Tổng quan về VPN

Tổng quan về VPN

T NG QUAN V VPN Ổ Ề

T NG QUAN V VPN Ổ Ề

Trong th i đ i ngày nay, Internet đã phát tri n m nh v m t mô hình cho đ n côngờ ạ ể ạ ề ặ ế ngh , đáp ng các nhu c u c a ngệ ứ ầ ủ ườ ử ụi s d ng Internet đã được thi t k đ k t n iế ế ể ế ố nhi u m ng khác nhau và cho phép thông tin chuy n đ n ngề ạ ể ế ườ ử ụi s d ng m t cách tộ ự

do và nhanh chóng mà không xem xét đ n máy và m ng mà ngế ạ ườ ử ụi s d ng đó đang dùng Đ làm để ược đi u này ngề ười ta s d ng m t máy tính đ c bi t g i là router đử ụ ộ ặ ệ ọ ể

k t n i các LAN và WAN v i nhau Các máy tính k t n i vào Internet thông qua nhàế ố ớ ế ố cung c p d ch v (ISP-Internet Service Provider), c n m t giao th c chung là TCP/IP.ấ ị ụ ầ ộ ứ

Đi u mà k thu t còn ti p t c ph i gi i quy t là năng l c truy n thông c a các m ngề ỹ ậ ế ụ ả ả ế ự ề ủ ạ

vi n thông công c ng V i Internet, nh ng d ch v nh giáo d c t xa, mua hàng tr cễ ộ ớ ữ ị ụ ư ụ ừ ự tuy n, t v n y t , và r t nhi u đi u khác đã tr thành hi n th c.Tuy nhiên, do Internetế ư ấ ế ấ ề ề ở ệ ự

có ph m vi toàn c u và không m t t ch c, chính ph c th nào qu n lý nên r t khóạ ầ ộ ổ ứ ủ ụ ể ả ấ khăn trong vi c b o m t và an toàn d li u cũng nh trong vi c qu n lý các d ch v ệ ả ậ ữ ệ ư ệ ả ị ụ

T đó ngừ ười ta đã đ a ra m t mô hình m ng m i nh m tho mãn nh ng yêu c u trênư ộ ạ ớ ằ ả ữ ầ

mà v n có th t n d ng l i nh ng c s h t ng hi n có c a Internet, đó chính là môẫ ể ậ ụ ạ ữ ơ ở ạ ầ ệ ủ hình m ng riêng o (Virtual Private Network - VPN) V i mô hình m i này, ngạ ả ớ ớ ười ta không ph i đ u t thêm nhi u v c s h t ng mà các tính năng nh b o m t, đ tinả ầ ư ề ề ơ ở ạ ầ ư ả ậ ộ

c y v n đ m b o, đ ng th i có th qu n lý riêng đậ ẫ ả ả ồ ờ ể ả ượ ực s ho t đ ng c a m ng này.ạ ộ ủ ạ VPN cho phép ngườ ử ụi s d ng làm vi c t i nhà, trên đệ ạ ường đi hay các văn phòng chi nhánh có th k t n i an toàn đ n máy ch c a t ch c mình b ng c s h t ng để ế ố ế ủ ủ ổ ứ ằ ơ ở ạ ầ ượ c cung c p b i m ng công c ng.[5] Nó có th đ m b o an toàn thông tin gi a các đ i lý,ấ ở ạ ộ ể ả ả ữ ạ

người cung c p, và các đ i tác kinh doanh v i nhau trong môi trấ ố ớ ường truy n thôngề

r ng l n Trong nhi u trộ ớ ề ường h p VPN cũng gi ng nh WAN (Wide Area Network),ợ ố ư tuy nhiên đ c tính quy t đ nh c a VPN là chúng có th dùng m ng công c ng nhặ ế ị ủ ể ạ ộ ư Internet mà đ m b o tính riêng t và ti t ki m h n nhi u.ả ả ư ế ệ ơ ề

