Nghiên cứu và triển khai VPN trên thiết bị Cisco Lời mở đầu Ngày nay thế giới chúng ta đã và đang bước vào kỷ nguyên của sự bùng nổ thông tin. Cùng với sự phát triển của các phương tiện truyền thông đại chúng, lĩnh vực truyền thông mạng máy tính đã và đang phát triển không ngừng. Với internet, bức tường ngăn cách giữa các quốc gia, giữa các nền văn hóa, giữa những con người với nhau đã ngày càng giảm đi. Ngày nay theo thống kê có khoảng 2,4 tỷ người đang sử dụng internet và các ứng dụng trên internet là vô cùng phong phú. Tuy nhiên khi internet làm giảm đi ranh giới giữa các công ty, tổ chức, giữa các cá nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các thông tin cá nhân, các tài nguyên thông tin,… cũng tăng lên. Vậy làm sao để các tổ chức, các cá nhân đang sử dụng mạng cục bộ khi tham gia internet vừa có thể bảo vệ an toàn được các dữ liệu quan trọng, vừa đảm bảo được tính sẵn sàng cao của dữ liệu mỗi khi cần đến, đồng thời vẫn đảm bảo khả năng truy xuất thuận tiện, nhanh chóng . Vấn đề này đã trở nên hết sức quan trọng trong thời buổi bùng nổ công nghệ thông tin hiện nay.Với những lý do trên, em chọn đề tài “Nghiên cứu và triển khai VPN trên thiết bị Cisco” là đề tài nguyên cứu thực tập tốt nghiệp của em. VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền trên một hệ thống mạng riêng. Tp.Hồ Chí Minh, 10, tháng 05, năm 2013 Nghiên cứu và triển khai VPN trên thiết bị Cisco Lời cảm ơn Trong đợt thực tập vừa qua, em đã nhận được sự hướng dẫn, giúp đỡ và hỗ trợ từ nhiều phía. Tất cả những điều đó đã trở thành một động lực rất lớn giúp em có thể hoàn thành tốt mọi công việc được giao. Với tất cả sự cảm kích và trân trọng, em xin gửi lời cảm ơn tới tất cả mọi người. Trước tiên cho em gửi lời cảm ơn đến Ban lãnh đạo Công ty TNHH thương mại và kỹ thuật tin học TTC (Số 58, Mạc Đĩnh Chi, Phường Đa Kao, Quận 1, Tp.Hồ Chí Minh) đã tạo điều kiện cho em được tham gia thực tập tại công ty cũng như hỗ trợ về mọi mặt trong thời gian thực tập vừa qua.Xin cảm ơn anh Nguyễn Quang Lâm và các anh chị trong công ty đã tận tình giúp đỡ em trong suốt thời gian thực tập tại công ty. Em xin chân thành cảm ơn thầy Nguyễn Hữu Chân Thành cùng các thầy cô trong bộ môn Truyền Thông và mạng máy tính đã tận tình hướng dẫn, giúp đỡ em trong thời gian thực tập và hoàn thành bài báo cáo. Xin trân trọng cảm ơn! Nghiên cứu và triển khai VPN trên thiết bị Cisco Nhật ký thực tập Thời gian thực tập 25/02/2013 đến 03/05/2013.  Tuần 1(25/02/2013 - 02/03/2012): Tìm hiểu về công ty, hoạt động lĩnh vực kinh doanh, tác phong làm việc tại công ty.  Tuần 2 (04/03/2013 - 09/03/2013): Cùng các anh trong phòng kỹ thuật tìm hiểu công việc cơ bản và tham gia hỗ trợ một số công việc đơn giản.  Tuần 3, 4, 5, 6, 7, 8 (18/03/2013 - 20/04/2013): Cùng các anh trong phòng kỹ thuật đi sửa chữa hệ thống, bảo trì máy tính, giao hàng cho khách hàng công ty.  