1. Trang chủ
  2. » Luận Văn - Báo Cáo

Tim hieu ve cong nghe mang rieng ao vpn va mo 34814

72 0 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Tìm hiểu về công nghệ mạng riêng ảo VPN và mô phỏng mô hình VPN Extranet
Tác giả Trịnh Hoàng Hiệp
Người hướng dẫn Ths. Nguyễn Quỳnh Mai
Trường học Đại học Kinh tế quốc dân
Chuyên ngành Công nghệ thông tin
Thể loại báo cáo
Thành phố Hà Nội
Định dạng
Số trang 72
Dung lượng 0,91 MB

Cấu trúc

  • CHƯƠNG I: TỔNG QUAN VỀ CÔNG TY CỔ PHẦN XÂY DỰNG SỐ 2 (3)
    • I. Công ty CPXD Số 2 (3)
      • 1. Giới thiệu về công ty (3)
    • II. Khảo sát hệ thống mạng tại Công ty Xây dựng số 2 (5)
      • 1. Hệ thống mạng hiện tại (5)
      • 2. Đánh giá (5)
  • CHƯƠNG II: CÔNG NGHỆ MẠNG RIÊNG ẢO (VPN) (6)
    • I. Tổng quan về mạng riêng ảo (VPN) (6)
      • 1. Khái niệm (6)
      • 2. Phân loại VPN (7)
        • 2.1. VPN truy cập từ xa (Remote Acess VPN) (7)
        • 2.2. VPN cục bộ (Intranet VPN) (9)
        • 2.3. VPN mở rộng (Extranet VPN) (11)
      • 3. Các chức năng của VPN (13)
        • 3.1. Tính xác thực (14)
        • 3.2. Tính toàn vẹn (14)
        • 3.3. Tính bảo mật (14)
      • 4. Những lợi ích mà VPN mang lại (14)
        • 4.1. Giảm chi phí thực thi (14)
        • 4.2. Giảm được chi phí thuê nhân viên và quản trị (14)
        • 4.3. Nâng cao khả năng kết nối (15)
        • 4.4. Bảo mật các giao dịch (15)
        • 4.5. Sử dụng hiệu quả băng thông (15)
        • 4.6. Nâng cao khả năng mở rộng (15)
    • II. Các giao thức trong VPN (16)
      • 1. Giao thức PPP (16)
        • 1.1. Khái niệm (0)
        • 1.2. Định dạng gói PPP (17)
      • 2. Giao thức đường hầm điểm (PPTP) (18)
        • 2.1 Khái niệm (18)
        • 2.2. Bảo mật trong PPTP (18)
          • 2.2.1. Mã hoá và nén dữ liệu PPTP (18)
          • 2.2.2. Xác thực dữ liệu PPTP (19)
          • 2.2.3. Giao thức xác thực có thăm dò trước của Microsoft(MS- CHAP) (19)
          • 2.2.4. Giao thức xác thực mật khẩu(PAP) (19)
        • 2.3. Các tính năng mà PPTP đáp ứng (19)
      • 3. Giao thức L2F (20)
        • 3.1. Khái niệm (20)
        • 3.2. Bảo mật trong L2F (20)
          • 3.2.1. Mã hoá dữ liệu L2F (20)
          • 3.2.2. Xác thực dữ liệu L2F (20)
      • 4. Giao thức đường hầm lớp 2 (L2TP) (21)
        • 4.1. Khái niệm (21)
        • 4.2. Mô hình đường hầm L2TP (21)
          • 4.2.1. Đường hầm L2TP kiểu bắt buộc (21)
          • 4.2.2. Đường hầm L2TP kiểu tự nguyện (23)
        • 4.3. Kiểm soát kết nối và bảo mật trong L2TP (24)
          • 4.3.1. Kiểm soát kết nối (24)
          • 4.3.2. Bảo mật L2TP (24)
      • 5. Giao thức IP (IPSec) (25)
        • 5.1. Khái niệm (25)
        • 5.2. Liên kết bảo mật IPSec (SA-IPSec) (27)
        • 5.3. Các giao thức của IPSec (28)
          • 5.3.1. Giao thức xác thực tiêu đề (AH) (28)
          • 5.3.2. Giao thức đóng gói tải bảo mật(ESP) (33)
        • 5.4. Các chế độ IPSec (43)
          • 5.4.2. Chế độ Tunnel (45)
        • 5.5. Quá trình hoạt động của IPSec (46)
          • 5.5.1. Xử lý hệ thống IPSec/IKE (46)
          • 5.5.3 Xử lý đầu vào với các hệ thống máy chủ Host (47)
          • 5.5.4 Xử lý đầu ra với các hệ thống cổng kết nối (48)
          • 5.5.5. Xử lý đầu vào với các hệ thống cổng kết nối (49)
  • CHƯƠNG IV TRIỂN KHAI MÔ HÌNH MẠNG RIÊNG ẢO (51)
    • I. Xây dựng hế thống mạng BackBone (51)
    • II. Triển khai hệ thống mạng (53)
      • 1. Cấu hình trên Router HN (53)
        • 1.1. Cấu hình các cổng vật lý (53)
        • 1.2. Cấu hình IKE (53)
        • 1.3. Cấu hình Pre-Shared Keys (53)
        • 1.4. Cấu hình IPSec Transform Set and Lifetimes, Crypto Maps (53)
      • 2. Cấu hình trên Router VDC (54)
        • 2.1. Cấu hình các cổng vật lý (54)
      • 3. Cấu hình trên Router HCM (54)
        • 3.1. Cấu hình các cổng vật lý (54)
        • 3.2. Cấu hình IKE (55)
        • 3.3. Cấu hình Pre-Shared Keys (55)
        • 3.4. Cấu hình IPSec Transform Set and Lifetimes, Crypto Maps (55)
    • III. Tiến hành kiểm tra thông mạng và nghiệm thu (55)
      • 1. Thông số kĩ thuật (55)
      • 2. Các thông số mạng (62)
  • Kết Luận (66)
  • TÀI LIỆU THAM KHẢO (67)

