MỤC LỤC MỤC LỤC .1 DANH MỤC HÌNH LỜI MỞ ĐẦU CHƯƠNG 1: CƠ SỞ LÝ THUYẾT .6 1.1 Tổng quan TCP/IP 1.1.1 Giới thiệu TCP/IP 1.1.2 Các lớp mô hình TCP/IP 1.1.2.1 Lớp ứng dụng .6 1.1.2.2 Lớp vận chuyển 1.1.2.3 Lớp Internet 11 1.1.2.4 Lớp truy nhập mạng 12 1.2 Tổng quan mạng riêng ảo -VPN (Vitrual Private Network) 12 1.2.1 Các khái niệm VPN 12 1.2.2 Các loại VPN 14 1.2.2.1 VPN truy nhập từ xa (Remote Access VPNs) 14 1.2.2.2 Mạng VPN cục (Intranet VPN) 16 1.2.2.3 Mạng VPN mở rộng (Extranet VPN) 17 1.2.3 Các giao thức đường hầm VPN 19 1.2.3.1 Giao thức định hướng lớp (Layer Forwarding) 20 1.2.3.2 Giao thức PPTP (Point - to - Point Tunneling Protocol) 21 1.2.3.3 Giao thức L2TP (Layer Two Tunneling Protocol) 22 1.2.3.4 Giao thức IPSec (IP Security) 24 1.2.4 Cơ chế bảo mật VPN 31 1.2.4.1 Giới thiệu chung 31 1.2.4.2 Mật mã 32 1.2.4.3 Xác Thực 35 CHƯƠNG 2: XÂY DỰNG HỆ THỐNG MẠNG RIÊNG ẢO VPN 41 2.1 Bài toán 41 2.2 Giải toán 41 2.2.1 Hiện trạng hệ thống 41 2.2.2 Phân tích đánh giá hệ thống cũ 44 2.2.2.1 Vấn đề an ninh 44 2.2.2.2 Vấn đề tài 45 2.2.2.3 Vấn đề quản lý sử dụng tài nguyên 47 2.2.3 Đề xuất giải pháp 49 2.2.3.1 Khả bảo mật 50 2.2.3.2 Chi phí xây dựng bảo dưỡng hệ thống 50 2.2.3.3 Tính động hệ thống VPN truy nhập từ xa 52 2.2.3.4 Ưu tốc độ truyền 52 2.2.4 Xây dựng hệ thống 53 2.2.4.1 Mô hình hệ thống 53 2.2.4.2 Các thiết bị sử dụng 53 2.2.4.3 Giá thành hệ thống 54 2.2.4.4 Cấu hình triển khai test hệ thống 55 KÊT LUẬN 61 TÀI LIỆU THAM KHẢO 63 PHỤ LỤC 64 DANH MỤC HÌNH Hình 1.1: Cấu trúc tiêu đề TCP Hình 1.2: Thiết lập kết nối theo giao thức TCP 10 Hình 1.3: Cơ chế cửa sổ trượt với kích thước cố định 11 Hình 1.4: Mô hình VPN 14 Hình 1.5: Mô hình mạng VPN cục 16 Hình 1.6: Mô hình mạng VPN mở rộng 17 Hình 1.7: Mô hình mạng VNP mở rộng 18 Hình 1.8: Mô hình VPN sử dụng L2F 20 Hình 1.9: Sơ đồ đóng gói PPTP 21 Hình 1.10: Sơ đồ đóng gói L2TP 23 Hình 1.11: Gói tin IP kiểu Transport 27 Hình 1.12: Gói tin IP kiểu Tunnel 28 Hình 1.13: Mô hình mịnh họa 28 Hình 1.14: Các chế độ chính, chế độ công, chế độ nhanh IKE 30 Hình 1.15: Mã hoá khoá bí mật hay đối xứng 33 Hình 1.16: Sơ đồ thuật toán DES 34 Hình 1.17: Thuật toán mã hoá khoá công cộng 34 Hình 1.18: Cấu trúc MD5/SHA 37 Hình 1.19: Xác thực tin MAC 38 Hình 2.1: Mô hình trạng hệ thống mạng thời công ty 43 Hình 2.2: Bảng so sánh chi phí Leased line VPN 51 Hình 2.3: Mô hình hệ thống mạng VPN đề xuất cho công ty 53 Hình 2.4: Mô hình mô cấu hình 55 Hình 2.5: Tạo kết nối VPN đến ASA 57 Hình 2.6: Chứng thực người dung 58 Hình 2.7: Kết nối thành công 58 Hình 2.8: Kiểm tra IP máy Client ping đến Server công ty 59 Hình 2.10: Trạng thái VPN Client sau truyền liệu 60 LỜI MỞ ĐẦU Với phát triển nhanh chóng công nghệ thông tin viễn thông, giới ngày thu nhỏ trở nên gần gũi Nhiều công ty vượt qua ranh giới cục khu vực, vươn thị trường giới Nhiều doanh nghiệp có tổ chức trải rộng khắp toàn quốc chí vòng quanh giới, tất họ đối mặt với nhu cầu thiết thực: cách thức nhằm trì kết nối thông tin kịp thời, an toàn hiệu cho dù văn phòng đặt nơi đâu Cho đến gần đây, ứng dụng kênh truyền dẫn thông tin thuê riêng (leased line) giải pháp giúp công ty mở rộng mạng cục nhiều khu vực địa lý