Báo cáo thực tập nghiên cứu cơ chế routing của cisco, mô phỏng trên nền GNS3

Báo cáo thực tập GVHD: Võ Đỗ Thắng TRUNG TÂM ĐÀO TẠO QUẢN TRỊ MẠNG & AN NINH MẠNG QUỐC TẾ ATHENA -o0o - ĐỀ TÀI 10 NGHIÊN CỨU CƠ CHẾ ROUTING CỦA CISCO, MÔ PHỎNG TRÊN NỀN GNS3 GV hướng dẫn : Võ Đỗ Thắng Sinh viên thực : Trần Trọng Thái Nghành: Công nghệ thông tin Lớp: CD11CNTT5 Niên khóa: 2011 - 2014 TP.HCM, tháng 05/2014 SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng LỜI CẢM ƠN Em xin gởi lời cảm ơn chân thành tri ân sâu sắc thầy cô Trung Tâm Đà o Tạ o Quả n Trị Mạ ng & An Ninh Mạ ng Quố c Tế Athena, đặc biệt thầy cô khoa Công Nghệ Thông Tin trường tạo điều kiện cho em thực tập để có nhiều thời gian cho bà i là m thu hoạ ch bá o cá o thự c tậ p Và em xin chân thành cám ơn đặ c biệ t đế n thầy Võ Đỗ Thắ ng nhiệt tình hướng dẫn em hồn thành tốt khóa thực tập Trong q trình thực tập, q trình làm báo cáo, khó tránh khỏi sai sót, mong Thầy, Cơ bỏ qua Đồng thời trình độ lý luận kinh nghiệm thực tiễn hạn chế nên báo cáo khơng thể tránh khỏi thiếu sót, em mong nhận ý kiến đóng góp Thầy, Cơ để em học thêm nhiều kinh nghiệm hoàn thành tốt báo cáo tốt nghiệp tới Sau cùng, em xin kính chúc q Thầy Cơ tạ i trung tâm Thầy Giá m đố c Võ Đỗ Thắ ng thật dồi sức khỏe, niềm tin để tiếp tục thực sứ mệnh cao đẹp truyền đạt kiến thức cho hệ mai sau Chân thà nh cả m ơn SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng NHẬN XÉT CỦA ĐƠN VỊ THỰC TẬP TPHCM, ngày……tháng… năm 2014 Đơn vị thực tập (ký và ghi họ tên) SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN TPHCM, ngày……tháng… năm 2014 Giảng viên hướng dẫn (ký và ghi họ tên) SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng MỤC LỤC LỜI CẢM ƠN NHẬN XÉT CỦA ĐƠN VỊ THỰC TẬP NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN MỤC LỤC MỞ ĐẦU GIỚI THIỆU Khóa học quản trị hệ thống mạng Cisco Giám đốc trung tâm Võ Đỗ Thắng hướng dẫn 11 Tìm hiểu cách giả lập router cisco nền GNS3 12 2.1 Giớ i thiêu ̣ 12 2.2 Hướ ng dẫn cài đăṭ GNS3 12 2.3 Cấu hình GNS3 .19 2.4 Load IOS cho router .21 Tìm hiểu các câu lệnh cấu hình bản (các mode dòng lệnh, cách gán IP vào interface, kiểm tra các thông số IP) .30 3.1 Các mode config cuả router 30 3.2 Các lệnh cấu hình Router .31 Tìm hiểu tổng quan lý thuyết về định tuyến tĩnh, định tuyến động .34 4.1 Giới thiệu 34 4.2 Tông ̉ quan giao thức định tuyến tĩnh 34 4.3 Tông ̉ quan về đinh ̣ tuyến đông ̣ .35 Mô hình lab static route 38 5.1 Muc̣ tiêu: Cấu hình static route đê ̉ pc1 ping thành công t ớ i pc2 và ngươc lai.̣ .38 5.2 Kết qua:̉ Mô hình static route đã đ ươc hôị tu.̣ Ta có thê ̉ ping qua laị gi ữ a các điạ chi ̉ mang ̣ 40 Thực hiện mô hình các mô hình lab RIPv2, OSPF, EIGRP 41 6.1 Mô hình lab RIPv2 ban ̉ 41 6.2 Mô hình lab EIGRP ban ̉ 49 6.3 Mô hình lab OSPF ban ̉ 56 Tìn hiểu các công cụ filter route 67 7.1 Khái niệm Access – list 67 7.2 Tại phải sử dụng Access – list 67 7.3 Phân loại Access – list 67 7.4 Nguyên tắc hoạt động danh sách truy c ập 68 7.5 Cấu hình Standard Access List 69 SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng 7.6 Cấu hình Extended Access List .73 VPN Cisco 76 8.1 Tông ̉ quan về VPN 76 8.2 Đinh ̣ nghĩa VPN 77 8.3 Lợi ích cuả VPN 77 8.4 Các thành phần cần thiết để tạo kết nối VPN: .78 8.5 Các giao thức VPN: .78 8.6 Các giao thức để tạo nên chế đường ống bảo m ật cho VPN L2TP, Cisco GRE IPSec 78 8.7 Thiết lâp ̣ môṭ kết nối VPN 80 