Nội dung

TỔNG QUAN VỀ CÔNG TY CỔ PHẦN XÂY DỰNG SỐ 2

Công ty CPXD Số 2

1 Giới thiệu về công ty :

Tên Tiếng Anh : Vietnam Construction Joint Stock Company No.2

Trụ sở : Số 52 Lạc Long Quân - Quận Tây Hồ - TP Hà Nội. Điện thoại : (84-4) 3753 0936 - 3753 2036

Vốn điều lệ : 80 Tỷ đồng.

Người đại diện : Ông Đỗ Trọng Quỳnh, Chủ tịch HĐQT, Tổng Giám đốc

- Xây dựng các công trình dân dụng, công nghiệp, giao thông đường bộ các cấp, cầu cống, thủy lợi, thủy điện, nền móng, các công trình kỹ thuật hạ tầng đô thị và khu công nghiệp, các công trình đường dây, trạm biến thế điện đến

110KV; Thi công san đắp nền móng, xử lý nền đất yếu, các công trình xây dựng cấp thoát nước; lắp đặt đường ống công nghệ và áp lực, điện lạnh;

- Xây dựng phát triển nhà, kinh doanh bất động sản;- Sửa chữa, thay thế, lắp đặt máy móc thiết bị, các loại kết cấu bê tông, kết cấu thép, các hệ thống kỹ thuật công trình (thang máy, điều hoà, thông gió, phòng cháy, cấp thoát nước);

- Sản xuất, kinh doanh vật liệu xây dựng (cát, đá, sỏi, gạch, ngói, xi măng, cấu kiện bê tông, bê tông thương phẩm và các loại vật liệu xây dựng khác dùng trong xây dựng, trang trí nội thất);

- Tư vấn đầu tư, thực hiện các dự án đầu tư xây dựng, lập dự án, tư vấn đấu thầu, tư vấn giám sát, quản lý dự án;

- Kinh doanh xuất nhập khẩu vật tư, máy móc thiết bị, phụ tùng, tư liệu sản xuất, tư liệu tiêu dùng, nguyên liệu sản xuất, dây chuyền công nghệ, máy móc, thiết bị tự động hoá, vật liệu xây dựng, phương tiện vận tải;

- Đại lý cho các hãng trong và ngoài nước kinh doanh các mặt hàng phục vụ cho sản xuất và tiêu dùng

- Dịch vụ quản lý bất động sản, tư vấn bất động sản.