1 Đ nh Nghĩa VPN: ị

- VPN được hi u đ n gi n nh là s m r ng c a m t m ng riêng (private network)ể ơ ả ư ự ở ộ ủ ộ ạ thông qua các m ng công c ng V căn b n, m i VPN là m t m ng riêng r s d ngạ ộ ề ả ỗ ộ ạ ẽ ử ụ

m t m ng chung (thộ ạ ường là internet) đ k t n i cùng v i các site (các m ng riêng l )ể ế ố ớ ạ ẻ hay nhi u ngề ườ ử ụi s d ng t xa Thay cho vi c s d ng b i m t k t n i th c, chuyênừ ệ ử ụ ở ộ ế ố ự

d ng nh đụ ư ường leased line, m i VPN s d ng các k t n i o đỗ ử ụ ế ố ả ược d n đẫ ường qua Internet t m ng riêng c a các công ty t i các site hay các nhân viên t xa Đ có thừ ạ ủ ớ ừ ể ể

g i và nh n d li u thông qua m ng công c ng mà v n b o đ m tính an tòan và b oử ậ ữ ệ ạ ộ ẫ ả ả ả

m t VPN cung c p các c ch mã hóa d li u trên đậ ấ ơ ế ữ ệ ường truy n t o ra m t đề ạ ộ ườ ng

ng b o m t gi a n i nh n và n i g i (Tunnel) gi ng nh m t k t n i point-to-point

trên m ng riêng Đ có th t o ra m t đạ ể ể ạ ộ ường ng b o m t đó, d li u ph i đố ả ậ ữ ệ ả ược mã hóa hay che gi u đi ch cung c p ph n đ u gói d li u (header) là thông tin v đấ ỉ ấ ầ ầ ữ ệ ề ườ ng

đi cho phép nó có th đi đ n đích thông qua m ng công c ng m t cách nhanh chóng.ể ế ạ ộ ộ

D l êu đữ ị ược mã hóa m t cách c n th n do đó n u các packet b b t l i trên độ ẩ ậ ế ị ắ ạ ườ ng truy n công c ng cũng không th đ c đề ộ ể ọ ược n i dung vì không có khóa đ gi i mã.ộ ể ả Liên k t v i d li u đế ớ ữ ệ ược mã hóa và đóng gói được g i là k t n i VPN Các đọ ế ố ườ ng

k t n i VPN thế ố ường được g i là đọ ường ng VPN (VPN Tunnel).ố

2 L i ích c a VPN: ợ ủ

VPN cung c p nhi u đ c tính h n so v i nh ng m ng truy n th ng và nh ng m ngấ ề ặ ơ ớ ữ ạ ề ố ữ ạ

m ng leased-line.Nh ng l i ích đ u tiên bao g m:ạ ữ ợ ầ ồ

• Chi phí th p h n nh ng m ng riêng: VPN có th gi m chi phí khi truy n t i 20-40%ấ ơ ữ ạ ể ả ề ớ

so v i nh ng m ng thu c m ng leased-line và gi m vi c chi phí truy c p t xa t 60-ớ ữ ạ ộ ạ ả ệ ậ ừ ừ 80%

• Tính linh ho t cho kh năng kinh t trên Internet: VPN v n đã có tính linh ho t và cóạ ả ế ố ạ

th leo thang nh ng ki n trúc m ng h n là nh ng m ng c đi n, b ng cách đó nó cóể ữ ế ạ ơ ữ ạ ổ ể ằ

th ho t đ ng kinh doanh nhanh chóng và chi phí m t cách hi u qu cho vi c k t n iể ạ ộ ộ ệ ả ệ ế ố

m r ng Theo cách này VPN có th d dàng k t n i ho c ng t k t n i t xa c aở ộ ể ễ ế ố ặ ắ ế ố ừ ủ

nh ng văn phòng, nh ng v trí ngoài qu c t ,nh ng ngữ ữ ị ố ế ữ ười truy n thông, nh ng ngề ữ ườ i dùng đi n tho i di đ ng, nh ng ngệ ạ ộ ữ ười ho t đ ng kinh doanh bên ngoài nh nh ng yêuạ ộ ư ữ

c u kinh doanh đã đòi h i.ầ ỏ

• Đ n gi n hóa nh ng gánh n ng.ơ ả ữ ặ

• Nh ng c u trúc m ng ng, vì th gi m vi c qu n lý nh ng gánh n ng: S d ng m tữ ấ ạ ố ế ả ệ ả ữ ặ ử ụ ộ giao th c Internet backbone lo i tr nh ng PVC tĩnh h p v i k t n i hứ ạ ừ ữ ợ ớ ế ố ướng nh ngữ giao th c nh là Frame Rely và ATM.ứ ư