Tuần 9 (22/04/2013 - 27/04/2013): Tổng hợp tài liệu, hoàn thành báo cáo thực tập tốt nghiệp. Nghiên cứu và triển khai VPN trên thiết bị Cisco Nhận xét và đánh giá của Ban lãnh đạo công ty: Xác nhận của Công ty Nghiên cứu và triển khai VPN trên thiết bị Cisco Nhận xét và đánh giá của giảng viên hướng dẫn: Giảng viên hướng dẫn Nghiên cứu và triển khai VPN trên thiết bị Cisco MỤC LỤC Chương 1: TỔNG QUAN VỀ VPN 3 1.1 Định nghĩa về VPN 3 1.2 Lợi ích của VPN 5 1.3 Các thành phần cần thiết để tạo nên kết nối VPN 5 1.4 Các thành phần tạo nên hệ thống VPN của Cisco 6 1.5 Thiết lập một kết nối VPN 6 1.6 Các công nghệ VPN 7 1.6.1 Site - to - site VPN 7 1.6.1.1 Layer 2 VPN 8 1.6.1.2 Layer 3 VPN 8 1.6.1.3 GRE 9 1.6.1.4 MPLS VPN 9 1.6.2 Remote Access VPN 10 1.6.2.1 L2TP 11 1.6.2.2 IPSec 11 Chương 2: TÌM HIỂU VỀ IPSEC 13 2.1 IPSec Transport mode 13 2.2 IPSec Tunnel mode 15 2.3 Tổng quan về ESP và AH 16 2.3.1 ESP 16 2.3.1.1 ESP mode 16 2.3.1.2 ESP Packet Field 17 2.3.1.3 Quá trình hoạt động và mã hoá của ESP 18 2.3.2 AH (Authentication Header) 21 2.3.2.1 AH mode 21 2.3.2.2 AH xác thực và đảm bảo tính toàn vẹn dữ liệu 22 2.3.2.3 AH Header 23 2.3.2.4 Hoạt động của giao thức AH 24 2.3.2.5 AH version 3 25 2.3.2.6 AH Summary 26 Nghiên cứu và triển khai VPN trên thiết bị Cisco 2.4 IKE (Internet Key Exchange) 28 2.4.1 IKE Phase 29 2.4.1.1 IKE Phase I 29 2.4.1.2 IKE Phase II 30 2.4.1.3 IKE mode 31 Chương 3: TỔNG QUAN HỆ ĐIỀU HÀNH CISCO IOS 35 3.1 Kiến trúc hệ thống 35 3.2 Cisco IOS CLI 37 Chương 4: CẤU HÌNH VPN TRÊN THIẾT BỊ CISCO 40 4.1 Mô hình 40 4.2 Cấu hình 41 4.3 Kết quả 43 Tài liệu tham khảo 50 Nghiên cứu và triển khai VPN trên thiết bị Cisco SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 1 Chương 1: TỔNG QUAN VỀ VPN Trong thời buổi công nghệ hiện nay, mạng internet đã phát triển mạnh mẽ về hệ tầng mạng cũng như các công nghệ đáp ứng cho nhu cầu sử dụng internet của người dùng. Người dùng có thể kết nối, chia sẻ tài nguyên, dữ liệu,… một cách nhanh chóng và chính xác, để làm được điều này chúng ta phải sử dụng 1 thiết bị gọi là router để kết nối các hệ thống mạng LAN, WAN với nhau. Các máy tính kết nối với internet thông qua nhà cung cấp dịch vụ (Internet Service Provider – ISP) cần có một giao thức chung là TCP/IP. Tuy nhiên internet có phạm vi toàn cầu không một tổ chức nào có thể quản lý nên rất khó khăn trong việc bảo mật an toàn dữ liệu và quản lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình mạng thỏa mãn các nhu cầu trên mà vẫn sử dụng các hạ tầng của mạng internet có sẵn, đó chính là mô hình mạng riêng ảo – Virtual Private Network (VPN).Với mô hình này, người dụng không cần phải đầu tư nhiều về hệ thống nhưng độ bảo mât, tin cậy vẫn đảm bảo và đồng thời quản lý được hệ thống mạng riêng này. Nó đảm bảo được sự an toàn dữ liệu giữa các đại lý, người cung cấp, các công ty với nhau trong môi trường internet rộng lớn và đầy nguy cơ tấn công mạng. 1.1 Định nghĩa về VPN VPN được hiểu như là sự mở rộng của 1 mạng riêng thông qua 1 mạng chung. Về căn bản, mỗi VPN sẽ kết nối với cùng các VPN khác hay các người dùng từ xa thông qua internet. Thay cho 1 kết nối thực như leased – line, VPN sử dụng các kết nối ảo được thiết lập giữa các mạng riêng của