Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 88 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
88
Dung lượng
2,74 MB
Nội dung
Báo cáo thực tập GVHD: Võ Đỗ Thắng TRUNG TÂM ĐÀO TẠO QUẢN TRỊ MẠNG & AN NINH MẠNG QUỐC TẾ ATHENA -o0o - ĐỀ TÀI 10 NGHIÊN CỨU CƠ CHẾ ROUTING CỦA CISCO, MÔ PHỎNG TRÊN NỀN GNS3 GV hướng dẫn : Võ Đỗ Thắng Sinh viên thực : Trần Trọng Thái Nghành: Công nghệ thông tin Lớp: CD11CNTT5 Niên khóa: 2011 - 2014 TP.HCM, tháng 05/2014 SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng LỜI CẢM ƠN Em xin gởi lời cảm ơn chân thành tri ân sâu sắc thầy cô Trung Tâm Đà o Tạ o Quả n Trị Mạ ng & An Ninh Mạ ng Quố c Tế Athena, đặc biệt thầy cô khoa Công Nghệ Thông Tin trường tạo điều kiện cho em thực tập để có nhiều thời gian cho bà i là m thu hoạ ch bá o cá o thự c tậ p Và em xin chân thành cám ơn đặ c biệ t đế n thầy Võ Đỗ Thắ ng nhiệt tình hướng dẫn em hồn thành tốt khóa thực tập Trong q trình thực tập, q trình làm báo cáo, khó tránh khỏi sai sót, mong Thầy, Cơ bỏ qua Đồng thời trình độ lý luận kinh nghiệm thực tiễn hạn chế nên báo cáo khơng thể tránh khỏi thiếu sót, em mong nhận ý kiến đóng góp Thầy, Cơ để em học thêm nhiều kinh nghiệm hoàn thành tốt báo cáo tốt nghiệp tới Sau cùng, em xin kính chúc q Thầy Cơ tạ i trung tâm Thầy Giá m đố c Võ Đỗ Thắ ng thật dồi sức khỏe, niềm tin để tiếp tục thực sứ mệnh cao đẹp truyền đạt kiến thức cho hệ mai sau Chân thà nh cả m ơn SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng NHẬN XÉT CỦA ĐƠN VỊ THỰC TẬP TPHCM, ngày……tháng… năm 2014 Đơn vị thực tập (ký và ghi họ tên) SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN TPHCM, ngày……tháng… năm 2014 Giảng viên hướng dẫn (ký và ghi họ tên) SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng MỤC LỤC LỜI CẢM ƠN NHẬN XÉT CỦA ĐƠN VỊ THỰC TẬP NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN MỤC LỤC MỞ ĐẦU GIỚI THIỆU Khóa học quản trị hệ thống mạng Cisco Giám đốc trung tâm Võ Đỗ Thắng hướng dẫn 11 Tìm hiểu cách giả lập router cisco nền GNS3 12 2.1 Giớ i thiêu ̣ 12 2.2 Hướ ng dẫn cài đăṭ GNS3 12 2.3 Cấu hình GNS3 .19 2.4 Load IOS cho router .21 Tìm hiểu các câu lệnh cấu hình bản (các mode dòng lệnh, cách gán IP vào interface, kiểm tra các thông số IP) .30 3.1 Các mode config cuả router 30 3.2 Các lệnh cấu hình Router .31 Tìm hiểu tổng quan lý thuyết về định tuyến tĩnh, định tuyến động .34 4.1 Giới thiệu 34 4.2 Tông ̉ quan giao thức định tuyến tĩnh 34 4.3 Tông ̉ quan về đinh ̣ tuyến đông ̣ .35 Mô hình lab static route 38 5.1 Muc̣ tiêu: Cấu hình static route đê ̉ pc1 ping thành công t ớ i pc2 và ngươc lai.̣ .38 5.2 Kết qua:̉ Mô hình static route đã đ ươc hôị tu.̣ Ta có thê ̉ ping qua laị gi ữ a các điạ chi ̉ mang ̣ 40 Thực hiện mô hình các mô hình lab RIPv2, OSPF, EIGRP 41 6.1 Mô hình lab RIPv2 ban ̉ 41 6.2 Mô hình lab EIGRP ban ̉ 49 6.3 Mô hình lab OSPF ban ̉ 56 Tìn hiểu các công cụ filter route 67 7.1 Khái niệm Access – list 67 7.2 Tại phải sử dụng Access – list 67 7.3 Phân loại Access – list 67 7.4 Nguyên tắc hoạt động danh sách truy c ập 68 7.5 Cấu hình Standard Access List 69 SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng 7.6 Cấu hình Extended Access List .73 VPN Cisco 76 8.1 Tông ̉ quan về VPN 76 8.2 Đinh ̣ nghĩa VPN 77 8.3 Lợi ích cuả VPN 77 8.4 Các thành phần cần thiết để tạo kết nối VPN: .78 8.5 Các giao thức VPN: .78 