• Tăng tình b o m t: các d li u quan tr ng s đả ậ ữ ệ ọ ẽ ược che gi u đ i v i nh ng ngấ ố ớ ữ ườ i không có quy n truy c p và cho phép truy c p đ i v i nh ng ngề ậ ậ ố ớ ữ ười dùng có quy nề truy c p.ậ

• H tr các giao th c m n thông d ng nh t hi n nay nh TCP/IPỗ ợ ứ ạ ụ ấ ệ ư

• B o m t đ a ch IP: b i vì thông tin đả ậ ị ỉ ở ược g i đi trên VPN đã đử ược mã hóa do đó các

đi ch bên trong m ng riêng đạ ỉ ạ ược che gi u và ch s d ng các đ a ch bên ngoàiấ ỉ ử ụ ị ỉ

Internet

3 Các thành ph n c n thi t đ t o k t n i VPN: ầ ầ ế ể ạ ế ố

- User Authentication: cung c p c ch ch ng th c ngấ ơ ế ứ ự ười dùng, ch cho phép ngỉ ườ i dùng h p l k t n i và truy c p h th ng VPN ợ ệ ế ố ậ ệ ố

- Address Management: cung c p đ a ch IP h p l cho ngấ ị ỉ ợ ệ ười dùng sau khi gia nh pậ

h th ng VPN đ có th truy c p tài nguyên trên m ng n i b ệ ố ể ể ậ ạ ộ ộ

- Data Encryption: cung c p gi i pháp mã hoá d li u trong quá trình truy n nh mấ ả ữ ệ ề ằ

b o đ m tính riêng t và toàn v n d li u ả ả ư ẹ ữ ệ

- Key Management: cung c p gi i pháp qu n lý các khoá dùng cho quá trình mã hoá vàấ ả ả

gi i mã d li u.ả ữ ệ

4 Các thành ph n chính t o nên VPN Cisco: ầ ạ

a Cisco VPN Router: s d ng ph n m m Cisco IOS, IPSec h tr cho vi c b o m tử ụ ầ ề ỗ ợ ệ ả ậ trong VPN VPN t I u hóa các router nh là đòn b y đang t n t I s đ u t c aố ư ư ẩ ồ ạ ự ầ ư ủ Cisco Hi u qu nh t trong các m ng WAN h n h p ệ ả ấ ạ ỗ ợ

b Cisco Secure PIX FIREWALL: đ a ra s l a ch n khác c a c ng k t n I VPN khiư ự ự ọ ủ ổ ế ố

b o m t nhóm “riêng t ” trong VPN ả ậ ư

c Cisco VPN Concentrator series: Đ a ra nh ng tính năng m nh trong vi c đi u khi nư ữ ạ ệ ề ể truy c p t xa và tậ ừ ương thích v I d ng site-to-site VPN Có giao di n qu n lý d sớ ạ ệ ả ễ ử

d ng và m t VPN client ụ ộ

d Cisco Secure VPN Client : VPN client cho phép b o m t vi c truy c p t xa t Iả ậ ệ ậ ừ ớ router Cisco và Pix Firewalls và nó là m t chộ ương trình ch y trên h đi u hànhạ ệ ề

Window

e Cisco Secure Intrusion Detection System(CSIDS) và Cisco Secure Scanner thườ ng

đượ ử ục s d ng đ giám sát và ki m tra các v n đ b o m t trong VPN ể ể ấ ề ả ậ

f Cisco Secure Policy Manager and Cisco Works 2000 cung c p vi c qu n lý h th ngấ ệ ả ệ ố VPN r ng l n.ộ ớ

1 Các giao th c VPN: ứ

- Các giao th c đ t o nên c ch đứ ể ạ ơ ế ường ng b o m t cho VPN là L2TP, Cisco GREố ả ậ

và IPSec

1.1 L2TP:

- Trước khi xu t hi n chu n L2TP (tháng 8 năm 1999), Cisco s d ng Layer 2ấ ệ ẩ ử ụ