Khảo sát hệ thống mạng tại Công ty Xây dựng số 2

1 Hệ thống mạng hiện tại :

- Hệ thống mạng sử dụng công nghệ chuyển mạch lạc hậu.

- Tính năng bảo mật và an toàn thông tin chưa cao.

- Hệ thống máy móc xuống cấp, chưa thiết lập hê thống sao lưu , khắc phục hệ thống mạng mỗi khi xảy ra sự cố.

- Các phòng ban hoạt động không riêng lẻ vì thế khiến cho việc quản trị kết hợp an ninh mạng gặp khó khăn.

CÔNG NGHỆ MẠNG RIÊNG ẢO (VPN)

Tổng quan về mạng riêng ảo (VPN)

Mạng riêng ảo, có tên tiếng Anh là Virtual Private Network, viết tắt là

VPN Có nhiều định nghĩa khác nhau về Mạng riêng ảo

Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (như

Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập Nói cách khác, VPN được định nghĩa là liên kết của khách hàng được triển khai trên một hạ tầng công cộng với các chính sách như là trong một mạng riêng Hạ tầng công cộng này có thể là mạng IP,

Frame Relay, ATM hay Internet

Theo tài liệu của IBM VPN là sự mở rộng một mạng Intranet riêng của một doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn, thực chất là qua một đường hầm riêng VPN truyền thông tin một cách an toàn qua Internet kết nối người dùng từ xa, nhánh văn phòng và các đối tác thương mại thành một mạng Công ty mở rộng.

Theo cách nói đơn giản nhất thì VPN là công nghệ cho phép kết nối các thành phần của một mạng riêng (private network) thông qua hạ tầng mạng công cộng (Internet) VPN hoạt động dựa trên kỹ thuật tunneling : gói tin trước khi được chuyển đi trên VPN sẽ được mã hóa và được đặt bên trong một gói tin có thể chuyển đi được trên mạng công cộng Gói tin được truyền đi đến đầu bên kia của kết nối VPN Tại điểm đến bên kia của kết nối VPN, gói tin đã bị mã hóa sẽ được “lấy ra” từ trong gói tin của mạng công cộng và được giải mã

Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau:

 Các nhân viên liên lạc từ xa, người dùng di động, người dùng từ xa của một Công ty có thể truy cập vào tài nguyên mạng của công ty họ bất cứ lúc nào

 Có khả năng kết nối từ xa giữa các nhánh văn phòng

 Kiểm soát được truy cập của các khách hàng, nhà cung cấp là đối tác quan trọng đối với giao dịch thương mại của công ty

Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển và phân thành ba loại như sau::

 VPN truy cập từ xa (Remote Acess VPN)

 VPN cục bộ (Intranet VPN)

 VPN mở rộng (Extranet VPN)

2.1 VPN truy cập từ xa (Remote Acess VPN) :

VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa cho người sử dụng Ở bất kì thời điểm nào các nhân viên hay chi nhánh văn phòng di động hay cố định đều có thể sử dụng các phần mềm VPN để truy nhập vào mạng của công ty thông qua gateway hoặc bộ tập trung VPN (có chức năng như một Server) VPN truy cập từ xa mở rộng mạng công ty tới những người sử dụng thông qua hạ tầng chia sẻ chung trong khi các chính sách mạng của công ty vẫn được duy trì Chúng được dung để cung cấp các truy nhập an toàn nhưng vẫn bảo đảm cho những nhân viên di động, những chi nhánh, những đối tác hay chính những bạn hàng của công ty VPN truy cập từ xa được triển khai thông qua các cơ sở hạ tầng mạng bằng cách sử dụng công nghệ ISDN, công nghệ quay số, IP động, DSL, công nghệ cáp hay công nghệ không dây.