8.6 Các giao thức để tạo nên chế đường ống bảo m ật cho VPN L2TP, Cisco GRE IPSec 78 8.7 Thiết lâp ̣ môṭ kết nối VPN 80 8.8 Qui Trình Cấu Hình Bước IPSec/VPN Trên Cisco IOS 80 8.9 Cấu hính Ipsec VPN site to site .83 SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng MỞ ĐẦU Sự kế t hợ p củ a má y tí nh vớ i cá c hệ thố ng truyề n thông đã tạ o sự chuyể n biế n có tí nh chấ t cá ch mạ ng vấ n đề tổ chứ c, khia thá c và sử dụ ng cá c hệ thố ng má y tí nh Cá c má y tí nh đượ c kế t hợ p vớ i để cù ng thự c hiệ n công việ c, chia sẻ thông tin, tà i nguyên dù ng chung từ nhiề u vị trí đị a lý khá c Ngà y quy mô mạ ng má y tí nh không ngừ ng đượ c mở rộ ng cá c mạ ng đượ c kế t nố i vớ i thà nh liên mạ ng Đinh tuyế n là chứ c không thể thiế u bấ t kỳ mạ ng nà o Đị nh tuyế n giú p cho việ c vậ n chuyể n cá c gó i tin giữ a cá c mạ ng mộ t cá ch hiệ u quả nhấ t Vì vậ y việ c tì m hiể u và nghiên cứ u cá c kỹ thuậ t đị nh tuyế n là rấ t quan trọ ng đố i vớ i nhà thiế t kế mạ ng Có thể coi là chứ c quan trọ ng nhấ t kiế n thứ c mạ ng má y tí nh Trong phạ m vi nộ i dung cuố n bá o cá o thự c tậ p tố t nghiệ p “ Nghiên cứ u chế routing củ a cisco, mô phỏ ng nề n GNS3 ” sẽ trì nh bà y nhữ ng kiế n thứ c bả n về cá c kỹ thuậ t đị nh tuyế n: Tì m hiể u cá ch giả lậ p router cisco nề n GNS3 Tì m hiể u cá c câu lệ nh cấ u hì nh bả n Tì m hiể u tổ ng quan lý thuyế t về đị nh tuyế n tĩ nh, đị nh tuyế n độ ng Thự c hiệ n cá c mô hì nh lab static route Thự c hiệ n cá c mô hì nh lab RIPv2, OSPF, EIRP Tì m hiể u cá c công cụ filter route Thự c hiệ n mô hì nh lab sito-to-site cisco SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng GIỚI THIỆU Trung Tâm Đào Tạo Quản Trị Mạng & An Ninh Mạng Quốc Tế ATHENA thành lập từ năm 2004, tổ chức qui tụ nhiều trí thức trẻ Việt Nam đầy động, nhiệt huyết kinh nghiệm lãnh vực CNTT, với tâm huyết góp phần vào cơng thúc đẩy tiến trình đưa cơng nghệ thơng tin ngành kinh tế mũi nhọn, góp phần phát triển nước nhà Trung Tâm ATHENA - Bis Đinh Tiên Hoàng , DaKao, Q1 , Tp HCM SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng Trung tâm ATHENA - 92 Nguyễn Đình Chiểu ,DaKao, Q1 , Tp HCM Lĩnh vực hoạt động chính: + Trung tâm ATHENA tập trung chủ yếu vào đào tạo chuyên sâu quản trị mạng, an ninh mạng, thương mại điện tử theo tiêu chuẩn quốc tế hãng tiếng Microsoft, Cisco, Oracle, Linux LPI , CEH, Song song đó, trung tâm ATHENA cịn có chương trình đào tạo cao cấp dành riêng theo đơn đặt hàng đơn vị Bộ Quốc Phịng, Bộ Cơng An , ngân hàng, doanh nghiệp, quan phủ, tổ chức tài + Sau gần 10 năm hoạt động, nhiều học viên tốt nghiệp trung tâm ATHENA chuyên gia đảm nhận công tác quản lý hệ thống mạng, an ninh mạng cho nhiều ngành Cục Công Nghệ Thơng Tin - Bộ Quốc Phịng , Bộ Cơng An, Sở Thông Tin Truyền Thông tỉnh, bưu điện tỉnh, + Ngồi chương trình đào tạo, Trung tâm ATHENA cịn có nhiều chương trình hợp tác trao đổi công nghệ với nhiều đại học lớn đại học Bách Khoa Thành Phố Hồ CHính Minh, Học Viện An Ninh Nhân Dân( Thủ Đức), Học Viện Bưu Chính Viễn Thơng, Hiệp hội an tồn thơng tin (VNISA), Viện Kỹ Thuật Quân Sự , Đội ngũ giảng viên : SVTT: Trần Trong ̣ Thái Page Báo cáo thực tập GVHD: Võ Đỗ Thắng + Tất giảng viên trung tâm ATHENA có tốt nghiệp từ trường đại học hàng đầu nước Tất giảng viên ATHENA phải có chứng quốc tế MCSA, MCSE, CCNA, CCNP, Security+, CEH, có sư phạm Quốc tế (Microsoft Certified Trainer).