Forwarding (L2F) nh là giao th c chu n đ t o k t n i VPN L2TP ra đ i sau v iư ứ ẩ ể ạ ế ố ờ ớ

nh ng tính năng đữ ược tích h p t L2F.ợ ừ

- L2TP là d ng k t h p c a Cisco L2F và Mircosoft Point-to-Point Tunneling Protocolạ ế ợ ủ (PPTP) Microsoft h tr chu n PPTP và L2TP trong các phiên b n WindowNT vàỗ ợ ẩ ả 2000

- L2TP đượ ử ục s d ng đ t o k t n i đ c l p, đa giao th c cho m ng riêng o quay sể ạ ế ố ộ ậ ứ ạ ả ố (Virtual Private Dail-up Network) L2TP cho phép người dùng có th k t n i thông quaể ế ố các chính sách b o m t c a công ty (security policies) đ t o VPN hay VPDN nh làả ậ ủ ể ạ ư

s m r ng c a m ng n i b công ty.ự ở ộ ủ ạ ộ ộ

- L2TP không cung c p mã hóa.ấ

- L2TP là s k t h p c a PPP(giao th c Point-to-Point) v i giao th c L2F(Layer 2ự ế ợ ủ ứ ớ ứ Forwarding) c a Cisco do đó r t hi u qu trong k t n i m ng dial, ADSL, và cácủ ấ ệ ả ế ố ạ

m ng truy c p t xa khác Giao th c m r ng này s d ng PPP đ cho phép truy c pạ ậ ừ ứ ở ộ ử ụ ể ậ VPN b i nh ng ngở ữ ườ ử ụI s d ng t xa.ừ

1.2 GRE:

- Đây là đa giao th c truy n thông đóng gói IP, CLNP và t t c cá gói d li u bên trongứ ề ấ ả ữ ệ

đường ng IP (IP tunnel)ố

- V i GRE Tunnel, Cisco router s đóng gói cho m i v trí m t giao th c đ c tr ng chớ ẽ ỗ ị ộ ứ ặ ư ỉ

đ nh trong gói IP header, t o m t đị ạ ộ ường k t n i o (virtual point-to-point) t i Ciscoế ố ả ớ router c n đ n Và khi gói d li u đ n đích IP header s đầ ế ữ ệ ế ẽ ược m raở

- B ng vi c k t n i nhi u m ng con v i các giao th c khác nhau trong môi trằ ệ ế ố ề ạ ớ ứ ường có

m t giao th c chính GRE tunneling cho phép các giao th c khác có th thu n l i trongộ ứ ứ ể ậ ợ

vi c đ nh tuy n cho gói IP.ệ ị ế

1.3 IPSec:

- IPSec là s l a ch n cho vi c b o m t trên VPN IPSec là m t khung bao g m b oự ự ọ ệ ả ậ ộ ồ ả

m t d li u (data confidentiality), tính tòan v n c a d li u (integrity) và vi c ch ngậ ữ ệ ẹ ủ ữ ệ ệ ứ

th c d li u.ự ữ ệ

- IPSec cung c p d ch v b o m t s d ng KDE cho phép th a thu n các giao th c vàấ ị ụ ả ậ ử ụ ỏ ậ ứ thu t tóan trên n n chính sách c c b (group policy) và sinh ra các khóa b o mã hóa vàậ ề ụ ộ ả

ch ng th c đứ ự ượ ử ục s d ng trong IPSec

1.4 Point to Point Tunneling Protocol (PPTP):

- Đượ ử ục s d ng tr n các máy client ch y HĐH Microsoft for NT4.0 và Windows 95+ ệ ạ Giao th c này đứ ựơ ử ục s d ng đ mã hóa d li u l u thông trên M ng LAN Gi ng nhể ữ ệ ư ạ ố ư giao th c NETBEUI và IPX trong m t packet g I lên Internet PPTP d a trên chu nứ ộ ử ự ẩ RSA RC4 và h tr b I s mã hóa 40-bit ho c 128-bit ỗ ợ ở ự ặ

