Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 41 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
41
Dung lượng
437 KB
Nội dung
Bài viết CCNP VPN Tác giả: Đặng Quang Minh BÀI GIẢNG VPN (UPDATED 11/5/2004) I. GIỚI THIỆU: Công nghệ VPN cung cấp một phưong thức giao tiếp an toàn giữa các mạng riêng dựa trên hạ tầng mạng công cộng (Internet). VPN thường được dùng để kết nối các văn phòng chi nhánh (branch-office), các người dùng từ xa về văn phòng chính. Giải pháp VPN của Cisco dựa trên một vài sản phẩm khác nhau, bao gồm Pix Firewall, Cisco routers, VPN 3000/5000 Concentrator. Các protocol được dùng trong VPN bao gồm DES (Data Encryption Standard), Triple Des (3DES), IP Security (IPSec) và Internet key Exchange (IKE). I.1 IPSec: - Protocol IPSec bao gồm 4 thành phần: thành phần mã hóa (Encryption), Security Association (làm nhiệm vụ trao đổi khóa), Data Integrity (tạm dịch: đảm bảo toàn vẹn dữ liệu) và Origin Authentication ( kiểm tra nguồn gốc dữ liệu). - Cả hai giải thuật DES và 3DES đều được dùng cho việc mã hóa nêu trên. Chi tiết về DES xin xem mục 1.2. Chỉ có đầu gởi (sender) và đầu nh ận (receiver) có thể đọc được dữ liệu. - Security Association (SA) thường được quản lý bời IKE. - SA thường có thể dùng pre-share-key, RSA encryption hoặc các RSA signatures. - SA có thể được cấu hình không cần dùng IKE nhưng cách này ít được dùng. - Nhiệm vụ của thành phần Data Integrity là đảm bảo dữ liệu đã không bị thay đổi khi đi từ nguồn tới đích. Thành phần Data Integrity này dùng các giải thuật hash như Encapsulating Security payload (ESP), Authentication Header (AH), Message-Digest 5 (MD5) hoặc Secure Hash Algorithm 1 (SHA-1). Khi áp dụng ESP hoặc AH vào một gói IP, gói IP này có thể ( mặc dù không phải là luôn luôn) bị thay đổi. - Origin Authentication là một option của IPSec. Thành phần này dùng digital signatures hoặc digital certificate. I.2. DES - DES được dùng như một phương thức mã hóa dữ liệu dùng khóa riêng (private-key). Có hơn 72,000,000,000,000,000 khóa có thể dùng. Mỗi message có có một khóa mới được chọn ngẫu nhiên. Khóa riêng (private-key) của đầu gởi (sender) và đầu nhận (receiver) phải giống nhau. - Giải thuật DES áp dụng khóa 56 bit cho mỗi block dữ liệu 64-bit. Quá trình mã hóa có thể hoạt động ở vài chế độ và bao gồm 16 lượt thao tác (operations). Mặc dù quá trình này đã là rất phức tạp, một vài công ty còn dùng 3DES, nghĩa là áp dụng DES ba lần. 3DES thì khó crack hơn là DES. Phương thức để crack DES có thể được tìm thấy trong quyển sách “Cracking DES: Secrets of Encryption Resesarch” của nhà xuất bản O’ Reilly’s. - Trong tương lai, DES sẽ không được xem là chuẩn nữa. Cisco có kế hoạch hỗ trợ AES (Advance Encryption Standard) vào cuối năm 2001. I.3.Triple DES - 3DES dùng khóa có chiều dài là 168-bit. I.4. IKE - IKE chịu trách nhiệm trao đổi khóa giữa hai VPN peers. - IKE hỗ trợ 3 kiểu kiểm tra đăng nhập (authentication): dùng khóa biết trước (pre-share keys), RSA và RSA signature. - IKE dùng hai protocol là Oakley Key Exchange và Skeme Key Exchange trong ISAKMP. - Cơ chế pre-shared key thường được dùng trong những hệ thống nhỏ. Hạn chế của cơ chế này là việc yêu cầu cấu hình bằng tay (manual) cho mỗi đầu của kết nối VPN. Ngoài ra, cơ chế này được xem là không có khả năng mở rộng (scale). - Cả hai kiểu kiểm tra đăng nhập còn lại RSA dùng public-key. II. CÁC VÍ DỤ CẤU HÌNH VPN: II.1. Cấu hình Router- Router VPN dùng 3DES và cơ chế khóa biết trước (pre-share key) 1. Topology E0-(HQ-Router)-s0 (Internet) s0-(Remotesite1) E0 