Dù bằng phương thức nào đi chăng nữa thì trên các máy PC cần phải khởi tạo các kết nối bảo mật (Thông qua các đường hầm được tạo sẵn)

Một chuyển mạch truy cập từ xa thiết lập khi chưa có sự mở rộng của

VPN bao gồm các thành phần chính như sau:

+ Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực và cấp quyền cho các yêu cầu truy cập từ xa

+ Kết nối Dialup tới mạng trung tâm

+ Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ trợ người dùng từ xa

Hình 1.1 : Thiết lập truy cập từ xa không có VPN

Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó để kết nối tới mạng của công ty qua Internet Thiết lập VPN truy cập từ xa tương ứng được mô tả như trong hình 1.2

Hình 1.2 : Thiết lập VPN truy cập từ xa

2.2 VPN cục bộ (Intranet VPN) :

Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở mạng trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất lượng dịch vụ cũng như các dịch vụ đa phương tiện (Multimedia) Mục đích của Intranet VPN là giảm thời gian cũng như chi phí lắp đặt, hỗ trợ các đường dây thuê riêng theo các cách kết nối WAN truyền thống Intranet

VPN thường được dùng để kết nối các nhánh Văn phòng từ xa của một tổ chức với Intranet trung tâm của tổ chức đó Trong cách thiết lập

Intranet không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới

Intranet của tổ chức qua các Router trung gian Thiết lập này được mô tả như trong hình 1.3

Hình 1.3 : Thiết lập Intranet sử dụng WAN

Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một Khu trung tâm từ xa để tới Intranet của tổ chức Hơn nữa việc thực thi, duy trì và quản trị Intranet xương sống có thể là một việc cực kỳ tốn kém.

Chẳng hạn, chi phí của Intranet toàn cầu có thể lên tới hàng ngàn USD/1 tháng Phạm vi Intranet càng lớn thì chi phí càng cao

Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế bằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việc thực thi toàn bộ Intranet Một giải pháp Intranet VPN điển hình được mô tả như trong hình 1.4

Hình 1.4 : Thiết lập VPN dựa trên VPN Ưu điểm của việc thiếp lập dựa trên VPN :

+ Loại trừ được các Router từ đường WAN xương sống

+ Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp các liên kết ngang hàng mới

+ Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn Cùng với việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi phí của hoạt động Intranet

Tuy nhiên cũng có một số nhược điểm:

+ Vì dữ liệu được định đường hầm qua một mạng chia sẽ công cộng nên các tấn công mạng như: từ chối dịch vụ vẫn đe doạ nghiêm trọng đến an ninh mạng

+ Khả năng mất các gói dữ liệu khi truyền vẫn còn cao.

+ Đường truyền dữ liệu đầu trên như multimedia, độ trể truyền tin vẫn rất cao và thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của

+ Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và QoS có thể không được đảm bảo

2.3 VPN mở rộng (Extranet VPN) :

Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử dụng vào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng các đường truyền thuê bao Giải pháp này cũng cung cấp các chính sách như trong mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định Tương tự như Intranet VPN, Extranet VPN cũng có kiến trúc tương tự, tuy nhiên điểm khác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằng nhưng điều quan trọng là khả năng cộng tác với các đối tác, khách hàng hay các nhà cung cấp sản phẩm Việc để cho được rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiên việc này rất khó thực hiện với công nghệ WAN truyền thống Extranet

VPN thường sử dụng các kết nối dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống

Không giống như Intranet VPN và Remote Access VPN Extranet

VPN không hẳn có nghĩa là “Xa hơn ngoài phạm vi” Thực tế, Extranet VPN cho phép kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch thương mại mở rộng như: đối tác, khách hàng, nhà cung cấp

Theo cách thức truyền thống, kết nối Extranet được thể hiện như sau :

Hình 1.5 : Mạng Extranet truyền thống

Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong

Các giao thức trong VPN

PPP là một giao thức đóng gói làm cho khả năng vận chuyển lưu lượng của mạng qua một loạt các điểm liên kết được thực hiện một cách dễ dàng Ngoài việc đóng gói các dữ liệu theo giao thức IP, không theo giao thức