- Nó không được phát tri n trên d ng k t n I LAN-to-LAN và gi i h n 255 k t n iể ạ ế ố ớ ạ ế ố

t I 1 server ch có m t đớ ỉ ộ ường h m VPN trên m t k t n i Nó không cung c p s mãầ ộ ế ố ấ ự hóa cho các công vi c l n nh ng nó d cài đ t và tri n khai và là m t gi I pháp truyệ ớ ư ễ ặ ể ộ ả

c p t xa ch có th làm đậ ừ ỉ ể ược trên m ng MS Giao th c này thì đạ ứ ược dùng t t trongố Window 2000 Layer 2 Tunneling Protocol thu c v IPSec.ộ ề

2 Thi t l p m t k t n i VPN: ế ậ ộ ế ố

- Máy VPN c n k t n i (VPN client) t o k t n t VPN (VPN Connection) t i máy chầ ế ố ạ ế ố ớ ủ cung c p d ch v VPN (VPN Server) thông qua k t n i Internet.ấ ị ụ ế ố

- Máy ch cung c p d ch v VPN tr l i k t n i t iủ ấ ị ụ ả ờ ế ố ớ

- Máy ch cung c p d ch v VPN ch ng th c cho k t n i và c p phép cho k t n iủ ấ ị ụ ứ ự ế ố ấ ế ố

- B t đ u trao đ i d li u gi a máy c n k t n i VPN và m ng công tyắ ầ ổ ữ ệ ữ ầ ế ố ạ

Qui Trình C u Hình 4 B ấ ướ c IPSec/VPN Trên Cisco IOS

Ta có th c u hình IPSec trên VPN qua 4 bể ấ ước sau đây:

1 Chu n b cho IKE và IPSecẩ ị

2 C u hình cho IKEấ

3 C u hình cho IPSecấ

•

• C u hình d ng mã hóa cho gói d li uấ ạ ữ ệ

Crypto ipsec transform-set

• C u hình th i gian t n t i c a gói d li u và các tùy ch n b o m t khácấ ờ ồ ạ ủ ữ ệ ọ ả ậ

Crypto ipsec sercurity-association lifetime

• T o crytoACLs b ng danh sách truy c p m r ng (Extended Access List)ạ ằ ậ ở ộ

Crypto map

• C u hình IPSec crypto mapsấ

• Áp d ng các crypto maps vào các c ng giao ti p (interfaces)ụ ổ ế

Crypto map map-name

4 Ki m tra l i vi c th c hi n IPSecể ạ ệ ự ệ

A C u hình cho mã hóa d li u: ấ ữ ệ

- Sau đây b n s c u hình Cisco IOS IPSec b ng cách s d ng chính sách b o m tạ ẽ ấ ằ ử ụ ả ậ IPSec (IPSec Security Policy) đ đ nh nghĩa các các chính sách b o m t IPSecể ị ả ậ

(transform set)

- Chính sách b o m t IPSec (transform set) là s k t h p các c u hình IPSec transformả ậ ự ế ợ ấ riêng r đẽ ược đ nh nghĩa và thi t k cho các chính sách b o m t l u thông trên m ng.ị ế ế ả ậ ư ạ Trong su t quá trình trao đ i ISAKMP IPSec SA n u x y ra l i trong quá trình IKEố ổ ế ả ỗ Phase 2 quick mode, thì hai bên s s d ng transform set riêng cho vi c b o v d li uẽ ử ụ ệ ả ệ ữ ệ riêng c a mình trên đủ ường truy n Transform set là s k t h p c a các nhân t sau:ề ự ế ợ ủ ố

• C ch cho vi c ch ng th c: chính sách AHơ ế ệ ứ ự

• C ch cho vi c mã hóa: chính sách ESPơ ế ệ

• Ch đ IPSec (phế ộ ương ti n truy n thông cùng v i đệ ề ớ ường h m b o m t)ầ ả ậ