Sơ đồ địa chỉ: HeadQuater: E0: 10.1.1.1/24 HeadQuater: S0: 134.50.10.1/24 RemoteSite: S0 64.107.35.1/24 RemoteSite: E0: 172.16.1.0/24 2. Các bước cấu hình: Bước 1: Cấu hình hostname Router(config)# hostname hq-vpn-rtr Bước 2: Cấu hình khóa ISAKMP và địa chỉ của router đầu xa. Giai đoạn 1 của quá trình trao đổi key (phase 1) sẽ thiết lập đối tác (peer) của kết nối VPN. Sau khi khóa được trao đổi xong, một kênh riêng (tunnel) sẽ được thiết lập. Hq-vpn-rtr(config)# crypto isakmp key vnpro address 64.107.35.1 Bước 3: Cấu hình ISAKMP. Trong chính sách ISAKMP này, bạn sẽ cấu hình các kiểu kiểm tra đăng nhập (authentication), hash và các giá trị định nghĩa thời gian hiệu lực của các khóa (lifetimes value). Hầu hết các thông số trong ISAKMP này là có giá trị mặc định và ta chỉ cần cấu hình cho những thông số khác với giá trị mặc định. Hq-vpn-rtr(config)# crypto isakmp policy 10 Hq-vpn-rtr(config-isakmp)# encryption 3des Hq-vpn-rtr(config-isakmp)# authentication pre-share Bước 4: cấu hình access-list để chỉ ra loại traffic nào sẽ được mã hóa: Hq-vpn-rtr(config)# access-list 100 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 Bước 5: cấu hình transform-set. Trong bước này, bạn có thể chỉ ra các kiểu mã hóa và kiểu tổ hợp hash. Có nhiều chọn lựa cho các kiểu mã hóa của IPSec (DES, 3DES hoặc null); chọn lựa protocol (ESP, AH) và kiểu hash (SHA-1 hay MD5). Hq-vpn-rtr(config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac Bước 6: Cấu hình crypto-map: Do ở bước trên, bạn có thể định nghĩa nhiều transform-set. Bước này sẽ chỉ ra tranform- set được dùng. Tên của crypto map trong trường hợp này la netcg. Hq-vpn-rtr(config)# crypto map netcg 10 ipsec-isakmp Hp-vpn-rtr(config-crypto-map)# set peer 64.107.35.1 Hp-vpn-rtr(config-crypto-map#set tranform-set vnpro Hp-vpn-rtr(config-crypto-map# match address 100 Bước 7: cấu hình interface bên trong của router. Chú ý là nên cấu hình các interface descriptions. Hq-vpn-rtr(config)# interface f0/1 Hq-vpn-rtr(config-if)# description Inside network Hq-vpn-rtr(config-if)# ip address 10.1.1.1 255.255.255.0 Bước 8: cấu hình interface outside: Hq-vpn-rtr(config)# interface s0/0 Hq-vpn-rtr(config-if)# description outside network Hq-vpn-rtr(config-if)# ip addresss 134.50.10.1 255.255.255.252 Hq-vpn-rtr(config-if)# crypto map netcg Cấu hình RemoteSite: Router(config)#hostname site1-rtr-vpn site1-rtr-vpn(config)# crypto isakmp key vnpro address 134.50.10.1 site1-rtr-vpn(config)# crypto isakmp policy 10 site1-rtr-vpn(config-isakmp)# encryption 3des site1-rtr-vpn(config-isakmp)# authentication pre-share site1-rtr-vpn(config)# access-list 100 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 site1-rtr-vpn (config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac site1-rtr-vpn (config)# crypto map netcg 10 ipsec-isakmp site1-rtr-vpn (config-crypto-map)# set peer 134.50.10.1 site1-rtr-vpn (config-crypto-map)# set transform-set netcg site1-rtr-vpn (config-crypto-map)# match address 100 site1-rtr-vpn (config)# interface F0/1 site1-rtr-vpn (config-if)# description inside network site1-rtr-vpn (config-if)# ip address 172.16.1.1 255.255.255.0 site1-rtr-vpn (config)# interface s0/0 site1-rtr-vpn (config-if)# description outside network site1-rtr-vpn (config-if)# ip address 64.107.35.1 255.255.255.252 site1-rtr-vpn (config-if)# crypto map netcg Để kiểm tra kết nối VPN, bạn nên dùng phép thử ping mở rộng (extended ping) II.2. Cấu hình Router- Router VPN dùng 3DES và cơ chế khóa biết trước (pre-share key) với NAT Cấu hình