỗi section của AH

Packet gồm : Ethernet header , IP header , AH header và Payload. Dựa trên các

trườ ng của phần AH mode, ta thấy đây là gói tin ở Transport Mode vì nó chỉ chứa

IP Header. Trong trườ ng hợ p này, payload chứa ICMP echo request (hay là Ping).





Ping gốc chứa chuỗi mẫu tự đượ c miêu tả trong gói tin tăng dần bở i giá tr ị Hex (

vd : 61, 62, 63). Sau khi giao thức AH đượ c applied, ICMP Payload không thay

đổi. Vì AH chỉ cung cấ p dịch vụ đảm bảo toàn vẹn dữ liệu, không mã hoá.

Hình 2.10 AH Header Fields t ừ AH Packets

Các trườ ng trong AH Header từ 4 gói tin đầu tiên trong AH session giữa

host A và host B. Các trường trong header đầu tiên chỉ là nhãn, để đáp ứng trong

việc nhận dạng AH mode.

SPI : host A sử dụng giá tr ị số Hex cdb59934 cho SPI trong cả các gói tin

của nó. Trong khi đó host B sử dụng giá tr ị số Hex a6b32c00 cho SPI trong cả các

gói tin. Điều này phản ánh đượ c r ằng k ết nối AH thật sự gồm hai thành phần k ết

nối một chiều.

Sequence Number : cả hai host bắt đầu thiết lậ p chỉ số bằng 1, và cả hai

tăng lên là 2 cho gói tin thứ hai của chúng.





Authentication information : Xác thực (đảm bảo toàn vẹn ) thông tin , là

một keyed hash dựa trên hầu như tất cả các bytes trong gói tin.

2.3.2.5 AH version 3

Một chuẩn mớ i của AH là Version 3, phiên bản đượ c phát triển dựa trên

phiên bản phác thảo. Tính năng khác nhau giữa Version 2 và Version 3 là mối

quan hệ thứ yếu để các quản tr ị viên IPSec và ngườ i dùng - một vài sự thay đổi

đến SPI, và tuỳ chọn chỉ số dài hơn. Chuẩn phác thảo version 3 cũng chỉ đến một

chuẩn phác thảo khác r ằng liệt kê thuật toán mã hoá yêu cầu cho AH. Bản phácthảo uỷ nhiệm hỗ tr ợ cho HMAC-SHA1-96, giớ i thiệu thuật toán hỗ tr ợ mạnh hơn

là AES-XCBC-MAC-96, và cũng giớ i thiệu thuật toán : HMAC-MD5-96.

2.3.2.6 AH Summary

AH cung cấ p dịch vụ đảm bảo toàn vẹn cho tất cả các header và data gói

tin. Ngoại tr ừ một số trường IP Header mà định tuyến thay đổi trong chuyển tiế p.

AH bao gồm địa chỉ nguồn và địa chỉ đích trong dịch vụ đảm bảo toàn vẹn.

AH thườ ng không tương thích vớ i NAT.

Hiện nay, hầu hết IPSec bổ sung hỗ tr ợ phiên bản thứ hai của IPSec mà

ESP có thể cung cấ p dịch các vụ đảm bảo toàn vẹn dữ liệu qua sự xác thực.

AH cung cấ p một lợi ích mà ESP không có, đó là : đảm bảo toàn vẹn cho

outermost IP Header.





Hình 2.11 Bảng t ổ ng k ế t so sánh giữ a ESP và AH

2.4 Internet Key Exchange (IKE)





IKE SA là quá trình hai chiều và cung cấ p một kênh giao tiế p bảo mật giữa

hai bên. Thuật ngữ “hai chiều” có ý nghĩa là khi đã đượ c thiết lậ p, mỗi bên có thể

khở i tạo chế độ Quick mode, Informational và New Group mode. IKE SA đượ c

nhận ra bở i các cookies của bên khở i tạo, đượ c theo sau bở i các cookies tr ả lờ i của

phía đối tác. Thứ tự các cookies đượ c thiết lậ p bở i phase 1 sẽ tiế p tục chỉ ra IKE

SA, bất chấ p chiều của nó. Chức năng chủ yếu của IKE là thiết lậ p và duy trì các

SA. Các thuộc tính sau đây là mức tối thiểu phải đượ c thống nhất giữa hai bên

như là một phần của ISAKMP (Internet Security Association and Key

Management Protocol) SA:

Thuật giải mã hóa.

Thuật giải băm đượ c dùng.

Phương thức xác thực sẽ dùng.