IP và việc truyền nó qua một loạt các điểm liên kết, PPP cũng chịu trách nhiệm về các chức năng sau:

- Chỉ định và quản trị các gói IP thành các gói không IP

- Cấu hình và kiểm tra các liên kết đã thiết lập

- Đồng bộ và không đồng bộ việc đóng gói các gói dữ liệu

- Phát hiện lỗi trong khi truyền dữ liệu

- Thoả thuận các tham số không bắt buộc như nén dữ liệu và đánh địa chỉ

PPP thực hiện các chức năng này theo ba chuẩn:

- Chuẩn đóng gói dữ liệu qua liên kết điểm - điểm

- Chuẩn thiết lập, cấu hình và kiểm tra kết nối điểm - điểm với sự hỗ trợ của giao thức kiểm soát liên kết(Link Control Protocol – LCP)

- Chuẩn thiết lập, cấu hình các giao thức mạng khác nhau và phát hiện lỗi trong khi truyền theo dạng của giao thức kiểm soát mạng

(Network Control Protocol - NCP) thích hợp

Hình 1.7 : Định dạng của một Frame PPP điển hình

+ Flag: Trường này xác định điểm bắt đầu và kết thúc của một khung Độ dài của trường này là 1 byte

+ Address: Vì nó sử dụng các liên kết điểm - điểm PPP không sử dụng các địa chỉ của các Node riêng lẻ Vì thế, các trường này chứa chuỗi nhị phân là

11111111, đây là một địa chỉ Broadcast chuẩn Độ dài của trường này là 1 byte

+ Control: Trường này chứa chuỗi nhị phân là 00000011 Nó biểu thị rằng, Frame đang mang dữ liệu người dùng là một Frame không tuần tự Độ dài của trường này là 1 byte.

+ Protocol: Trường này xác định giao thức mà dữ liệu được đóng gói trong trường dữ liệu của Frame Giao thức trong trường này được chỉ rõ theo số đã gán trong RFC 3232 Độ dài của trường này là 2 byte Tuy nhiên, trường này có thể thương lượng để là 1 byte nếu cả hai đồng ý

+ Data: Trường này chứa thông tin đang được trao đổi giữa Node nguồn và đích Độ dài của trường này có thay đổi, độ dài tối đa có thể lên đến

+ FCS: Trường này chứa chuỗi kiểm tra giúp người nhận kiểm tra tính chính xác của thông tin đã nhận trong trường dữ liệu Thông thường, độ dài của trường này là 2 byte Tuy nhiên, việc thực thi PPP có thể thương lượng một FCS 4 byte để cải thiện việc phát hiện lỗi.

2 Giao thức đường hầm điểm (PPTP) :

PPTP là giải pháp cho phép truyền dữ liệu một cách an toàn giữa một

Client từ xa và một Server của Doanh nghiệp bằng việc tạo ra một VPN qua một mạng dựa trên IP PPTP không chỉ có khả năng bảo mật các giao dịch qua các mạng công cộng dựa trên TCP/IP mà còn cả các giao dịch qua mạng

PPTP bao gồm ba tiến trình để truyền thông an toàn dựa trên PPTP qua phương tiện không an toàn Ba tiến trình đó là:

- Thiết lập kết nối dựa trên PPP

- Tạo đường hầm PPTP và truyền dữ liệu

PPTP đưa ra nhiều dịch vụ bảo mật xây dựng sẵn khác nhau cho PPTP

Server và Client Các dịch vụ bảo mật này bao gồm: Mã hóa và nén dữ liệu, xác thực, kiểm soát truy cập và lọc gói tin Hơn nữa các cơ chế bảo mật được đề cập ở trên, PPTP có thể được dùng chung với Firewall và

2.2.1 Mã hoá và nén dữ liệu PPTP :

PPTP không cung cấp một cơ chế mã hoá để bảo mật dữ liệu Thay vào đó, nó sử dụng dịch vụ mã hoá được đề xuất bởi PPP PPP lần lượt sử dụng mã hoá Microsoft Point–to-Point, nó dựa trên phương pháp mã hoá chia sẻ bí mật.