Đây chứng chuyên môn bắt buộc để đủ điều kiện tham gia giảng dạy trung tâm ATHENA + Bên cạnh đó,Các giảng viên ATHENA thường tu nghiệp cập nhật kiến thức công nghệ từ nước tiên tiến Mỹ , Pháp, Hà Lan, Singapore, truyền đạt cơng nghệ chương trình đào tạo trung tâm ATHENA Cơ sở vật chất: + Thiết bị đầy đủ và hiện đại + Chương trình cập nhật liên tục, bảo đảm học viên ln tiếp cận với cơng nghệ + Phịng máy rộng rãi, thoáng mát Dịch vụ hỗ trợ: + Đảm bảo việc làm cho học viên tốt nghiệp khoá dài hạn + Giới thiệu việc làm cho học viên + Thực tập có lương cho học viên giỏi + Ngồi học thức, học viên thực hành thêm miễn phí, khơng giới hạn thời gian + Hỗ trợ kỹ thuật không thời hạn tất lĩnh vực liên quan đến máy tính, mạng máy tính, bảo mật mạng+Hỗ trợ thi Chứng Quốc tế SVTT: Trần Trong ̣ Thái Page 10 Báo cáo thực tập - GVHD: Võ Đỗ Thắng Sau đó Telnet và duyệt web từ PC1 vào router ThaiR2 với mật khấu cisco 7.6.2.2 Trên Router ThaiR2 - Đặt Mật truy cập vào enable mode ThaiR2(config)#enable secret router - Đặt mật telnet ThaiR2(config)#line vty ThaiR2(config-line)#login ThaiR2(config-line)#password cisco - Đặt ip cho các cổng interface router ThaiR2(config)#interface s0/0 ThaiR2(config-if)#ip address 172.16.0.2 255.255.0.0 ThaiR2(config-if)#clock rate 64000 ThaiR2(config-if)#no shutdown ThaiR2(config)#interface e1/0 ThaiR2(config-if)#ip address 192.168.1.1 255.255.255.0 ThaiR2(config-if)#no shutdown - Cấu hình giao thức định tuyến RIPv2 ThaiR2(config)#router rip ThaiR2(config-router)#version ThaiR2(config-router)#network 172.16.0.0 ThaiR2(config-router)#network 192.168.1.0 ThaiR2(config-router)#no auto-summary - Tiến hành giả một http server Router ThaiR2(config)#ip http server SVTT: Trần Trong ̣ Thái Page 74 Báo cáo thực tập - GVHD: Võ Đỗ Thắng Thực hiện cấu hình Access list ThaiR2(config)#$ 101 deny tcp 10.0.0.2 0.0.0.0 172.16.0.2 0.0.0.0 eq telnet ThaiR2(config)#interface s0/0 ThaiR2(config-if)#ip access-group 101 in - Ta nhận thấy quá trình Telnet không thành công duyệt web cũng không thành công - Để duyệt web thành công cần thực hiện thay đổi câu lệnh Deny any mặc định của Access list ThaiR2(config)#access-list 101 permit ip any any 7.6.3 Kết luân: ̣ Như vây ̣ ta đã thành công viêc̣ cấu hình cho Extended Access List vơ í muc̣ đích ngăn cấm viêc̣ Telnet vào router và cho phép quá trình duyêṭ web vào router SVTT: Trần Trong ̣ Thái Page 75 Báo cáo thực tập GVHD: Võ Đỗ Thắng VPN Cisco 8.1 Tổ ng quan vềVPN Trong thời đại ngày nay, Internet phát triển mạnh mặt mơ hình cơng nghệ, đáp ứng nhu cầu người sử dụng Internet thiết kế để kết nối nhiều mạng khác cho phép thông tin chuyển đến người sử dụng cách tự nhanh chóng mà khơng xem xét đến máy mạng mà người sử dụng dùng Để làm điều người ta sử dụng máy tính đặc biệt gọi router để kết nối LAN WAN với Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP-Internet Service Provider), cần giao thức chung TCP/IP Điều mà kỹ thuật tiếp tục phải giải lực truyền thông mạng viễn thông công cộng Với Internet, dịch vụ giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế, nhiều điều khác trở thành thực.Tuy nhiên, Internet có phạm vi tồn cầu khơng tổ chức, phủ cụ thể quản lý nên khó khăn việc bảo mật an toàn liệu việc quản lý dịch vụ Từ người ta đưa mơ hình mạng nhằm thoả mãn u cầu mà tận dụng