host Headquarter hostname hq ! username cisco123 password 0 cisco123 username 123cisco password 0 123cisco ! crypto isakmp policy 5 hash md5 authentication pre-share crypto isakmp key cisco123 address 10.64.20.45 crypto isakmp key 123cisco address 0.0.0.0 crypto isakmp client configuration address-pool local test-pool ! crypto ipsec transform-set testset esp-des esp-md5-hmac mode transport ! crypto dynamic-map test-dynamic 10 set transform-set testset ! crypto map test client configuration address initiate crypto map test client configuration address respond ! crypto map test 5 ipsec-isakmp set peer 10.64.20.45 set transform-set testset match address 115 ! crypto map test 10 ipsec-isakmp dynamic test-dynamic ! interface FastEthernet0/0 ip address 192.168.100.1 255.255.255.0 no ip directed-broadcast ip nat inside duplex auto speed auto ! interface Serial0/0 ip address 10.64.10.44 255.255.255.0 no ip directed-broadcast ip nat outside no fair-queue crypto map test ! ip local pool test-pool 192.168.1.1 192.168.1.254 ip nat inside source route-map nonat interface Serial0/0 overload ip classless ip route 0.0.0.0 0.0.0.0 10.64.10.43 ip http server ! access-list 110 deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 access-list 110 deny ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 110 permit ip 192.168.100.0 0.0.0.255 any access-list 115 deny ip any 192.168.100.0 0.0.0.255 access-list 115 permit ip any any ! route-map nonat permit 10 match ip address 110 Cấu hình host Internet hostname Internet ! ip subnet-zero no ip domain-lookup ! interface Ethernet0 ip address 192.168.1.1 255.255.255.0 interface Serial0 ip address 10.64.20.42 255.255.255.0 no fair-queue clockrate 64000 ! interface Serial1 ip address 10.64.10.43 255.255.255.0 clockrate 64000 ! ip classless ip route 10.64.10.0 255.255.255.0 Serial1 ip route 10.64.20.0 255.255.255.0 Serial0 Cấu hình host Branch hostname Branch ! ip subnet-zero ! crypto isakmp policy 5 hash md5 authentication pre-share crypto isakmp key cisco123 address 10.64.10.44 ! crypto ipsec transform-set testset esp-des esp-md5-hmac mode transport ! crypto map test 5 ipsec-isakmp set peer 10.64.10.44 set transform-set testset match address 115 ! interface Ethernet0 ip address 192.168.200.1 255.255.255.0 no ip directed-broadcast ip nat inside ! interface Serial0 ip address 10.64.20.45 255.255.255.0 no ip directed-broadcast ip nat outside crypto map test ! ip nat inside source route-map nonat interface Serial0 overload ip route 0.0.0.0 0.0.0.0 10.64.20.42 [...]... cho VPN clients Các giải pháp này bao gồm: • Concentrator-based VPN clients—Cisco VPN Client 3.x.x and the VPN 3002 software and hardware client • Cisco IOS(router)-based VPN solutions—Cisco 806 and 17xx end-user routers, and EzVPN • Cisco PIX firewall-based solutions—Cisco PIX 501 Một cách nhìn khác về giải pháp VPN của Cisco từ quan điểm phần mềm là • Software clients: — VPN client for Microsoft — VPN. .. Cisco phân loại các giải pháp VPN khác nhau vào hai nhóm chính: - Nhóm chức năng (functional): nhấn mạnh đến các thiết kế đặc biệt của VPN - Nhóm công nghệ (technological): định nghĩa giải pháp VPN dựa trên mô hình OSI và các protocol cho từng lớp III.3.1 Functional VPN Categories Ba nhóm công nghệ VPN mà Cisco chia ra là Remote Access VPN, site-to-site VPN và firewall-based VPN Cũng cần chú ý là có một... để có thể thử nghiệm VPN, phiên bản IOS cần là IPSec/DES III CÁC LOẠI VPN: Một mạng riêng ảo (VPN) chỉ ra việc truyền các dữ liệu riêng trên một hạ tầng