8.8 Qui Trình Cấu Hình Bước IPSec/VPN Trên Cisco IOS 80 8.9 Cấu hính Ipsec VPN site to site .83 SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng MỞ ĐẦU Sự kế t hợ p củ a má y tí nh vớ i cá c hệ thố ng truyề n thông đã tạ o sự chuyể n biế n có tí nh chấ t cá ch mạ ng vấ n đề tổ chứ c, khia thá c và sử dụ ng cá c hệ thố ng má y tí nh Cá c má y tí nh đượ c kế t hợ p vớ i để cù ng thự c hiệ n công việ c, chia sẻ thông tin, tà i nguyên dù ng chung từ nhiề u vị trí đị a lý khá c Ngà y quy mô mạ ng má y tí nh không ngừ ng đượ c mở rộ ng cá c mạ ng đượ c kế t nố i vớ i thà nh liên mạ ng Đinh tuyế n là chứ c không thể thiế u bấ t kỳ mạ ng nà o Đị nh tuyế n giú p cho việ c vậ n chuyể n cá c gó i tin giữ a cá c mạ ng mộ t cá ch hiệ u quả nhấ t Vì vậ y việ c tì m hiể u và nghiên cứ u cá c kỹ thuậ t đị nh tuyế n là rấ t quan trọ ng đố i vớ i nhà thiế t kế mạ ng Có thể coi là chứ c quan trọ ng nhấ t kiế n thứ c mạ ng má y tí nh Trong phạ m vi nộ i dung cuố n bá o cá o thự c tậ p tố t nghiệ p “ Nghiên cứ u chế routing củ a cisco, mô phỏ ng nề n GNS3 ” sẽ trì nh bà y nhữ ng kiế n thứ c bả n về cá c kỹ thuậ t đị nh tuyế n: Tì m hiể u cá ch giả lậ p router cisco nề n GNS3 Tì m hiể u cá c câu lệ nh cấ u hì nh bả n Tì m hiể u tổ ng quan lý thuyế t về đị nh tuyế n tĩ nh, đị nh tuyế n độ ng Thự c hiệ n cá c mô hì nh lab static route Thự c hiệ n cá c mô hì nh lab RIPv2, OSPF, EIRP Tì m hiể u cá c công cụ filter route Thự c hiệ n mô hì nh lab sito-to-site cisco SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng GIỚI THIỆU Trung Tâm Đào Tạo Quản Trị Mạng & An Ninh Mạng Quốc Tế ATHENA thành lập từ năm 2004, tổ chức qui tụ nhiều trí thức trẻ Việt Nam đầy động, nhiệt huyết kinh nghiệm lãnh vực CNTT, với tâm huyết góp phần vào cơng thúc đẩy tiến trình đưa cơng nghệ thơng tin ngành kinh tế mũi nhọn, góp phần phát triển nước nhà Trung Tâm ATHENA - Bis Đinh Tiên Hoàng , DaKao, Q1 , Tp HCM SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng Trung tâm ATHENA - 92 Nguyễn Đình Chiểu ,DaKao, Q1 , Tp HCM Lĩnh vực hoạt động chính: + Trung tâm ATHENA tập trung chủ yếu vào đào tạo chuyên sâu quản trị mạng, an ninh mạng, thương mại điện tử theo tiêu chuẩn quốc tế hãng tiếng Microsoft, Cisco, Oracle, Linux LPI , CEH, Song song đó, trung tâm ATHENA cịn có chương trình đào tạo cao cấp dành riêng theo đơn đặt hàng đơn vị Bộ Quốc Phịng, Bộ Cơng An , ngân hàng, doanh nghiệp, quan phủ, tổ chức tài + Sau gần 10 năm hoạt động, nhiều học viên tốt nghiệp trung tâm ATHENA chuyên gia đảm nhận công tác quản lý hệ thống mạng, an ninh mạng cho nhiều ngành Cục Công Nghệ Thơng Tin - Bộ Quốc Phịng , Bộ Cơng An, Sở Thông Tin Truyền Thông tỉnh, bưu điện tỉnh, + Ngồi chương trình đào tạo, Trung tâm ATHENA cịn có nhiều chương trình hợp tác trao đổi công nghệ với nhiều đại học lớn đại học Bách Khoa Thành Phố Hồ CHính Minh, Học Viện An Ninh Nhân Dân( Thủ Đức), Học Viện Bưu Chính Viễn Thơng, Hiệp hội an tồn thơng tin (VNISA), Viện Kỹ Thuật Quân Sự , Đội ngũ giảng viên : SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng + Tất giảng viên trung tâm ATHENA có tốt nghiệp từ trường đại học hàng đầu nước Tất giảng viên ATHENA phải có chứng quốc tế MCSA, MCSE, CCNA, CCNP, Security+, CEH, có sư phạm Quốc tế (Microsoft Certified Trainer).