lại sở hạ tầng có Internet, mơ hình mạng riêng ảo (Virtual Private Network VPN) Với mơ hình này, người ta khơng phải đầu tư thêm nhiều sở hạ tầng mà tính bảo mật, độ tin cậy đảm bảo, đồng thời quản lý riêng hoạt động mạng VPN cho phép người sử dụng làm việc nhà, đường hay văn phịng chi nhánh kết nối an tồn đến máy chủ tổ chức sở hạ tầng cung cấp mạng cơng cộng Nó đảm bảo an tồn thơng tin đại lý, người cung cấp, đối tác kinh doanh với môi trường truyền thông rộng lớn Trong nhiều trường hợp VPN giống WAN (Wide Area Network), nhiên đặc tính định VPN chúng dùng mạng cơng cộng Internet mà đảm bảo tính riêng tư tiết kiệm nhiều SVTT: Trần Trong ̣ Thái Page 76 Báo cáo thực tập GVHD: Võ Đỗ Thắng 8.2 Đị nh nghĩ a VPN VPN hiểu đơn giản mở rộng mạng riêng (private network) thông qua mạng công cộng Về bản, VPN mạng riêng rẽ sử dụng mạng chung (thường internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dụng đường leased line, VPN sử dụng kết nối ảo dẫn đường qua Internet từ mạng riêng công ty tới site hay nhân viên từ xa Để gửi nhận liệu thông qua mạng công cộng mà bảo đảm tính an tịan bảo mật VPN cung cấp chế mã hóa liệu đường truyền tạo đường ống bảo mật nơi nhận nơi gửi (Tunnel) giống kết nối point-to-point mạng riêng Để tạo đường ống bảo mật đó, liệu phải mã hóa hay che giấu cung cấp phần đầu gói liệu (header) thơng tin đường cho phép đến đích thơng qua mạng cơng cộng cách nhanh chóng Dữ lịêu mã hóa cách cẩn thận packet bị bắt lại đường truyền công cộng khơng thể đọc nội dung khơng có khóa để giải mã Liên kết với liệu mã hóa đóng gói gọi kết nối VPN Các đường kết nối VPN thường gọi đường ống VPN (VPN Tunnel) 8.3 Lợ i í ch củ a VPN VPN cung cấp nhiều đặc tính so với mạng truyền thống mạng mạng leased-line.Những lợi ích bao gồm: - Chi phí thấp mạng riêng: VPN giảm chi phí truyền tới 20-40% so với mạng thuộc mạng leased-line giảm việc chi phí truy cập từ xa từ 60-80% - Tính linh hoạt cho khả kinh tế Internet: VPN vốn có tính linh hoạt leo thang kiến trúc mạng mạng cổ điển, cách hoạt động kinh doanh nhanh chóng chi phí cách hiệu cho việc kết nối mở rộng Theo cách VPN dễ dàng kết nối ngắt kết nối từ xa văn phòng, vị trí ngồi quốc tế,những người truyền thơng, người dùng điện thoại di động, người hoạt động kinh doanh bên yêu cầu kinh doanh địi hỏi - Đơn giản hóa gánh nặng - Những cấu trúc mạng ống, giảm việc quản lý gánh nặng: Sử dụng giao thức Internet backbone loại trừ PVC tĩnh hợp với kết nối hướng giao thức Frame Rely ATM - Tăng tình bảo mật: liệu quan trọng che giấu người quyền truy cập cho phép truy cập người dùng có quyền truy cập SVTT: Trần Trong ̣ Thái Page 77 Báo cáo thực tập - GVHD: Võ Đỗ Thắng Hỗ trợ giao thức mạn thông dụng TCP/IP Bảo mật địa IP: thơng tin gửi VPN mã hóa điạ bên mạng riêng che giấu sử dụng địa bên Internet 8.4 Các thành phần cần thiết để tạo kết nối VPN: - User Authentication: cung cấp chế chứng thực người dùng, cho phép người dùng hợp lệ kết nối truy cập hệ thống VPN Address Management: cung cấp địa IP hợp lệ cho người dùng sau gia nhập hệ thống VPN để truy cập tài nguyên mạng nội Data Encryption: cung cấp giải pháp mã hố liệu q trình truyền nhằm bảo đảm tính riêng tư tồn vẹn liệu Key Management: cung cấp giải pháp quản lý khoá dùng cho q trình mã hố giải mã liệu 8.5 Các giao thức VPN: 8.6 Các giao thức để tạo nên chế đường ống bảo mật cho VPN