khác Những dịch vụ kết nối mạng diện rộng đem đến lợi ích rõ ràng tốc độ, an toàn thông tin hiệu thực thi công việc Tuy nhiên việc trì ứng dụng leased lines có chi phí đắt đỏ chi phí thường tăng lên với gia tăng khoảng cách địa lý văn phòng công ty Tuy nhiên việc công ty chọn giải pháp đường Leased line giải yêu cầu văn phòng đặt xa, vấn đề nhân viên họ công tác xa sao? Giải pháp sử dụng Internet để liên lạc giải pháp tốt cho vấn đề Tuy nhiên lại tiềm ẩn nguy cao an ninh liệu Internet vốn môi trường không an toàn Để giải hai vấn đề cho doanh nghiệp, giải pháp áp dụng Đó sử dụng công nghệ mạng riêng ảo VPN ( Virtual Private Network ) VPN mạng cục sử dụng hệ thống mạng công cộng sẵn có Internet để kết nối văn phòng nhân viên xa Thay sử dụng kết nối chuyên biệt trực tiếp văn phòng kênh thuê riêng leased lines, VPN sử dụng kết nối ảo thiết lập môi trường Internet từ mạng riêng công ty tới văn phòng nhân viên cách xa địa lý Không tận dụng sẵn có rộng khắp Internet, VPN đảm bảo bảo mật thông tin giải pháp đường truyền riêng Leased line Với đề tài : “ Nghiên cứu xây dựng hệ thống VPN cho công ty TNHH Kraal EnterPrise “ em hy vọng góp phần nhỏ bé vào trình ứng dụng công nghệ vào sống Ngoài em hy vọng đề tài tài liệu tham khảo có ích cho công ty muốn triển khai hệ thống mạng riêng ảo VPN cho công ty Đề tài có hai nội dung chia thành hai chương, cụ thể: Chương 1: Đưa phần sở lý thuyết cho trình triển khai hệ thống mạng VPN Từ thống kê kiến thức cần có xây dựng hệ thống mạng VPN Chương nêu khái niệm VPN, loại VPN, giao thức đường hầm bảo mật VPN Chương 2: Thực triển khai hệ thống mạng riêng ảo VPN cho công ty TNHH Karaal Enterprise theo trạng cụ thể trực tiếp công ty Trong chương khảo sát cụ thể trạng hệ thống mạng máy tính hệ thống mạng lưới văn phòng đại diện công ty, đưa đánh giá ưu nhược điểm Tứ đưa phương án khắc phục triển khai thực triển khai phương án đưa CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1 Tổng quan TCP/IP (Transmission Control Protocol /Internet Protocol) 1.1.1 Giới thiệu TCP/IP Tháng 6/1968, quan Bộ Quốc phòng Hoa Kỳ Cục dự án nghiên cứu tiên tiến (Advanced Research Project Agency - viết tắt ARPA) xây dựng dự án nối kết trung tâm nghiên cứu lớn toàn liên bang với mục tiêu chia sẻ, trao đổi tài nguyên thông tin, đánh dấu đời ARPANET tiền thân mạng Internet hôm Ban đầu, giao thức truyền thông sử dụng mạng ARPANET NCP (Network Control Protocol), sau quan Bộ Quốc phòng Hoa Kỳ (DoD) tạo mô hình tham chiếu TCP/IP họ muốn mạng sống điều kiện Bộ giao thức TCP/IP gồm tập hợp chuẩn mạng, đặc tả chi tiết cách thức cho máy tính thông tin liên lạc với nhau, quy ước cho đấu nối liên mạng định tuyến cho mạng Mô hình TCP/IP có bốn lớp:  Lớp ứng dụng ( Application Layer)  Lớp Vận chuyển ( Transport Layer)  Lớp Internet (Internet Layer)  Lớp truy nhập mạng (Network access Layer) 1.1.2 Các lớp mô hình TCP/IP 1.1.2.1 Lớp ứng dụng Lớp ứng dụng mô hình TCP/IP kiểm soát giao thức lớp cao, chủ đề trình bày, biểu diễn thông tin, mã hóa điều khiển hội thoại Bộ giao thức TCP/IP tổ hợp tất ứng dụng liên quan đến chủ đề vào lớp đảm bảo số liệu đóng gói thích hợp trước chuyển đến lớp TCP/IP có