Đây chứng chuyên môn bắt buộc để đủ điều kiện tham gia giảng dạy trung tâm ATHENA + Bên cạnh đó,Các giảng viên ATHENA thường tu nghiệp cập nhật kiến thức công nghệ từ nước tiên tiến Mỹ , Pháp, Hà Lan, Singapore, truyền đạt cơng nghệ chương trình đào tạo trung tâm ATHENA Cơ sở vật chất: + Thiết bị đầy đủ và hiện đại + Chương trình cập nhật liên tục, bảo đảm học viên ln tiếp cận với cơng nghệ + Phịng máy rộng rãi, thoáng mát Dịch vụ hỗ trợ: + Đảm bảo việc làm cho học viên tốt nghiệp khoá dài hạn + Giới thiệu việc làm cho học viên + Thực tập có lương cho học viên giỏi + Ngồi học thức, học viên thực hành thêm miễn phí, khơng giới hạn thời gian + Hỗ trợ kỹ thuật không thời hạn tất lĩnh vực liên quan đến máy tính, mạng máy tính, bảo mật mạng+Hỗ trợ thi Chứng Quốc tế SVTT: Trần Trong ̣ Thái Page 10 Báo cáo thực tập - GVHD: Võ Đỗ Thắng Sau đó Telnet và duyệt web từ PC1 vào router ThaiR2 với mật khấu cisco 7.6.2.2 Trên Router ThaiR2 - Đặt Mật truy cập vào enable mode ThaiR2(config)#enable secret router - Đặt mật telnet ThaiR2(config)#line vty ThaiR2(config-line)#login ThaiR2(config-line)#password cisco - Đặt ip cho các cổng interface router ThaiR2(config)#interface s0/0 ThaiR2(config-if)#ip address 172.16.0.2 255.255.0.0 ThaiR2(config-if)#clock rate 64000 ThaiR2(config-if)#no shutdown ThaiR2(config)#interface e1/0 ThaiR2(config-if)#ip address 192.168.1.1 255.255.255.0 ThaiR2(config-if)#no shutdown - Cấu hình giao thức định tuyến RIPv2 ThaiR2(config)#router rip ThaiR2(config-router)#version ThaiR2(config-router)#network 172.16.0.0 ThaiR2(config-router)#network 192.168.1.0 ThaiR2(config-router)#no auto-summary - Tiến hành giả một http server Router ThaiR2(config)#ip http server SVTT: Trần Trong ̣ Thái Page 74 Báo cáo thực tập - GVHD: Võ Đỗ Thắng Thực hiện cấu hình Access list ThaiR2(config)#$ 101 deny tcp 10.0.0.2 0.0.0.0 172.16.0.2 0.0.0.0 eq telnet ThaiR2(config)#interface s0/0 ThaiR2(config-if)#ip access-group 101 in - Ta nhận thấy quá trình Telnet không thành công duyệt web cũng không thành công - Để duyệt web thành công cần thực hiện thay đổi câu lệnh Deny any mặc định của Access list ThaiR2(config)#access-list 101 permit ip any any 7.6.3 Kết luân: ̣ Như vây ̣ ta đã thành công viêc̣ cấu hình cho Extended Access List vơ í muc̣ đích ngăn cấm viêc̣ Telnet vào router và cho phép quá trình duyêṭ web vào router SVTT: Trần Trong ̣ Thái Page 75 Báo cáo thực tập GVHD: Võ Đỗ Thắng VPN Cisco 8.1 Tổ ng quan vềVPN Trong thời đại ngày nay, Internet phát triển mạnh mặt mơ hình cơng nghệ, đáp ứng nhu cầu người sử dụng Internet thiết kế để kết nối nhiều mạng khác cho phép thông tin chuyển đến người sử dụng cách tự nhanh chóng mà khơng xem xét đến máy mạng mà người sử dụng dùng Để làm điều người ta sử dụng máy tính đặc biệt gọi router để kết nối LAN WAN với Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP-Internet Service Provider), cần giao thức chung TCP/IP Điều mà kỹ thuật tiếp tục phải giải lực truyền thông mạng viễn thông công cộng Với Internet, dịch vụ giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế, nhiều điều khác trở thành thực.Tuy nhiên, Internet có phạm vi tồn cầu khơng tổ chức, phủ cụ thể quản lý nên khó khăn việc bảo mật an toàn liệu việc quản lý dịch vụ Từ người ta đưa mơ hình mạng nhằm thoả mãn u cầu mà tận dụng lại sở hạ tầng có Internet, mơ hình mạng riêng ảo (Virtual Private Network VPN) Với mơ hình này, người ta khơng phải đầu tư thêm nhiều sở hạ tầng mà tính bảo mật, độ tin cậy đảm bảo, đồng thời quản lý riêng hoạt động mạng VPN cho phép người