- Transform set b ng v i vi c k t h p các AH transform, ESP transform và ch đằ ớ ệ ế ợ ế ộ IPSec (ho c c ch đặ ơ ế ường h m b o m t ho c ch đ phầ ả ậ ặ ế ộ ương ti n truy n thông).ệ ề Transform set gi i h n t m t cho t i hai ESP transform và m t AH transform Đ nhớ ạ ừ ộ ớ ộ ị nghĩa Transform set b ng câu l nh cryto ipsec transform-set ch đ gobal mode Vàằ ệ ở ế ộ

đ xoá các cài đ t transform set dùng l nh d ng no.ể ặ ệ ạ

- Cú pháp c a l nh và các tham s truy n vào nh sau:ủ ệ ố ề ư

crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]

- Các tham s c a l nh crypto ipsec transform-set:ố ủ ệ

- B n có th c u hình nhi u transform set và ch rõ m t hay nhi u transform set trongạ ể ấ ề ỉ ộ ề

m c crypto map Đ nh nghĩa các transform set trong m c crypto map đụ ị ụ ượ ử ụ c s d ng trong trao đ i IPSec SA đ b o v d li u đổ ể ả ệ ữ ệ ược đinh nghĩa b i ACL c a m c cryptoở ủ ụ map Trong su t quá trình trao đ i, c hai bên s tìm ki m các transform set gi ng nhauố ổ ả ẽ ế ố

c hai phiá Khi mà các transform set đ c tìm th y, nó s đ c s d ng đ b o v

d li u trên đữ ệ ường truy n nh là m t ph n c a các IPSec Sa c 2 phía.ề ư ộ ầ ủ ở ả

- Khi mà ISAKMP không đượ ử ục s d ng đ thi t l p các Sa, m t transform set riêng rể ế ậ ộ ẽ

s đẽ ượ ử ục s d ng Transform set đó s không đẽ ược trao đ i.ổ

- Thay đ i c u hình Transform set: ổ ấ

B1: Xóa các tranform set t crypto mapừ

B2: Xóa các transform set trong ch đ c u hình gobal modeế ộ ấ

B3: C u hình l i transform set v i nh ng thay đ iấ ạ ớ ữ ổ

B4: Gán transform set v i crypto mapớ

B5: Xóa c s d li u SA (SA database)ơ ở ữ ệ

B6: Theo dõi các trao đ i SA và ch c ch n nó h at đ ng t tổ ắ ắ ọ ộ ố

- C u hình cho vi c trao đ i transform: ấ ệ ổ

- Tranform set được trao đ i trong su t ch đ quick mode trong IKE Phase 2 là nh ngổ ố ế ộ ữ các transform set mà b n c u hình u tiên s d ng B n có th c u hình nhi uạ ấ ư ử ụ ạ ể ấ ề

transform set và có th ch ra m t hay nhi u transform set trong m c crypto map C uể ỉ ộ ề ụ ấ hình transform set t nh ng b o m t thông thừ ữ ả ậ ường nh nh t gi ng nh trong chínhỏ ấ ố ư sách b o m t c a b n Nh ng transform set đả ậ ủ ạ ữ ược đ nh nghĩa trong m c crypto mapị ụ

đượ ử ục s d ng trong trao đ i IPSec SA đ b o v d li u đổ ể ả ệ ữ ệ ược đ nh nghĩa b i ACLị ở

c a m c crypto map.ủ ụ

- Trong su t quá trình trao đ i m i bên s tìm ki m các transform set gi ng nhau cố ổ ỗ ẽ ế ố ở ả hai bên nh minh h a hình trên Các transform set c a Router A đư ọ ở ủ ược so sánh v iớ

m t transform set c a Router B và c ti p t c nh th Router A transform set 10, 20,ộ ủ ứ ế ụ ư ế