Thông tin về nhóm và giải thuật Diffie-Hellman (DH).

IKE thực hiện quá trình dò tìm, quá trình xác thực, quản lý và trao đổi khóa.IKE sẽ dò tìm một hợp đồng giữa hai đầu cuối IPSec và sau đó SA sẽ theo dõi tất

cảcác thành phần của một phiên làm việc IPSec. Sau khi đã dò tìm thành công, các

thông số SA hợ p lệ sẽ được lưu trữ trong cơ sở dữ liệu của SA.

Thuận lợ i chính của IKE bao gồm:

IKE không phải là một công nghệ độc lập, do đó nó có thể dùng vớ i bất k ỳ cơ chế bảo mật nào.





Cơ chế IKE mặc dù không nhanh, nhưng hiệu quả cao bở i vì một lượ ng lớ n

những hiệ p hội bảo mật thỏa thuận vớ i nhau vớ i một vài thông điệ p khá ít.

2.4.1 IKE Phase

Phase I và II là hai phase tạo nên phiên làm việc dựa trên IKE, hình dướ i

trình bày một số đặc điểm chung của hai phase. Trong một phiên làm việc IKE, nó

giả sử đã có một kênh bảo mật đượ c thiết lậ p sẵn. Kênh bảo mật này phải đượ c

thiết lập trướ c khi có bất k ỳ thỏa thuận nào xảy ra.

Hình 2.12 Hai phase của IKE

2.4.1.1 IKE Phase I

Phase I của IKE đầu tiên xác nhận các điểm thông tin, sau đó thiết lậ p một

kênh bảo mật cho sự thiết lậ p SA. Tiếp đó, các bên thông tin thỏa thuận một

ISAKMP SA hay IKE SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm

băm và các phương pháp xác nhận bảo vệ mã khóa.





Sau khi cơ chế mã hóa và hàm băm đã được đồng ý ở trên, một khóa sẽ bí

mật đượ c phát sinh. Theo sau là những thông tin được dùng để phát sinh khóa bí

mật:

Giá tr ị Diffie-Hellman

SPI của ISAKMP SA ở dạng cookies

Số ngẫu nhiên known as nonces (used for signing purposes)

Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa trên public key,

chúng cũng cần trao đổi IDs. Sau khi trao đổi các thông tin cần thiết, cả hai bên

phát sinh những key riêng của chính mình sử dụng chúng để chia sẻ bí mật. Theo

cách này, những khóa mã hóa đượ c phát sinh mà không cần thực sự trao đổi bất

k ỳ khóa nào thông qua mạng.

2.4.1.2 IKE Phase II

Trong khi phase I thỏa thuận thiết lậ p SA cho ISAKMP, phase II giải quyết bằng việc thiết lậ p SAs cho IPSec. Trong phase này, SA dùng nhiều dịch vụ khác

nhau thỏa thuận. Cơ chế xác nhận, hàm băm và thuật toán mã hóa bảo vệ gói dữ

liệu IPSec tiế p theo (sử dụng AH và ESP) dướ i hình thức một phần của phase SA.

Sự thỏa thuận của phase này xảy ra thường xuyên hơn phase I. Điển hình,

sự thỏa thuận có thể lặ p lại sau 4-5 phút. Sự thay đổi thườ ng xuyên các mã khóa

ngăn cản các hacker bẻ gãy những khóa này và sau đó là nội dung của gói dữ liệu.





Tổng quát, một phiên làm việc ở phase II tương đương vớ i một phiên làm

việc đơ n của phase I. Tuy nhiên, nhiều sự thay đổi ở phase II cũng có thể đượ c hổ

tr ợ bở i một trườ ng hợp đơn ở phase I. Điều này làm quá trình giao dịch chậm chạ p

của IKE tỏ ra tương đối nhanh hơn.

Oakley là một trong số các giao thức của IKE. Oakley lần lượt định nghĩa 4

chế độ phổ biến của IKE.

2.4.1.3 IKE Mode

Có 4 chế độ IKE phổ biến thường đượ c triển khai :

Chế độ chính (Main mode)

Chế độ linh hoạt (Aggressive mode)

Chế độ nhanh (Quick mode)

Chế độ nhóm mớ i (New Group mode)

Main Mode

Main mode xác nhận và bảo vệtính đồng nhất của các bên có liên quan

trong qua trình giao dịch. Trong chế độ này, 6 thông điệp được trao đổi giữa các

điểm:

Hai thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thay

đổi.