sử dụng làm việc nhà, đường hay văn phịng chi nhánh kết nối an tồn đến máy chủ tổ chức sở hạ tầng cung cấp mạng cơng cộng Nó đảm bảo an tồn thơng tin đại lý, người cung cấp, đối tác kinh doanh với môi trường truyền thông rộng lớn Trong nhiều trường hợp VPN giống WAN (Wide Area Network), nhiên đặc tính định VPN chúng dùng mạng cơng cộng Internet mà đảm bảo tính riêng tư tiết kiệm nhiều SVTT: Trần Trong ̣ Thái Page 76 Báo cáo thực tập GVHD: Võ Đỗ Thắng 8.2 Đị nh nghĩ a VPN VPN hiểu đơn giản mở rộng mạng riêng (private network) thông qua mạng công cộng Về bản, VPN mạng riêng rẽ sử dụng mạng chung (thường internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dụng đường leased line, VPN sử dụng kết nối ảo dẫn đường qua Internet từ mạng riêng công ty tới site hay nhân viên từ xa Để gửi nhận liệu thông qua mạng công cộng mà bảo đảm tính an tịan bảo mật VPN cung cấp chế mã hóa liệu đường truyền tạo đường ống bảo mật nơi nhận nơi gửi (Tunnel) giống kết nối point-to-point mạng riêng Để tạo đường ống bảo mật đó, liệu phải mã hóa hay che giấu cung cấp phần đầu gói liệu (header) thơng tin đường cho phép đến đích thơng qua mạng cơng cộng cách nhanh chóng Dữ lịêu mã hóa cách cẩn thận packet bị bắt lại đường truyền công cộng khơng thể đọc nội dung khơng có khóa để giải mã Liên kết với liệu mã hóa đóng gói gọi kết nối VPN Các đường kết nối VPN thường gọi đường ống VPN (VPN Tunnel) 8.3 Lợ i í ch củ a VPN VPN cung cấp nhiều đặc tính so với mạng truyền thống mạng mạng leased-line.Những lợi ích bao gồm: - Chi phí thấp mạng riêng: VPN giảm chi phí truyền tới 20-40% so với mạng thuộc mạng leased-line giảm việc chi phí truy cập từ xa từ 60-80% - Tính linh hoạt cho khả kinh tế Internet: VPN vốn có tính linh hoạt leo thang kiến trúc mạng mạng cổ điển, cách hoạt động kinh doanh nhanh chóng chi phí cách hiệu cho việc kết nối mở rộng Theo cách VPN dễ dàng kết nối ngắt kết nối từ xa văn phòng, vị trí ngồi quốc tế,những người truyền thơng, người dùng điện thoại di động, người hoạt động kinh doanh bên yêu cầu kinh doanh địi hỏi - Đơn giản hóa gánh nặng - Những cấu trúc mạng ống, giảm việc quản lý gánh nặng: Sử dụng giao thức Internet backbone loại trừ PVC tĩnh hợp với kết nối hướng giao thức Frame Rely ATM - Tăng tình bảo mật: liệu quan trọng che giấu người quyền truy cập cho phép truy cập người dùng có quyền truy cập SVTT: Trần Trong ̣ Thái Page 77 Báo cáo thực tập - GVHD: Võ Đỗ Thắng Hỗ trợ giao thức mạn thông dụng TCP/IP Bảo mật địa IP: thơng tin gửi VPN mã hóa điạ bên mạng riêng che giấu sử dụng địa bên Internet 8.4 Các thành phần cần thiết để tạo kết nối VPN: - User Authentication: cung cấp chế chứng thực người dùng, cho phép người dùng hợp lệ kết nối truy cập hệ thống VPN Address Management: cung cấp địa IP hợp lệ cho người dùng sau gia nhập hệ thống VPN để truy cập tài nguyên mạng nội Data Encryption: cung cấp giải pháp mã hố liệu q trình truyền nhằm bảo đảm tính riêng tư tồn vẹn liệu Key Management: cung cấp giải pháp quản lý khoá dùng cho q trình mã hố giải mã liệu 8.5 Các giao thức VPN: 8.6 Các giao thức để tạo nên chế đường ống bảo mật cho VPN L2TP, Cisco GRE IPSec 8.6.1 L2TP: - - Trước xuất chuẩn L2TP (tháng năm 1999), Cisco sử dụng Layer Forwarding (L2F) giao thức chuẩn để tạo kết nối VPN L2TP đời sau với tính tích hợp từ L2F L2TP dạng kết hợp Cisco L2F Mircosoft Point-to-Point Tunneling Protocol (PPTP) Microsoft hỗ trợ chuẩn PPTP