L2TP, Cisco GRE IPSec 8.6.1 L2TP: - - Trước xuất chuẩn L2TP (tháng năm 1999), Cisco sử dụng Layer Forwarding (L2F) giao thức chuẩn để tạo kết nối VPN L2TP đời sau với tính tích hợp từ L2F L2TP dạng kết hợp Cisco L2F Mircosoft Point-to-Point Tunneling Protocol (PPTP) Microsoft hỗ trợ chuẩn PPTP L2TP phiên WindowNT 2000 L2TP sử dụng để tạo kết nối độc lập, đa giao thức cho mạng riêng ảo quay số (Virtual Private Dail-up Network) L2TP cho phép người dùng kết nối thơng qua sách bảo mật cơng ty SVTT: Trần Trong ̣ Thái Page 78 Báo cáo thực tập - GVHD: Võ Đỗ Thắng (security policies) để tạo VPN hay VPDN mở rộng mạng nội cơng ty L2TP khơng cung cấp mã hóa L2TP kết hợp PPP(giao thức Point-to-Point) với giao thức L2F(Layer Forwarding) Cisco hiệu kết nối mạng dial, ADSL, mạng truy cập từ xa khác Giao thức mở rộng sử dụng PPP phép truy cập VPN ngườI sử dụng từ xa 8.6.2 GRE: - - Đây đa giao thức truyền thơng đóng gói IP, CLNP tất cá gói liệu bên đường ống IP (IP tunnel) Với GRE Tunnel, Cisco router đóng gói cho vị trí giao thức đặc trưng định gói IP header, tạo đường kết nối ảo (virtual point-to-point) tới Cisco router cần đến Và gói liệu đến đích IP header mở Bằng việc kết nối nhiều mạng với giao thức khác môi trường có giao thức GRE tunneling cho phép giao thức khác thuận lợi việc định tuyến cho gói IP 8.6.3 IPSec: - IPSec lựa chọn cho việc bảo mật VPN IPSec khung bao gồm bảo mật liệu (data confidentiality), tính tịan vẹn liệu (integrity) việc chứng thực liệu IPSec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏa thuận giao thức thuật tóan sách cục (group policy) sinh khóa bảo mã hóa chứng thực sử dụng IPSec 8.6.4 Point to Point Tunneling Protocol (PPTP): - - Được sử dụng trện máy client chạy HĐH Microsoft for NT4.0 Windows 95+ Giao thức đựơc sử dụng để mã hóa liệu lưu thơng Mạng LAN Giống giao thức NETBEUI IPX packet gửI lên Internet PPTP dựa chuẩn RSA RC4 hỗ trợ bởI mã hóa 40-bit 128-bit Nó khơng phát triển dạng kết nốI LAN-to-LAN giới hạn 255 kết nối tớI server có đường hầm VPN kết nối Nó khơng cung cấp mã hóa cho cơng việc lớn dễ cài đặt SVTT: Trần Trong ̣ Thái Page 79 Báo cáo thực tập GVHD: Võ Đỗ Thắng triển khai giảI pháp truy cập từ xa làm mạng MS Giao thức dùng tốt Window 2000 Layer Tunneling Protocol thuộc IPSec 8.7 Thiế t lậ p mộ t kế t nố i VPN - Máy VPN cần kết nối (VPN client) tạo kết nốt VPN (VPN Connection) tới máy chủ cung cấp dịch vụ VPN (VPN Server) thông qua kết nối Internet Máy chủ cung cấp dịch vụ VPN trả lời kết nối tới Máy chủ cung cấp dịch vụ VPN chứng thực cho kết nối cấp phép cho kết nối Bắt đầu trao đổi liệu máy cần kết nối VPN mạng cơng ty - 8.8 Qui Trình Cấu Hình Bước IPSec/VPN Trên Cisco IOS Ta cấu hình IPSec VPN qua bước sau đây: - Chuẩn bị cho IKE IPSec - Cấu hình cho IKE - Cấu hình cho IPSec • Cấu hình dạng mã hóa cho gói liệu Crypto ipsec transform-set • Cấu hình thời gian tồn gói liệu tùy chọn bảo mật khác Crypto ipsec sercurity-association lifetime • Tạo crytoACLs danh sách truy cập mở rộng (Extended Access List) Crypto map • Cấu hình IPSec crypto maps • Áp dụng crypto maps vào cổng giao tiếp (interfaces) Crypto map map-name - Kiểm tra lại việc thực IPSec A Cấu hình cho mã hóa liệu: - Sau bạn cấu hình Cisco IOS IPSec cách sử dụng sách bảo mật IPSec (IPSec Security Policy) để định nghĩa các sách bảo mật IPSec (transform set) Chính sách