mạng công cộng So với các công nghệ khác, để hiểu về VPN và các đặc tính phức tạp thì người học gặp nhiều khó khăn Trong chương này, các vấn đề sau đây sẽ được trình bày: • Service provider VPNs • Enterprise VPNs • Các công nghệ VPNs ở lớp datalinks... site-to-site VPN và firewall-based VPN Cũng cần chú ý là có một kiểu phân loại khác là remote access VPN, Intranet VPN, extranet VPN III.3.1.1 Remote Access VPNs Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (bản chất là một server) Vì lý do này, giải pháp này thường được gọi là client/server... giải pháp VPN ra thành 3 loại chính: • • • Cisco Remote Access VPN Cisco Site-to-Site VPN Cisco Extranet VPN Remote Access và site-to-site VPN cung cấp cung cấp một giải pháp để xây dựng mạng riêng ảo cho mạng của doanh nghiệp Các công ty có thể mở rộng mạng ra những nơi mà trước đây không thể mở rộng Ví dụ, trong nhiều ứng dụng, VPN cho phép tiết kiệm nhiều chi phí thông qua các kết nối VPN Ngoài... trưng Một ví dụ là: các thiết bị VPN mới có thể hoạt động theo cả hai cách Một ví dụ khác là chế độ mở rộng của giải pháp EzVPN bằng cách dùng 806 hoặc Cisco 17xx routers III.3.1.3 Firewall-Based VPNs: Firewall-based VPN là giải pháp trong đó doanh nghiệp sẽ quản lý firewall và tự triển khai VPN hoặc nhà cung cấp dịch vụ sẽ cung cấp các tính năng firewall nâng cao để hỗ trợ VPN Nhìn chung, giải pháp này... clients: — VPN client for Microsoft — VPN client for Solaris — VPN client for Linux — VPN client for wireless devices • Hardware clients: — Easy VPN — VPN 3002 — 806 Router — PIX 501 Với việc đưa vào Pix 501, giải pháp VPN sẽ mở rộng những chọn lưa cho người dùng III.3.2 Phân loại dựa trên công nghệ và mô hình OSI: Từ quan điểm công nghệ, VPN không phải là việc truyền các electrons trên hạ tầng mạng... MPLS VPN cung cấp các chọn lựa mở rộng đối với hệ thống MPLS VPN hiện tại Ở thời điểm hiện tại, một nhà cung cấp dịch vu ISP có thể tạo ra các kết nối VPN hiệu quả trên hạ tầng mạng của ISP thông qua các kết nối dialup, DSL, và Cable Modem (DOCSIS) Với việc giới thiệu dịch vụ Remote Access to MPLS VPN, các nhà cung cấp dịch vụ đã có thể tích hợp các phương thức truy cập khác nhau vào dịch vụ VPN của... được gọi là dedicated VPN hoặc là VPN kiểu cũ Một dịch vụ VPN mới được gọi là Remote Access to Multiprotocol Label Switching Virtual Private Network (RA to MPLS VPN) Dịch vụ này cho phép những người dùng mạng từ xa (remote user) kết nối vào mạng của công ty họ Dịch vụ này quản lý các kết nối từ xa cho các người dùng cơ động, các văn phòng nhỏ Giải pháp này còn được gọi là truy cập VPN Từ quan điểm của... nối này LAN-to-LAN VPN có thể được xem như một Intranet hoặc Extranet VPN nếu xét từ quan điểm quản lý chính sách Nếu hạ tầng mạng này có chung một nguồn quản lý, nó có thể được xem như Intranet VPN Ngược lại, nó có thể xem là extranet Vấn đề truy cập giữa các sites phải được kiểm soát chặt chẽ bởi các thiết bị ở các site tương ứng Sự khác nhau giữa remote access VPN và LAN-to-LAN VPN chỉ là mang tính . Bài viết CCNP VPN Tác giả: Đặng Quang Minh BÀI GIẢNG VPN (UPDATED 11/5/2004) I. GIỚI THIỆU: Công nghệ VPN cung cấp một phưong thức giao tiếp an. VPN, site-to-site VPN và firewall-based VPN. Cũng cần chú ý là có một kiểu phân loại khác là remote access VPN, Intranet VPN, extranet VPN. III.3.1.1 Remote Access VPNs Remote Access VPN. Cisco chia các giải pháp VPN ra thành 3 loại chính: • Cisco Remote Access VPN • Cisco Site-to-Site VPN • Cisco Extranet VPN Remote Access và site-to-site VPN cung cấp cung cấp một