L2TP phiên WindowNT 2000 L2TP sử dụng để tạo kết nối độc lập, đa giao thức cho mạng riêng ảo quay số (Virtual Private Dail-up Network) L2TP cho phép người dùng kết nối thơng qua sách bảo mật cơng ty SVTT: Trần Trong ̣ Thái Page 78 Báo cáo thực tập - GVHD: Võ Đỗ Thắng (security policies) để tạo VPN hay VPDN mở rộng mạng nội cơng ty L2TP khơng cung cấp mã hóa L2TP kết hợp PPP(giao thức Point-to-Point) với giao thức L2F(Layer Forwarding) Cisco hiệu kết nối mạng dial, ADSL, mạng truy cập từ xa khác Giao thức mở rộng sử dụng PPP phép truy cập VPN ngườI sử dụng từ xa 8.6.2 GRE: - - Đây đa giao thức truyền thơng đóng gói IP, CLNP tất cá gói liệu bên đường ống IP (IP tunnel) Với GRE Tunnel, Cisco router đóng gói cho vị trí giao thức đặc trưng định gói IP header, tạo đường kết nối ảo (virtual point-to-point) tới Cisco router cần đến Và gói liệu đến đích IP header mở Bằng việc kết nối nhiều mạng với giao thức khác môi trường có giao thức GRE tunneling cho phép giao thức khác thuận lợi việc định tuyến cho gói IP 8.6.3 IPSec: - IPSec lựa chọn cho việc bảo mật VPN IPSec khung bao gồm bảo mật liệu (data confidentiality), tính tịan vẹn liệu (integrity) việc chứng thực liệu IPSec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏa thuận giao thức thuật tóan sách cục (group policy) sinh khóa bảo mã hóa chứng thực sử dụng IPSec 8.6.4 Point to Point Tunneling Protocol (PPTP): - - Được sử dụng trện máy client chạy HĐH Microsoft for NT4.0 Windows 95+ Giao thức đựơc sử dụng để mã hóa liệu lưu thơng Mạng LAN Giống giao thức NETBEUI IPX packet gửI lên Internet PPTP dựa chuẩn RSA RC4 hỗ trợ bởI mã hóa 40-bit 128-bit Nó khơng phát triển dạng kết nốI LAN-to-LAN giới hạn 255 kết nối tớI server có đường hầm VPN kết nối Nó khơng cung cấp mã hóa cho cơng việc lớn dễ cài đặt SVTT: Trần Trong ̣ Thái Page 79 Báo cáo thực tập GVHD: Võ Đỗ Thắng triển khai giảI pháp truy cập từ xa làm mạng MS Giao thức dùng tốt Window 2000 Layer Tunneling Protocol thuộc IPSec 8.7 Thiế t lậ p mộ t kế t nố i VPN - Máy VPN cần kết nối (VPN client) tạo kết nốt VPN (VPN Connection) tới máy chủ cung cấp dịch vụ VPN (VPN Server) thông qua kết nối Internet Máy chủ cung cấp dịch vụ VPN trả lời kết nối tới Máy chủ cung cấp dịch vụ VPN chứng thực cho kết nối cấp phép cho kết nối Bắt đầu trao đổi liệu máy cần kết nối VPN mạng cơng ty - 8.8 Qui Trình Cấu Hình Bước IPSec/VPN Trên Cisco IOS Ta cấu hình IPSec VPN qua bước sau đây: - Chuẩn bị cho IKE IPSec - Cấu hình cho IKE - Cấu hình cho IPSec • Cấu hình dạng mã hóa cho gói liệu Crypto ipsec transform-set • Cấu hình thời gian tồn gói liệu tùy chọn bảo mật khác Crypto ipsec sercurity-association lifetime • Tạo crytoACLs danh sách truy cập mở rộng (Extended Access List) Crypto map • Cấu hình IPSec crypto maps • Áp dụng crypto maps vào cổng giao tiếp (interfaces) Crypto map map-name - Kiểm tra lại việc thực IPSec A Cấu hình cho mã hóa liệu: - Sau bạn cấu hình Cisco IOS IPSec cách sử dụng sách bảo mật IPSec (IPSec Security Policy) để định nghĩa các sách bảo mật IPSec (transform set) Chính sách bảo mật IPSec (transform set) kết hợp cấu hình IPSec transform riêng rẽ định nghĩa thiết kế cho sách bảo mật lưu thơng mạng Trong suốt trình trao đổi ISAKMP IPSec SA xảy lỗi trình IKE Phase quick mode, hai bên sử dụng transform set riêng cho việc bảo vệ liệu riêng SVTT: Trần Trong ̣ Thái Page 80 Báo cáo thực tập GVHD: Võ Đỡ Thắng đường truyền