bảo mật IPSec (transform set) kết hợp cấu hình IPSec transform riêng rẽ định nghĩa thiết kế cho sách bảo mật lưu thơng mạng Trong suốt trình trao đổi ISAKMP IPSec SA xảy lỗi trình IKE Phase quick mode, hai bên sử dụng transform set riêng cho việc bảo vệ liệu riêng SVTT: Trần Trong ̣ Thái Page 80 Báo cáo thực tập GVHD: Võ Đỡ Thắng đường truyền Transform set kết hợp nhân tố sau: • Cơ chế cho việc chứng thực: sách AH • Cơ chế cho việc mã hóa: sách ESP • Chế độ IPSec (phương tiện truyền thông với đường hầm bảo mật) - Transform set với việc kết hợp AH transform, ESP transform chế độ IPSec (hoặc chế đường hầm bảo mật chế độ phương tiện truyền thông) Transform set giới hạn từ hai ESP transform AH transform Định nghĩa Transform set câu lệnh cryto ipsec transform-set chế độ gobal mode Và để xoá cài đặt transform set dùng lệnh dạng no - Cú pháp lệnh tham số truyền vào sau: crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] - Bạn cấu hình nhiều transform set rõ hay nhiều transform set mục crypto map Định nghĩa transform set mục crypto map sử dụng trao đổi IPSec SA để bảo vệ liệu đinh nghĩa ACL mục crypto map Trong suốt trình trao đổi, hai bên tìm kiếm transform set giống hai phiá Khi mà transform set tìm thấy, sử dụng để bảo vệ liệu đường truyền phần IPSec Sa phía - Khi mà ISAKMP khơng sử dụng để thiết lập Sa, transform set riêng rẽ sử dụng Transform set khơng trao đổi - Thay đổi cấu hình Transform set: B1: Xóa tranform set từ crypto map B2: Xóa transform set chế độ cấu hình gobal mode B3: Cấu hình lại transform set với thay đổi B4: Gán transform set với crypto map B5: Xóa sở liệu SA (SA database) B6: Theo dõi trao đổi SA chắn họat động tốt - Cấu hình cho việc trao đổi transform: - Tranform set trao đổi suốt chế độ quick mode IKE Phase transform set mà bạn cấu hình ưu tiên sử dụng Bạn cấu hình nhiều transform set hay nhiều transform set mục crypto map Cấu hình transform set từ bảo mật thông thường nhỏ giống sách bảo mật bạn Những transform set định nghĩa mục crypto map SVTT: Trần Trong ̣ Thái Page 81 Báo cáo thực tập - GVHD: Võ Đỗ Thắng sử dụng trao đổi IPSec SA để bảo vệ liệu định nghĩa ACL mục crypto map Trong suốt trình trao đổi bên tìm kiếm transform set giống hai bên minh họa hình Các transform set Router A so sánh với transform set Router B tiếp tục Router A transform set 10, 20, 30 so sánh với transform set 40 Router B Nếu mà khơng trả vể kết tất transform set Router A sau so sánh với transform set Router B Cuối transform set 30 Router A giống với transform set 60 Router B Khi mà transform set tìm thấy, chọn áp dụng cho việc bảo vệ đường truyền phần IPSec SA hai phía IPSec bên chấp nhận transform chọn cho SA B Cấu hình thời gian tồn IPSec trình trao đổi: - - - IPSec SA định nghĩa thời gian tồn IPSec SA trước thực lại trình trao đổi Cisco IOS hỗ trợ giá trị thời gian tồn áp dụng lên tất crypto map Giá trị global lifetime ghi đè với mục crypto map Bạn thay đổi giá trị thời gian tồn IPSec SA câu lệnh crypto ipsec security-association lifetime chế độ global configuration mode Để trả giá trị mặc định ban đầu sử dụng dạng câu lệnh no Cấu trúc tham số câu lệnh định nghĩa sau: cryto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes} Cisco khuyến cáo bạn nên sử dụng giá trị mặc định Bản thân thời gian tồn IPSec SA cấu hình cách sử dụng crypto map Định nghĩa Crypto