2.2.2 Xác thực dữ liệu PPTP :

PPTP hỗ trợ các cơ chế xác thực của Microsoft sau đây:

2.2.3 Giao thức xác thực có thăm dò trước của Microsoft(MS-CHAP) :

MS-CHAP là phiên bản thương mại của Microsoft và được dùng cho xác thực dựa trên PPP Vì sự tương đồng cao với CHAP, các chức năng của

MS-CHAP khá giống với CHAP Điểm khác nhau chính giữa chúng là trong khi CHAP dựa trên RSA và thuật toán MD5 thì MS-CHAP dựa trên RSA

RCA và DES Mục đích là MS-CHAP được phát triển chỉ cho các sản phẩm

Microsoft, nó không được hỗ trợ bởi các nền khác

2.2.4 Giao thức xác thực mật khẩu(PAP) :

Là giao thức đơn giản và là giao thức xác thực đường quay số thông dụng nhất Nó cũng được dùng để xác thực các kết nối dựa trên

PPP Tuy nhiên nó gửi ID và mật khẩu của người dùng qua liên kết mà không mã hoá Và như vậy, nó không đưa ra được sự bảo vệ từ việc phát lại hay thử lặp và các tấn công lỗi Một lỗ hỗng của PAP khác là các thực thể truyền thông cuối chỉ được xác thực một lần khi khởi tạo kết nối Vì vậy, nếu kẻ tấn công vượt qua được một lần thì không còn phải lo lắng về vấn đề xác thực trong tương lai nữa! Vì lý do này, PAP được xem như là một giao thức xác thực ít phức tạp nhất và không phải là cơ chế xác thực được ưa thích trong VPN

2.3 Các tính năng mà PPTP đáp ứng :

- Tạo đường hầm đa giao thức

- Khả năng sử dụng các địa chỉ IP không đăng ký một cách đồng bộ

L2F là một giao thức có khả năng bảo mật các giao dịch, cung cấp truy cập qua cơ sở hạ tầng của Internet và các mạng công cộng trung gian khác, hỗ trợ nhiều công nghệ mạng như ATM, FDDI, IPX, Net-BEUI, và Frame Relay.

L2F cung cấp các dịch vụ: Mã hoá dữ liệu và xác thực

L2F sử dụng MPPE cho các chức năng mã hoá cơ bản Tuy nhiên nó không an toàn với các kỹ thuật Hacking tiên tiến ngày nay Và nó cũng phải sử dụng mã hoá dựa trên IPSEC để đảm bảo dữ liệu được giao dịch bí mật.

IPSec sử dụng hai giao thức cho chức năng mã hoá: đóng gói tải bảo mật(ESP) và xác thực tiêu đề (AH) Thêm vào đó, để làm tăng tính bảo mật của khoá trong pha trao đổi khoá, IPSec cũng sử dụng một giao thức bên thứ ba đó là trao đổi khoá Internet(IKE)

Xác thực L2F được hoàn thành tại hai mức Mức thứ nhất của xác thực dựa trên L2F xuất hiện khi một người dùng từ xa sử dụng đường quay số tới POP của ISP Tại đây, quá trình thiết lập đường hầm được bắt đầu chỉ sau khi người dùng được xác thực thành công Mức thứ hai của xác thực được thực hiện bởi máy chủ Gateway của mạng, nó không thiết lập một đường hầm giữa hai điểm đầu cuối cho đến khi nó xác thực người dùng từ xa

Giống như PPTP, L2F cũng sử dụng các dịch vụ bảo mật được hỗ trợ bởi PPP cho xác thực Kết quả là L2F sử dụng PAP để xác thực một Client từ xa khi một Gateway L2F nhận một yêu cầu kết nối L2F cũng sử dụng lược đồ xác thực như sau để nâng cao tính bảo mật dữ liệu:

- Giao thức xác thực có thăm dò trước(CHAP)

- Giao thực xác thực mở rộng (EAP)