Transform set kết hợp nhân tố sau: • Cơ chế cho việc chứng thực: sách AH • Cơ chế cho việc mã hóa: sách ESP • Chế độ IPSec (phương tiện truyền thông với đường hầm bảo mật) - Transform set với việc kết hợp AH transform, ESP transform chế độ IPSec (hoặc chế đường hầm bảo mật chế độ phương tiện truyền thông) Transform set giới hạn từ hai ESP transform AH transform Định nghĩa Transform set câu lệnh cryto ipsec transform-set chế độ gobal mode Và để xoá cài đặt transform set dùng lệnh dạng no - Cú pháp lệnh tham số truyền vào sau: crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] - Bạn cấu hình nhiều transform set rõ hay nhiều transform set mục crypto map Định nghĩa transform set mục crypto map sử dụng trao đổi IPSec SA để bảo vệ liệu đinh nghĩa ACL mục crypto map Trong suốt trình trao đổi, hai bên tìm kiếm transform set giống hai phiá Khi mà transform set tìm thấy, sử dụng để bảo vệ liệu đường truyền phần IPSec Sa phía - Khi mà ISAKMP khơng sử dụng để thiết lập Sa, transform set riêng rẽ sử dụng Transform set khơng trao đổi - Thay đổi cấu hình Transform set: B1: Xóa tranform set từ crypto map B2: Xóa transform set chế độ cấu hình gobal mode B3: Cấu hình lại transform set với thay đổi B4: Gán transform set với crypto map B5: Xóa sở liệu SA (SA database) B6: Theo dõi trao đổi SA chắn họat động tốt - Cấu hình cho việc trao đổi transform: - Tranform set trao đổi suốt chế độ quick mode IKE Phase transform set mà bạn cấu hình ưu tiên sử dụng Bạn cấu hình nhiều transform set hay nhiều transform set mục crypto map Cấu hình transform set từ bảo mật thông thường nhỏ giống sách bảo mật bạn Những transform set định nghĩa mục crypto map SVTT: Trần Trong ̣ Thái Page 81 Báo cáo thực tập - GVHD: Võ Đỗ Thắng sử dụng trao đổi IPSec SA để bảo vệ liệu định nghĩa ACL mục crypto map Trong suốt trình trao đổi bên tìm kiếm transform set giống hai bên minh họa hình Các transform set Router A so sánh với transform set Router B tiếp tục Router A transform set 10, 20, 30 so sánh với transform set 40 Router B Nếu mà khơng trả vể kết tất transform set Router A sau so sánh với transform set Router B Cuối transform set 30 Router A giống với transform set 60 Router B Khi mà transform set tìm thấy, chọn áp dụng cho việc bảo vệ đường truyền phần IPSec SA hai phía IPSec bên chấp nhận transform chọn cho SA B Cấu hình thời gian tồn IPSec trình trao đổi: - - - IPSec SA định nghĩa thời gian tồn IPSec SA trước thực lại trình trao đổi Cisco IOS hỗ trợ giá trị thời gian tồn áp dụng lên tất crypto map Giá trị global lifetime ghi đè với mục crypto map Bạn thay đổi giá trị thời gian tồn IPSec SA câu lệnh crypto ipsec security-association lifetime chế độ global configuration mode Để trả giá trị mặc định ban đầu sử dụng dạng câu lệnh no Cấu trúc tham số câu lệnh định nghĩa sau: cryto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes} Cisco khuyến cáo bạn nên sử dụng giá trị mặc định Bản thân thời gian tồn IPSec SA cấu hình cách sử dụng crypto map Định nghĩa Crypto Access Lists: Crypto access list (Crypto ACLs) sử dụng để định nghĩa lưu thông (traffic) sử dụng hay kho sử dụng IPSec Crypto ACLs thực chức sau: • Outbound: Chọn traffic bảo vệ IPSec Những traffic lại gửi dạng khơng mã hóa • Inbound: Nếu có u cầu inbound access list tạo để lọc lọai bỏ traffic kho bảo vệ IPSec C Tạo cryto ACLs danh sách truy cập mở rộng (Extends access list): - Cryto ACLs định nghĩa để