Hai thông điệ p k ế tiế p phục vụ để thay đổi các khóa Diffie-Hellman và

nonces. Những khóa sau này thực hiện một vai trò quan tr ọng trong cơ chế

mã hóa.

Hai thông điệ p cuối cùng của chế độ này dùng để xác nhận các bên giao

dịch vớ i sự giúp đỡ của chữ ký, các hàm băm và tuỳ chọn vớ i chứng nhận.

Hình 2.13 Main mode và Aggressive Mode

Aggressive Mode

Aggressive mode về bản chất giống Main mode. Chỉ khác nhau thay vì

main mode có 6 thông điệ p thì chế độ này chỉcó 3 thông điệp được trao đổi. Do

đó, Aggressive mode nhanh hơn Main mode. Các thông điệp đó bao gồm :

Thông điệp đầu tiên dùng để đưa ra chính sách bảo mật, pass data cho khóa

chính, và trao đổi nonces cho việc ký và xác minh tiế p theo.

Thông điệ p k ế tiế p hồi đáp lại cho thông tin đầu tiên. Nó xác thực ngườ i

nhận và hoàn thành chính sách bảo mật bằng các khóa.





Thông điệ p cuối cùng dùng để xác nhận ngườ i gửi (hoặc bộ khở i tạo của

phiên làm việc).

Cả Main mode và Aggressive Mode đều thuộc phase I.

Quick Mode

Chế độ thứ ba của IKE là Quick mode, thuộc phase II. Nó dùng để thỏa

thuận SA cho các dịch vụ bảo mật IPSec. Ngoài ra, Quick mode cũng có thể phát

sinh khóa chính mớ i. Nếu chính sách của Perfect Forward Secrecy (PFS) đượ c

thỏa thuận trong phase I, một sự thay đổi hoàn toàn Diffie - Hellman key đượ ckhở i tạo. Mặt khác, khóa mới đượ c phát sinh bằng các giá tr ị băm.

Hình 2.14 Quick mode





New Group Mode

New Group mode được dùng để thỏa thuận một private group mớ i nhằm tạođiều kiện trao đổi Diffie - Hellman key đượ c dễ dàng. Hình dướ i mô tả New

Group mode. Mặc dù chế độ này đượ c thực hiện sau phase I, nhưng nó không

thuộc phase II.

Hình 2.15 New Group mode

Ngoài 4 chế độ IKE phổ biến trên, còn có thêm Informational mode. Chế độ

này k ết hợ p với quá trình thay đổi của phase II và SAs. Chế độ này cung cấ p cho

các bên có liên quan một số thông tin thêm, xuất phát từ những thất bại trong quá

trình thỏa thuận. Ví dụ, nếu việc giải mã thất bại tại ngườ i nhận hoặc chữ ký

không được xác minh thành công, Informational mode được dùng để thông báo

cho các bên khác biết.





Chương 3: TỔNG QUAN HỆ ĐIỀU HÀNH CISCO

IOS3.1 Kiến trúc hệ thống

Giống như là 1 máy tính, router có 1 CPU có khả năng xử lý các câu lệnh

dựa trên nền tảng của router. Phần mềm Cisco IOS chạy trên Router đòi hỏi CPU

hay bộvi xử lý để giải quyết việc định tuyến và bắc cầu, quản lý bảng định tuyến

và một vài chức năng khác của hệ thống. CPU phải truy cậ p vào dữ liệu trong bộ nhớ để giải quyết các vấn đề hay lấy các câu lệnh.

Có 4 loại bộnhớ thườ ng dùng trên một Router của Cisco là:

ROM: là bộ nhớ tổng quát trên một con chip hoặc nhiều con. Nó còn có thể

nằm trên bảng mạch bộ vi xử lý của router. Nó chỉ đọc nghĩa là dữ liệu

không thể ghi lên trên nó. Phần mềm đầu tiên chạy trên một router Ciscođượ c gọi là bootstrap software và thường được lưu trong ROM. Bootstrap

software đượ c gọi khi router khởi động.

Flash: Bộ nhớ Flash nằm trên bảng mạch SIMM (Single In-line Memory

Module) nhưng nó có thể đượ c mở r ộng bằng cách sử dụng thẻ PCMCIA

(có thể tháo r ờ i). Bộ nhớ flash hầu hết đượ c sử dụng để lưu trữ một hay

nhiều bản sao của phần mềm Cisco IOS. Các file cấu hình hay thông tin hệ

thống cũng có thể đượ c sao chép lên flash. . Flash memory chứa Cisco IOS

software image. Tùy theo loại mà Flash memory có thể là EPROMs, SIMM

module hay Flash memory card.