4 Giao thức đường hầm lớp 2 (L2TP) :

L2TP là một sự kết hợp của các giao thức VPN trước đây như

PPTP và L2F Thực tế, nó là sự kết hợp những gì tốt nhất của PPTP và L2F

TRIỂN KHAI MÔ HÌNH MẠNG RIÊNG ẢO

Xây dựng hế thống mạng BackBone

- Hệ thống mạng gồm hai chi nhánh : Chi nhánh Hà Nội, Chi nhánh Hồ Chí

Minh Hệ thống mạng bên trong mỗi chi nhánh gồm có:

+ 1 Router phụ trách thiết lập VPN và quản lý hệ thống mạng.

+ 1 Switch đa nhiệm phụ trách chia Vlan và định tuyến tới các phòng ban.

+ Hệ thống Swith đơn nhiệm trong mỗi phòng ban phụ trách chia nhỏ Vlan cho mỗi thiết bị đầu cuối kết nối vào mạng

+ Hệ thống thiết bị đầu cuối : máy tính bàn, máy tính xách tay, máy in,…

+ TFTP Server Phụ trách sao lưu cấu hình hệ thống mạng tiện cho việc khôi phục mỗi khi gặp sự cố.

+ DHCP Server cấp phát địa chỉ IP cho các thiết bị đầu cuối.

+ DNS Server phân giải địa chỉ tên miền.

Hình 1.30.Mô hình mạng VPN

Triển khai hệ thống mạng

1 Cấu hình trên Router HN :

1.1 Cấu hình các cổng vật lý:

RouterHN(config)# interface interface fastethernet0/1

RouterHN(config-if)# ip address 172.16.1.1 255.255.255.0

RouterHN(config-if)# interface interface fastethernet0/0

RouterHN(config-if)# ip address 192.168.12.1 255.255.255.0

RouterHN(config-if)# clock rate 64000

RouterHN(config-if)# no shutdown

RouterHN(config-router)# no auto-summary

RouterHN(config)# crypto isakmp policy 10

RouterHN(config-isakmp)# authentication pre-share

RouterHN(config-isakmp)# encryption aes 256

RouterHN(config-isakmp)# hash sha

1.3 Cấu hình Pre-Shared Keys:

Router HN(config)# crypto isakmp key cisco address 192.168.23.3

1.4 Cấu hình IPSec Transform Set and Lifetimes, Crypto Maps:

RouterHN(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac ah- sha-hmac

RouterHN(cfg-crypto-trans)# exit

RouterHN(config)# crypto ipsec security-association lifetime seconds 1800

RouterHN(config)# access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.3.0

RouterHN(config-crypto-map)# match address 101

RouterHN(config-crypto-map)# set peer 192.168.23.3

RouterHN(config-crypto-map)# set pfs group5

RouterHN(config-crypto-map)# set transform-set 50

RouterHN(config-crypto-map)# set security-association lifetime seconds 900

2 Cấu hình trên Router VDC :

2.1 Cấu hình các cổng vật lý:

VDC(config-if)# ip address 192.168.12.2 255.255.255.0

VDC(config-if)# no shutdown

VDC(config-if)# interface serial0/1

VDC(config-if)# ip address 192.168.23.2 255.255.255.0

VDC(config-if)# clock rate 64000

VDC(config-if)# no shutdown

VDC(config-router)# no auto-summary

3 Cấu hình trên Router HCM :

3.1 Cấu hình các cổng vật lý :

RouterHCM(config)# interface interface fastethernet0/0

RouterHCM(config-if)# ip address 172.16.3.1 255.255.255.0

RouterHCM(config-if)# no shutdown

RouterHCM(config-if)# interface serial0/0

RouterHCM(config-if)# ip address 192.168.23.3 255.255.255.0

RouterHCM (config-if)# clock rate 64000

RouterHCM(config-if)# no shutdown

RouterHCM(config-router)# no auto-summary

RouterHCM(config)# crypto isakmp policy 10

RouterHCM(config-isakmp)# authentication pre-share

RouterHCM(config-isakmp)# encryption aes 256

RouterHCM(config-isakmp)# hash sha

3.3 Cấu hình Pre-Shared Keys:

Router HCM(config)# crypto isakmp key cisco address 192.168.12.1

3.4 Cấu hình IPSec Transform Set and Lifetimes, Crypto Maps:

RouterHN(config)# crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac ah- sha-hmac