bảo vệ liệu truyền tải mạng Danh sach truy cập mở rộng (Extended IP ACLs) chọn SVTT: Trần Trong ̣ Thái Page 82 Báo cáo thực tập GVHD: Võ Đỗ Thắng luồng liệu (IP traffic) để mã hóa cách sử dụng giao thức truyền tải (protocol), địa IP (IP address), mạng (network), mạng (subnet) cổng dịch vụ (port) Mặc dù cú pháp ACL extended IP ACLs giống nhau, nghĩa có khác biệt chút crypto ACLs Đó cho phép (permit) gói liệu đánh dấu mã hóa từ chối (deny) với gói liệu đánh dấu khơng mã hóa Crypto ACLs họat động tương tự extendeds IP ACL áp dụng luồng liệu (outbound traffic) interface D Cấu hình IPSec crypto maps: E Áp dụng crypto maps vào cổng giao tiếp (interfaces): 8.9 Cấ u hí nh Ipsec VPN site to site 8.9.1 Mơ hình 8.9.2 Muc̣ tiêu: Cấu hình VPN cho phép LAN router ThaiR1 router ThaiR2 liên lạc với 8.9.2.1 Trên Router ThaiR1 - Đặt ip cho các cổng interface router ThaiR1(config)#interface s0/0 ThaiR1(config-if)#ip address 1.1.1.1 255.255.255.0 SVTT: Trần Trong ̣ Thái Page 83 Báo cáo thực tập GVHD: Võ Đỗ Thắng ThaiR1(config-if)#clock rate 64000 ThaiR1(config-if)#no shutdown ThaiR1(config)#interface f0/0 ThaiR1(config-if)#ip address 10.0.0.1 255.0.0.0 ThaiR1(config-if)#no shutdown - cấu hình default route ThaiR1(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 - Tạo Internet Key Exchange (IKE) key policy ThaiR1(config)#crypto isakmp policy ThaiR1(config-isakmp)#hash md5 ThaiR1(config-isakmp)#authentication pre-share - Tạo shared key để sử dụng cho kết nối VPN ThaiR1(config)#crypto isakmp key cisco address 2.2.2.2 - Quy định lifetime ThaiR1(config)#crypto ipsec security-association lifetime seconds 86400 - Cấu hình ACL dãy IP VPN access-list 100 permit ip 10.0.0.0 0.255.255.255 192.168.1.0 0.0.0.255 - Define the transformations set that will be used for this VPN connection crypto ipsec transform-set athena esp-3des esp-md5-hmac - Tạo cypto-map cho transform, setname ThaiR1(config)#crypto map mapathena 10 ipsec-isakmp ThaiR1(config-crypto-map)#set peer 2.2.2.2 ThaiR1(config-crypto-map)#set transform-set athena ThaiR1(config-crypto-map)#match address 100 SVTT: Trần Trong ̣ Thái Page 84 Báo cáo thực tập - GVHD: Võ Đỗ Thắng Gán vào interface ThaiR1(config)#interface s0/0 ThaiR1(config-if)#crypto map mapathena - show crypto ipsec transform-set để hiển thị cấu hình IPsec policy transform set Transform set athena: { esp-3des esp-md5-hmac } will negotiate = { Tunnel, }, - show crypto map để hiển thị crypto map áp dụng router ThaiR1#show crypto map Crypto Map "mapathena" 10 ipsec-isakmp Peer = 2.2.2.2 Extended IP access list 100 access-list 100 permit ip 10.0.0.0 0.255.255.255 192.168.1.0 0.0.0.255 Current peer: 2.2.2.2 Security association lifetime: 4608000 kilobytes/86400 seconds PFS (Y/N): N Transform sets={ athena, } Interfaces using crypto map mapathena: Serial0/0 - show crypto isakmp sa để thị SA IKE ThaiR1#show crypto isakmp sa dst src state conn-id slot status 2.2.2.2 1.1.1.1 QM_IDLE ACTIVE - Sử dụng lệnh show crypto ipsec sa để hiển thị bảng thơng tin gói tin SA ThaiR1 ThaiR3 ThaiR1#show crypto ipsec sa interface: Serial0/0 Crypto map tag: mapathena, local addr 1.1.1.1 SVTT: Trần Trong ̣ Thái Page 85 Báo cáo thực tập GVHD: Võ Đỗ Thắng protected vrf: (none) local ident (addr/mask/prot/port): (10.0.0.0/255.0.0.0/0/0) remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) current_peer 2.2.2.