các công ty tới các site hay nhân viên làm việc từ xa thông qua internet. Nghiên cứu và triển khai VPN trên thiết bị Cisco SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 2 VNP cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật (Tunnel) giữa nơi nhận và nơi gửi. Để có thể tạo ra một Tunnel đó, dữ liệu phải được mã hóa, chỉ còn để lại phần header (là phần thông tin cung cấp địa chỉ đường đi) để nó đi đến đúng đích thông qua mạng công cộng một cách nhanh chóng. Do đó nếu các gói tin (packet) bị hacker bắt được trên đường truyền công cộng cũng không thể đọc được vì đã bị mã hóa nội dung. Liên kết với dữ liệu được mã hóa và đóng gói được gọi là kết nối VPN. Các đường kết nối VPN thường được gọi là đường ống VPN (VPN Tunnel). Hình 1.1 Mô hình kết nối VPN Nghiên cứu và triển khai VPN trên thiết bị Cisco SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 3 1.2 Lợi ích của VPN VPN cung cấp nhiều đặc tính lợi ích hơn so với mạng truyền thống và những mạng leased – line. Một số lợi ích như là:  Chi phí thấp hơn các mạng riêng khác: VPN có thể giảm chi phí từ 20-40% so với những mạng thuộc mạng leased – line và giảm chi phí truy cập từ xa từ 60-80%.  Tính linh hoạt cho khả năng sử dụng hệ thống mạng có sẵn.  Sử dụng những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng: Sử dụng một giao thức Internet backbone tích hợp với kết nối hướng những giao thức như Frame Relay và ATM.  Tăng tính bảo mật: Các dữ liệu quan trọng được mã hóa và phân quyền sử dụng cho từng người dùng (user) khác nhau.  Hỗ trợ các giao thức mạng thông dụng hiện nay như TCP/IP.  Bảo mật địa chỉ IP: Bời vì thông tin gửi đi trên VPN đã được mã hóa các địa chỉ bên trong mạng riêng (private) và chỉ sử dụng các địa chỉ bên ngoài (puplic) internet. 1.3 Các thành phần cần thiết để tạo kết nối VPN  User Authentication: cung cấp cơ chế chứng thực người dùng. Chỉ cho phép user hợp lệ kết nối và truy cập vào hệ thống VPN.  Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tới tài nguyên mạng nội bộ. [...]... Chân Thành Page 25 Nghiên cứu và triển khai VPN trên thiết bị Cisco Hình 2.11 Bảng tổng kết so sánh giữa ESP và AH 2.4 Internet Key Exchange (IKE) SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 26 Nghiên cứu và triển khai VPN trên thiết bị Cisco IKE SA là quá trình hai chiều và cung cấp một kênh giao tiếp bảo mật giữa hai bên Thuật ngữ “hai chiều” có ý nghĩa là khi đã được thiết lập, mỗi bên... (VPN Server) thông qua kết nối Internet  Máy chủ cung cấp dịch v VPN trả lời kết nối tới máy VPN cần kết nối SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 4 Nghiên cứu và triển khai VPN trên thiết bị Cisco  Máy chủ cung cấp dịch v VPN chứng thực cho kết nối và cấp phép cho kết nối vào hệ thống VPN  Bắt đầu trao đổi dữ liệu giữa VPN client và mạng nội bộ Hình 1.2 Thiết lập một kết nối VPN. .. 