30 được so sánh v i transform set 40 c a Router B N u mà không tr v k t qu đúngớ ủ ế ả ể ế ả thì t t c các transform set c a Router A sau đó s đấ ả ủ ẽ ược so sánh v i transform set ti pớ ế theo c a Router B Cu i cùng transform set 30 c a Router A gi ng v i transform set 60ủ ố ủ ố ớ

c a Router B Khi mà transform set đủ ược tìm th y, nó s đấ ẽ ược ch n và áp d ng choọ ụ

vi c b o v đệ ả ệ ường truy n nh là m t ph n c a IPSec SA c a c hai phía IPSec ề ư ộ ầ ủ ủ ả ở

m i bên s ch p nh n m t transform duy nh t đỗ ẽ ấ ậ ộ ấ ược ch n cho m i SA.ọ ỗ

B C u hình th i gian t n t i c a IPSec trong quá trình trao đ i: ấ ờ ồ ạ ủ ổ

- IPSec SA được đ nh nghĩa là th i gian t n t i c a IPSec SA trị ờ ồ ạ ủ ước khi th c hi n l iự ệ ạ quá trình trao đ i ti p theo Cisco IOS h tr giá tr th i gian t n t i có th áp d ng lênổ ế ỗ ợ ị ờ ồ ạ ể ụ

t t c các crypto map Giá tr c a global lifetime có th đấ ả ị ủ ể ược ghi đè v i nh ng m cớ ữ ụ trong crypto map

- B n có th thay đ i giá tr th i gian t n t i c a IPSec SA b ng câu l nh ạ ể ổ ị ờ ồ ạ ủ ằ ệ crypto ipsec security-association lifetime ch đ global configuration mode Đ tr v giá trở ế ộ ể ả ề ị

m c đ nh ban đ u s d ng d ng câu l nh no C u trúc và các tham s c a câu l nhặ ị ầ ử ụ ạ ệ ấ ố ủ ệ

được đ nh nghĩa nh sau:ị ư

cryto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes}

- Cisco khuy n cáo b n nên s d ng các giá tr m c đ nh B n thân th i gian t n t iế ạ ử ụ ị ặ ị ả ờ ồ ạ

c a m i IPSec SA có th đủ ỗ ể ượ ấc c u hình b ng cách s d ng crypto map.ằ ử ụ

- Đ nh nghĩa Crypto Access Lists: ị

-Crypto access list (Crypto ACLs) đượ ử ục s d ng đ đ nh nghĩa nh ng l u thôngể ị ữ ư

(traffic) nào đượ ử ục s d ng hay kho s d ng IPSec.ử ụ

- Crypto ACLs th c hi n các ch c năng sau:ự ệ ứ

• Outbound: Ch n nh ng traffic đọ ữ ược b o v b i IPSec Nh ng traffic còn l i s đả ệ ở ữ ạ ẽ ượ c

g i d ng không mã hóa.ử ở ạ

• Inbound: N u có yêu c u thì inbound access list có th t o đ l c ra và l ai b nh ngế ầ ể ạ ể ọ ọ ỏ ữ traffic kho được b o v b i IPSec.ả ệ ở

C T o cryto ACLs b ng danh sách truy c p m r ng (Extends access list): ạ ằ ậ ở ộ

- Cryto ACLs được đ nh nghĩa đ b o v nh ng d li u đị ể ả ệ ữ ữ ệ ược truy n t i trên m ng.ề ả ạ Danh sach truy c p m r ng (Extended IP ACLs) s ch n nh ng lu ng d li u (IPậ ở ộ ẽ ọ ữ ồ ữ ệ traffic) đ mã hóa b ng cách s d ng các giao th c truy n t i (protocol), đ a ch IP (IPể ằ ử ụ ứ ề ả ị ỉ address), m ng (network), m ng con (subnet) và c ng d ch v (port) M c dù cú phápạ ạ ổ ị ụ ặ ACL và extended IP ACLs là gi ng nhau, nghĩa là ch có s khác bi t chút ít trongố ỉ ự ệ crypto ACLs Đó là cho phép (permit) ch nh ng gói d li u đánh d u m i đỉ ữ ữ ệ ấ ớ ược mã hóa và t ch i (deny) v i nh ng gói d li u đừ ố ớ ữ ữ ệ ược đánh d u m i không đấ ớ ược mã hóa Crypto ACLs h at đ ng tọ ộ ương t nh extendeds IP ACL đó là ch áp d ng trên nh ngự ư ỉ ụ ữ

lu ng d li u đi ra (outbound traffic) trên m t interface.ồ ữ ệ ộ

D C u hình IPSec crypto maps: ấ

E Áp d ng các crypto maps vào các c ng giao ti p (interfaces): ụ ổ ế