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: #pkts decaps: 8, #pkts decrypt: 8, #pkts verify: #pkts compressed: 0, #pkts decompressed: #pkts not compressed: 0, #pkts compr failed: #pkts not decompressed: 0, #pkts decompress failed: #send errors 1, #recv errors local crypto endpt.: 1.1.1.1, remote crypto endpt.: 2.2.2.2 path mtu 1500, ip mtu 1500 current outbound spi: 0xBF7A80FE(3212476670) inbound esp sas: spi: 0xC390A31D(3281036061) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2001, flow_id: SW:1, crypto map: mapathena sa timing: remaining key lifetime (k/sec): (4508469/86139) IV size: bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xBF7A80FE(3212476670) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2002, flow_id: SW:2, crypto map: mapathena sa timing: remaining key lifetime (k/sec): (4508469/86135) IV size: bytes replay detection support: Y Status: ACTIVE outbound ah sas: SVTT: Trần Trong ̣ Thái Page 86 Báo cáo thực tập GVHD: Võ Đỗ Thắng outbound pcp sas: - Đứng từ PC1 ping thành công đến PC2 8.9.2.2 Trên Router ThaiR2 - Đặt ip cho các cổng interface router ThaiR2(config)#interface s0/0 ThaiR2(config-if)#ip address 1.1.1.2 255.255.255.0 ThaiR2(config-if)#clock rate 64000 ThaiR2(config-if)#no shutdown ThaiR2(config)#interface s0/1 ThaiR2(config-if)#ip address 2.2.2.1 255.255.255.0 ThaiR2(config-if)#clock rate 64000 ThaiR2(config-if)#no shutdown 8.9.2.3 Trên Router ThaiR3 - Đặt ip cho các cổng interface router ThaiR3(config)#interface s0/0 ThaiR3(config-if)#ip address 2.2.2.2 255.255.255.0 ThaiR3(config-if)#clock rate 64000 ThaiR3(config-if)#no shutdown ThaiR3(config)#interface f0/0 ThaiR3(config-if)#ip address 192.168.1.1 255.255.255.0 ThaiR3(config-if)#no shutdown - cấu hình default route ThaiR3(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.1 - Tạo Internet Key Exchange (IKE) key policy SVTT: Trần Trong ̣ Thái Page 87 Báo cáo thực tập GVHD: Võ Đỗ Thắng ThaiR3(config)#crypto isakmp policy ThaiR3(config-isakmp)#hash md5 ThaiR3(config-isakmp)#authentication pre-share - Tạo shared key để sử dụng cho kết nối VPN ThaiR3(config)#crypto isakmp key cisco address 1.1.1.1 - Quy định lifetime ThaiR3(config)#crypto ipsec security-association lifetime seconds 86400 - Cấu hình ACL dãy IP VPN access-list 100 0.255.255.255 - permit ip 192.168.1.0 0.0.0.255 10.0.0.0 Define the transformations set that will be used for this VPN connection ThaiR3(config)#crypto ipsec transform-set athena esp-3des esp-md5hmac - Tạo cypto-map cho transform, setname ThaiR3(config)#crypto map mapathena 10 ipsec-isakmp ThaiR3(config-crypto-map)#set peer 1.1.1.1 ThaiR3(config-crypto-map)#set transform-set athena ThaiR3(config-crypto-map)#match address 100 - Gán vào interface ThaiR3(config)#interface s0/0 ThaiR3(config-if)#crypto map mapathena 8.9.3 Kết luân: ̣ ping từ LAN 10.0.0.0/8 sang LAN 192.168.1.0/24 thành công SVTT: Trần Trong ̣ Thái Page 88 ... thành tốt khóa thực tập Trong q trình thực tập, trình làm báo cáo, khó tránh khỏi sai sót, mong Thầy, Cơ bỏ qua Đồng thời trình độ lý luận kinh nghiệm thực tiễn hạn chế nên báo cáo khơng thể tránh... 40 Thực hiện mô hình các mô hình lab RIPv2, OSPF, EIGRP 41 6.1 Mô hình lab RIPv2 ban ̉ 41 6.2 Mô hình lab EIGRP ban ̉ 49 6.3 Mô hình lab OSPF ban ̉... phạ m vi nộ i dung cuố n bá o cá o thự c tậ p tố t nghiệ p “ Nghiên cứ u chế routing củ a cisco, mô phỏ ng nề n GNS3 ” sẽ trì nh bà y nhữ ng kiế n thứ c bả n về cá c kỹ thuậ