Access Lists: Crypto access list (Crypto ACLs) sử dụng để định nghĩa lưu thông (traffic) sử dụng hay kho sử dụng IPSec Crypto ACLs thực chức sau: • Outbound: Chọn traffic bảo vệ IPSec Những traffic lại gửi dạng khơng mã hóa • Inbound: Nếu có u cầu inbound access list tạo để lọc lọai bỏ traffic kho bảo vệ IPSec C Tạo cryto ACLs danh sách truy cập mở rộng (Extends access list): - Cryto ACLs định nghĩa để bảo vệ liệu truyền tải mạng Danh sach truy cập mở rộng (Extended IP ACLs) chọn SVTT: Trần Trong ̣ Thái Page 82 Báo cáo thực tập GVHD: Võ Đỗ Thắng luồng liệu (IP traffic) để mã hóa cách sử dụng giao thức truyền tải (protocol), địa IP (IP address), mạng (network), mạng (subnet) cổng dịch vụ (port) Mặc dù cú pháp ACL extended IP ACLs giống nhau, nghĩa có khác biệt chút crypto ACLs Đó cho phép (permit) gói liệu đánh dấu mã hóa từ chối (deny) với gói liệu đánh dấu khơng mã hóa Crypto ACLs họat động tương tự extendeds IP ACL áp dụng luồng liệu (outbound traffic) interface D Cấu hình IPSec crypto maps: E Áp dụng crypto maps vào cổng giao tiếp (interfaces): 8.9 Cấ u hí nh Ipsec VPN site to site 8.9.1 Mơ hình 8.9.2 Muc̣ tiêu: Cấu hình VPN cho phép LAN router ThaiR1 router ThaiR2 liên lạc với 8.9.2.1 Trên Router ThaiR1 - Đặt ip cho các cổng interface router ThaiR1(config)#interface s0/0 ThaiR1(config-if)#ip address 1.1.1.1 255.255.255.0 SVTT: Trần Trong ̣ Thái Page 83 Báo cáo thực tập GVHD: Võ Đỗ Thắng ThaiR1(config-if)#clock rate 64000 ThaiR1(config-if)#no shutdown ThaiR1(config)#interface f0/0 ThaiR1(config-if)#ip address 10.0.0.1 255.0.0.0 ThaiR1(config-if)#no shutdown - cấu hình default route ThaiR1(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 - Tạo Internet Key Exchange (IKE) key policy ThaiR1(config)#crypto isakmp policy ThaiR1(config-isakmp)#hash md5 ThaiR1(config-isakmp)#authentication pre-share - Tạo shared key để sử dụng cho kết nối VPN ThaiR1(config)#crypto isakmp key cisco address 2.2.2.2 - Quy định lifetime ThaiR1(config)#crypto ipsec security-association lifetime seconds 86400 - Cấu hình ACL dãy IP VPN access-list 100 permit ip 10.0.0.0 0.255.255.255 192.168.1.0 0.0.0.255 - Define the transformations set that will be used for this VPN connection crypto ipsec transform-set athena esp-3des esp-md5-hmac - Tạo cypto-map cho transform, setname ThaiR1(config)#crypto map mapathena 10 ipsec-isakmp ThaiR1(config-crypto-map)#set peer 2.2.2.2 ThaiR1(config-crypto-map)#set transform-set athena ThaiR1(config-crypto-map)#match address 100 SVTT: Trần Trong ̣ Thái Page 84 Báo cáo thực tập - GVHD: Võ Đỗ Thắng Gán vào interface ThaiR1(config)#interface s0/0 ThaiR1(config-if)#crypto map mapathena - show crypto ipsec transform-set để hiển thị cấu hình IPsec policy transform set Transform set athena: { esp-3des esp-md5-hmac } will negotiate = { Tunnel, }, - show crypto map để hiển thị crypto map áp dụng router ThaiR1#show crypto map Crypto Map "mapathena" 10 ipsec-isakmp Peer = 2.2.2.2 Extended IP access list 100 access-list 100 permit ip 10.0.0.0 0.255.255.255 192.168.1.0 0.0.0.255 Current peer: 2.2.2.2 Security association lifetime: 4608000 kilobytes/86400 seconds PFS (Y/N): N Transform sets={ athena, } Interfaces using crypto map mapathena: Serial0/0 - show crypto isakmp sa để thị SA IKE ThaiR1#show crypto isakmp sa dst src state conn-id slot status 2.2.2.2 1.1.1.1 QM_IDLE