Internal Flash memory: Internal Flash memory thườ ng chứa system image.

Một số loại router có từ 2 Flash memory tr ở lên dướ i dạng SIMM. Nếu như

SIMM có 2 bank thì đượ c gọi là dual - band Flash memory. Các band này

có thể đượ c phân thành nhiều phần logic nhỏ.

i. Bootflash: Bootflash thườ ng chứa boot image. Bootflash đôi khi chứa

ROM Monitor.

ii. Flash memory PC card hay PCMCIA card. Flash memory card dùng

để gắn vào Personal Computer Memory Card.

iii. International Association (PCMCIA) slot: Card này dùng để chứasystem image, boot image và file cấu hình.

RAM: Là bộnhớ r ất nhanh nhưng nó làm mất thông tin khi hệ thống khở i

động lại. Nó đượ c sử dụng trong máy PC để lưu các ứng dụng đang chạy và

dữ liệu. Trên router, RAM đượ c sử để giữ các bảng của hệ điều hành IOS

và làm bộ đệm. RAM là bộ nhớ cơ bản đượ c sử dụng cho nhu cầu lưu trữ

các hệ điều hành.

NVRAM: Trên router, NVRAM đượ c sử dụng để lưu trữ cấu hình khở i

động. Đây là file cấu hình mà IOS đọc khi router khởi động. Nó là bộ nhớ

cực k ỳ nhanh và liên tục khi khởi động lại.

Mặc dù CPU và bộ nhớ đòi hỏi một số thành phần để chạy hệ điều hành

IOS, router cần phải có các interface khác nhau cho phép chuyển tiế p các packet.

Các interface nhận vào và xuất ra các k ết nối đến router mang theo dữ liệu cầnthiết đến router hay switch. Các loại interface thườ ng dùng là Ethernet và Serial.

Tương tự như là các phần mềm driver trên máy tính vớ i cổng parallel và cổng





USB, IOS cũng có các driver của thiết bị để hỗtr ợ cho các loại interface khác

nhau.

Tất cảcác router của Cisco có một cổng console cung cấ p một k ết nối serial

không đồng bộ EIA/TIA - 232. Cổng console có thể đượ c k ết nối tớ i máy tính

thông qua k ết nối serial để làm tăng truy cập đầu cuối tớ i router. Hầu hết các

router đều có cổng auxiliary, nó tương tự như cổng console nhưng đặc trưng hơn,

đượ c dùng cho k ết nối modem để quản lý router từ xa.

3.2 Cisco IOS CLI:

Cisco có 3 mode lệnh, vớ i từng mode sẽ có quyền truy cậ p tớ i những bộ

lệnh khác nhau.

User mode: Đây là mode đầu tiên mà ngườ i sử dụng truy cậ p vào sau khi

đăng nhậ p vào router. User mode có thể đượ c nhận ra bở i ký hiệu > ngay

sau tên router. Mode này cho phép ngườ i dùng chỉ thực thi đượ c một số câulệnh cơ bản chẳng hạn như xem trạng thái của hệthống. Hệ thống không thể

đượ c cấu hình hay khởi động lại ở mode này.

Privileged mode: Mode này cho phép ngườ i dùng xem cấu hình của hệ

thống, khởi động lại hệ thống và đi vào mode cấu hình. Nó cũng cho phép

thực thi tất cả các câu lệnh ở User mode. Privileged mode có thể đượ c nhận

ra bở i ký hiệu # ngay sau tên router. Ngườ i sử dụng sẽ gõ câu lệnh enable

để cho IOS biết là họ muốn đi vào Privileged mode từ User mode. Nếu

enable password hay enable secret password được cài đặt, ngườ i sử dụng





cần phải gõ vào đúng mật khẩu thì mớ i có quyền truy cậ p vào Privileged

mode. Enable secret password sử dụng phương thức mã hoá mạnh hơn khi

nó được lưu trữ trong cấu hình, do vậy nó an toàn hơn. Privileged mode cho

phép ngườ i sử dụng làm bất cứ gì trên router, vì vậy nên sử dụng cẩn thận.

Để thoát khỏi privileged mode, ngườ i sử dụng thực thi câu lệnh disable.