1.6 Các công nghệ VPN Có thế chia VPN thành 2 loại công nghệ là: Site - to - site VPN và Remote Access VPN 1.6.1 Site - to - site VPN: Theo cách hiểu đơn giản nhất thì VPN là một kết nối giữa 2 thiết bị đầu cuối trên mạng công cộng để tạp nên một kết nối phù hợp với như cầu của công SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 5 Nghiên cứu và triển khai VPN trên thiết bị Cisco ty, doanh nghiệp... Firewall và nó chạy trên hệ điều hành Windown  Cisco Secure Instrusion Detection System và Cisco Secure Scaner: thường dùng để giám sát và kiểm tra các vấn đề bảo mật trong VPN  Cisco Secure Policy Manager and Cisco Works 2000: Cung cấp việc quản lý một hệ thống VPN rộng lớn 1.5 Thiết lập một kết nối VPN  Máy VPN cần kết nối (VPN client) tạo kết nốt VPN (VPN Connection) tới máy chủ cung cấp dịch vụ VPN. .. Chân Thành Page 6 Nghiên cứu và triển khai VPN trên thiết bị Cisco Một kết nối giữa các site có thể thực hiện trên lớp 3 (Network Layer) trên mô hình 7 lớp OSI Ví dụ phổ biến của Layer 3 VPN như GRE (Generic Routing Encapsulation), MPLS (Multiprotocol Label Switchin) và IPSec VPN Layer 3 VPN có thể là một kết nối point - to - point để kết nối 2 site như GRE hoặc IPSec VPN hoặc thiết lập một kết nối any... MPLS VPN MPLS là chuyển mạch nhãn đa giao thức được phát triển tiên phong bởi Cisco Một nguyên tắc phổ biến trong các công nghệ VPN là đóng gói dữ liệu với một header, MPLS VPN sử dụng các nhãn để đóng gói dữ liệu, sau đó tạo thành kết nối VPN giữa các site SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 7 Nghiên cứu và triển khai VPN trên thiết bị Cisco Một trong những lợi thế của MPLS VPN. .. vậy chỉ có tải (IP payload) là được mã hóa và IP header ban đầu là được giữ nguyên vẹn Transport mode có thể được dùng khi cả hai host hỗtrợ IPSec Chế độ SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 12 Nghiên cứu và triển khai VPN trên thiết bị Cisco transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi gói tin và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng... GVHD: Nguyễn Hữu Chân Thành Page 20 Nghiên cứu và triển khai VPN trên thiết bị Cisco Hình 2.6 AH Mode 2.3.2.2 AH xác thực và đảm bảo tính toàn vẹn dữ liệu Hình 2.7 Quá trình xác thực AH  Bước 1: AH sẽ đem gói dữ liệu và key bí mật thông qua các thuật toán cho ra 1 chuỗi số và chuỗi số này sẽ gán vào AH Header  Bước 2: AH Header này sẽ chèn vào giữa Payload và IP Header và chuyển về đích thông qua Router.. .Nghiên cứu và triển khai VPN trên thiết bị Cisco  Data Encryption: cung cấp giải pháp mã hóa dữ liệu trong quá trính truyền nhằm bảo đảm tính bảo mật và toàn vẹn dữ liệu  Key Management: Cung cấp các giải pháp quản lý mã khóa dùng cho quá trình mã hóa và giải mã dữ liệu trong quá trình truyền và nhận 1.4 Các thành phần tạo nên hệ thống VNP của Cisco  Cisco VPN Router: sử dụng phần mềm Cisco. .. Page 8 Nghiên cứu và triển khai VPN trên thiết bị Cisco liệu của các chi nhánh xa, từ đó giúp cho công việc đạt hiệu suất cao hơn Hai trong số các phương thức truy cập từ xa để VPN vào mạng nội bộ phổ biến là Layer 2 Tunneling Protocol (L2TP) và IPSec VPN 1.6.2.1 L2TP Trước khi xuất hiện chuẩn L2TP (tháng 8 năm 1999), Cisco sửdụng Layer 2 Forwarding (L2F) nhưlà giao thức chuẩn đểtạo kết nối VPN L2TP