ACTIVE - Sử dụng lệnh show crypto ipsec sa để hiển thị bảng thơng tin gói tin SA ThaiR1 ThaiR3 ThaiR1#show crypto ipsec sa interface: Serial0/0 Crypto map tag: mapathena, local addr 1.1.1.1 SVTT: Trần Trong ̣ Thái Page 85 Báo cáo thực tập GVHD: Võ Đỗ Thắng protected vrf: (none) local ident (addr/mask/prot/port): (10.0.0.0/255.0.0.0/0/0) remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) current_peer 2.2.2.2 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: #pkts decaps: 8, #pkts decrypt: 8, #pkts verify: #pkts compressed: 0, #pkts decompressed: #pkts not compressed: 0, #pkts compr failed: #pkts not decompressed: 0, #pkts decompress failed: #send errors 1, #recv errors local crypto endpt.: 1.1.1.1, remote crypto endpt.: 2.2.2.2 path mtu 1500, ip mtu 1500 current outbound spi: 0xBF7A80FE(3212476670) inbound esp sas: spi: 0xC390A31D(3281036061) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2001, flow_id: SW:1, crypto map: mapathena sa timing: remaining key lifetime (k/sec): (4508469/86139) IV size: bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0xBF7A80FE(3212476670) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } conn id: 2002, flow_id: SW:2, crypto map: mapathena sa timing: remaining key lifetime (k/sec): (4508469/86135) IV size: bytes replay detection support: Y Status: ACTIVE outbound ah sas: SVTT: Trần Trong ̣ Thái Page 86 Báo cáo thực tập GVHD: Võ Đỗ Thắng outbound pcp sas: - Đứng từ PC1 ping thành công đến PC2 8.9.2.2 Trên Router ThaiR2 - Đặt ip cho các cổng interface router ThaiR2(config)#interface s0/0 ThaiR2(config-if)#ip address 1.1.1.2 255.255.255.0 ThaiR2(config-if)#clock rate 64000 ThaiR2(config-if)#no shutdown ThaiR2(config)#interface s0/1 ThaiR2(config-if)#ip address 2.2.2.1 255.255.255.0 ThaiR2(config-if)#clock rate 64000 ThaiR2(config-if)#no shutdown 8.9.2.3 Trên Router ThaiR3 - Đặt ip cho các cổng interface router ThaiR3(config)#interface s0/0 ThaiR3(config-if)#ip address 2.2.2.2 255.255.255.0 ThaiR3(config-if)#clock rate 64000 ThaiR3(config-if)#no shutdown ThaiR3(config)#interface f0/0 ThaiR3(config-if)#ip address 192.168.1.1 255.255.255.0 ThaiR3(config-if)#no shutdown - cấu hình default route ThaiR3(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.1 - Tạo Internet Key Exchange (IKE) key policy SVTT: Trần Trong ̣ Thái Page 87 Báo cáo thực tập GVHD: Võ Đỗ Thắng ThaiR3(config)#crypto isakmp policy ThaiR3(config-isakmp)#hash md5 ThaiR3(config-isakmp)#authentication pre-share - Tạo shared key để sử dụng cho kết nối VPN ThaiR3(config)#crypto isakmp key cisco address 1.1.1.1 - Quy định lifetime ThaiR3(config)#crypto ipsec security-association lifetime seconds 86400 - Cấu hình ACL dãy IP VPN access-list 100 0.255.255.255 - permit ip 192.168.1.0 0.0.0.255 10.0.0.0 Define the transformations set that will be used for this VPN connection ThaiR3(config)#crypto ipsec transform-set athena esp-3des esp-md5hmac - Tạo cypto-map cho transform, setname ThaiR3(config)#crypto map mapathena 10 ipsec-isakmp ThaiR3(config-crypto-map)#set peer 1.1.1.1 ThaiR3(config-crypto-map)#set transform-set athena ThaiR3(config-crypto-map)#match address 100 - Gán vào interface ThaiR3(config)#interface s0/0 ThaiR3(config-if)#crypto map mapathena 8.9.3 Kết luân: ̣ ping từ LAN 10.0.0.0/8 sang LAN 192.168.1.0/24 thành công SVTT: Trần Trong ̣ Thái Page 88