Configuration mode: Mode này cho phép ngườ i sử dụng chỉnh sửa cấu hình

đang chạy. Để đi vào Configuration mode, gõ câu lệnh configure terminal

từ Privileged mode. Configuration mode có nhiều mode nhỏ khác nhau, bắt

đầu vớ i global configuration mode, nó có thể đượ c nhận ra bở i ký hiệu(config)# ngay sau tên router. Các mode nhỏtrong configuration mode thay

đổi tuỳ thuộc vào bạn muốn cấu hình gì, từ bên trong ngoặc sẽ thay đổi.

Chẳng hạn khi bạn muốn vào mode interface, ký hiệu sẽ thay đổi thành

(config-if)# ngay sau tên router. Đểthoát khỏi configuration mode, ngườ i sử

dụng có thể gõ end hay nhấn tổ hợ p phím Ctrl-Z

Chú ý ở các mode, tuỳ vào tình huống cụ thể mà câu lệnh ? tại các vị trí sẽ

hiển thị lên các câu lệnh có thể có ở cùng mức. Ký hiệu ? cũng có thể sử dụng ở

giữa câu lệnh để xem các tuỳ chọn phức tạ p của câu lệnh.





Hình 3.1 M ột số câu l ệnh cơ bản trong Cisco IOS





Chương 4: CẤU HÌNH VPN TRÊN THIẾT BỊ

CISCO4.1 Mô hình

Yêu cầu: Cấu hình VPN site - to - site cho các host trong 2 site có thể liên lạc vớ i

nhau.





4.2 Cấu hình

Cấu hình cơ bản trên các router như mô hình.

Cấu hình static route trên 2 router SITE_1 và SITE_2.

Cấu hình VPN: Trên router Cisco hỗ tr ợ cấu hình VPN

Bướ c 1: Tạo Internet Key Exchange (IKE) key policy.

Router(config)#crypto isakmp policy 9

Router(config-isakmp)#hash md5

Router(config-isakmp)#authentication pre-share

Bướ c 2: Tạo shared key để sử dụng cho k ết nối VPN

Router(config)#crypto isakmp key TEN_KEY address xxx.xxx.xxx.xxx

//ip của router site còn lại.

Bướ c 3: Quy định Lifetime

Router(config)#crypto ipsec security-association lifetime

seconds 86400

Bướ c 4: Cấu hình ACL dãy IP có thể VPN.

Router(config)#access-list 100 permit ip xxx.xxx.xxx.xxx





Bướ c 5: Xác định các bộ chuyển đổi sẽ đượ c sử dụng cho k ết nối VPN.

Router(config)#crypto ipsec transform-set SET_NAME esp-3des esp-md5-hmac

Bướ c 6: Tạo crypto map

Router(config)#crypto map MAP_NAME 10 ipsec-isakmp

Router(config-crypto-map)#set peer xxx.xxx.xxx.xxx //IP của

router site còn lại.

Router(config-crypto-map)#set transform-set SET_NAME

Router(config-crypto-map)#match address 100 //ACL tạo ở bước 4

Bướ c7: Gán vào interface

Router(config)#inter s0/0/0

Router(config-if)#crypto map MAP_NAME

Tương tự cho router site còn lại.

Router INTERNET trong mô hình chỉ cần cấu hình cơ bản.





4.3 K ết quả

Hình ảnh của router SITE_1 sau khi đã cấu hình đầy

đủ:









Hình ảnh của router SITE_2 sau khi đã cấu hình đầy đủ:









Hình ảnh của router INTERNET sau khi đã cấu hình đầy đủ:









Hình ảnh PC0 ở SITE_1 ping tớ i PC1 ở SITE_2 thành công:




Tài liệu tham khảo

Các trang web, diễn đàn:

1. http://vnpro.org/forum/

2. http://www.nhatnghe.com/forum/

3. http://forum.athena.edu.vn/forum.php

4. http://ciscodocuments.blogspot.com

5. http://www.ciscopress.com/

Các sách tham khảo:

1. Sách CCNP ROUTE 642-902 Cert Kit (Tác giả: Kevin Wallace, Denise

Donohue, Jerold Swan)

2. Sách CCNP LABPRO ROUTE (Tác giả: Phạm Đình Thông, Trịnh Anh Luân)

3. Sách The Complete Cisco VPN Configuration Guide (Tác giả: Richard

Deal)

http://vnpro.org/forum/


http://www.nhatnghe.com/forum/


http://forum.athena.edu.vn/forum.php


http://ciscodocuments.blogspot.com/


http://www.ciscopress.com/







Documents

Nghiên cứu và triển khai VPN trên thiết bị Cisco _ Ngô Hoàng Tuấn _ KM09