RouterHN(cfg-crypto-trans)# exit

RouterHN(config)# crypto ipsec security-association lifetime seconds 1800

RouterHN(config)# access-list 101 permit ip 172.16.3.0 0.0.0.255 172.16.1.0

RouterHN(config)# crypto map MYMAP 10 ipsec-isakmp

RouterHN(config-crypto-map)# match address 101

RouterHN(config-crypto-map)# set peer 192.168.23.3

RouterHN(config-crypto-map)# set pfs group5

RouterHN(config-crypto-map)# set transform-set 50

RouterHN(config-crypto-map)# set security-association lifetime seconds 900

Tiến hành kiểm tra thông mạng và nghiệm thu

1 Thông số kĩ thuật : a Trên RouterHN :

! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption

! crypto isakmp policy 10 encr aes 256 authentication pre-share group 5 lifetime 3600

! crypto isakmp key cisco address 192.168.23.3

! crypto ipsec security-association lifetime seconds 1800

! crypto ipsec transform-set 50 esp-aes 256 esp-sha-hmac

! crypto map MYMAP 10 ipsec-isakmp set peer 192.168.23.3 set pfs group5 set security-association lifetime seconds 900 set transform-set 50 match address 101

! interface FastEthernet0/0 ip address 192.168.12.1 255.255.255.0 duplex auto crypto map MYMAP

! interface FastEthernet0/1 ip address 172.16.1.1 255.255.255.0 duplex auto speed auto

! interface Serial0/0/0 no ip address shutdown

! interface Serial0/0/1 no ip address shutdown

! interface Vlan1 no ip address shutdown

! router eigrp 1 network 172.16.0.0 network 192.168.12.0 no auto-summary

! line con 0 logging synchronous line vty 0 4 login

End b Thông số trên VDC:

! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption

! interface FastEthernet0/0 ip address 192.168.12.2 255.255.255.0 duplex auto speed auto

! interface FastEthernet0/1 no ip address duplex auto speed auto shutdown

! interface Serial0/0/0 no ip address shutdown

! interface Serial0/0/1 ip address 192.168.23.2 255.255.255.0 clock rate 64000

! interface Vlan1 no ip address shutdown

! router eigrp 1 network 192.168.12.0 network 192.168.23.0 no auto-summary

! line con 0 logging synchronous line vty 0 4 login

! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption

! crypto isakmp policy 10 encr aes 256 authentication pre-share group 5 lifetime 3600

! crypto isakmp key cisco address 192.168.12.1

! crypto ipsec security-association lifetime seconds 1800

! crypto ipsec transform-set 50 esp-aes esp-sha-hmac

! crypto map MYMAP 10 ipsec-isakmp set peer 192.168.12.1 set pfs group5 set security-association lifetime seconds 900 set transform-set 50

! interface FastEthernet0/0 ip address 172.16.3.1 255.255.255.0 duplex auto speed auto

! interface FastEthernet0/1 no ip address duplex auto speed auto shutdown

! interface Serial0/0/0 no ip address shutdown

! interface Serial0/0/1 ip address 192.168.23.3 255.255.255.0 crypto map MYMAP

! interface Vlan1 no ip address shutdown

! line con 0 logging synchronous line vty 0 4 login

2 Các thông số mạng : a, Bảng định tuyến RouterHN :

Hình.1 31 Bảng định tuyến RouterHN b, Bảng CDP Neighbor :

Hình 1.32 Bảng CDP Neighbor c, Bảng IKE Policy:

Hình 1.32 Bảng IKE Policy d, Bảng IPSec SA :

Hình 1.33 Bảng IPSec SA e Bảng ISAKMP SA :

Ngày đăng: 09/08/2023, 09:02

w