giao thức để hỗ trợ truyền file, email remote login, thêm vào ứng dụng sau đây: File Transfer Protocol (FTP), Trivial File Transfer Protocol (TFTP), Network File System (NFS), Simple Mail Transfer Protocol (SMTP), Terminal emulation (Telnet), Simple Network Management Protocol (SNMP), Domain Name System (DNS) 1.1.2.2 Lớp vận chuyển Lớp vận chuyển cung ứng dịch vụ vận chuyền từ host nguồn đến host đích Lớp vận chuyển thiết lập cầu nối logic đầu cuối mạng, host nhận host truyền Giao thức vận chuyển phân chia tái thiết lập liệu ứng dụng lớp thành luồng liệu giống đầu cuối Luồng liệu lớp vận chuyển cung cấp dịch vụ truyền tải tù đầu cuối đến đầu cuối mạng Internet thường biểu diễn đám mây mạng (cloud) Lớp vận chuyển gửi gói tin từ nguồn đến đích xuyên qua đám mây mạng Các dịch vụ vận chuyển gồm tất dịch vụ sau đây: TCP UDP  Phân đoạn liệu ứng dụng lớp  Truyền segment từ thiết bị đầu cuối đến thiết bị đầu cuối khác Riêng TCP  Thiết lập hoạt động end-to-end  Cửa sổ trượt cung cấp điều khiển luồng  Chỉ số báo nhận cung cấp độ tin cậy cho hoạt động Các giao thức lớp vận chuyển : Giao thức TCP UDP: a)Giao thức UDP Giao thức UDP (User Datagram Protocol) cung cấp chế yếu mà chương trình ứng dụng sử dụng để gửi gói tin tới chương trình ứng dụng khác UDP cung cấp cổng để phân biệt chương trình ứng dụng máy tính đơn Nghĩa là, với tin gửi đi, tin UDP bao gồm giá trị cổng nguồn cổng đích, giúp cho phần mềm UDP đích phát chuyển gói tin tới nơi nhận cho phép nơi nhận gửi trả lại xác nhận tin UDP cung cấp dịch vụ chuyển phát không định hướng, không đảm bảo độ tin cậy IP UDP không sử dụng chế xác nhận để đảm bảo gói tin đên đích hay không, không thực xếp tin không cung cấp thông tin phản hồi để xác định mức độ truyền thông tin hai máy b) Giao thức TCP Giao thức TCP (Transmission Control Protocol) cung cấp dịch vụ truyền thông liệu định hướng truyền thống cho chương trình - dịch vụ chuyển dòng (stream) tin cậy TCP cung cấp mạch ảo, gọi kết nối Nó cấp khả đứt quảng, kiểm tra lỗi điều khiển luồng - Cấu trúc tiêu đề TCP: Hình 1.1: Cấu trúc tiêu đề TCP Giải thích ý nghĩa trường:  Source port, Destination port (cổng nguồn, cổng đích): chứa giá trị cổng TCP để xác định chương trình ứng dụng hai đầu kết nối Mỗi TCP nhận gói liệu từ IP, gỡ bỏ phần đầu IP đọc phần đầu TCP Khi đọc Destination port, tìm tệp tin chứa thông tin dịch vụ để gửi liệu đến chương trình ứng với số cổng Song với TCP, giá trị cổng phức tạp UDP giá trị cổng TCP cho trước không tương ứng với đối tượng đơn Thay vậy, TCP xây dựng kết nối trừu tượng, đối tượng xác định liên kết mạch ảo, cổng Ví dụ giá trị 192.168.2.3,25 xác định cổng TCP 25 máy tính có địa 192.168.2.3  Sequence Number (số thứ tự): xác định vị trí chuỗi byte liệu segment nơi gửi  Acknowledgment Number (số xác nhận): xác định số octet mà nguồn đợi để nhận Lưu ý Sequence Number để đến lượng liệu theo chiều với segment, giá trị Acknowledgment Number để đến liệu ngược lại với segment đến  Header length (độ dài tiêu đề): chứa số nguyên để xác định độ dài phần đầu segment, tính theo bội số 32 bit Giá trị cần thiết có phần Options có độ dài thay đổi, tùy thuộc vào lựa chọn đưa vào  Unused (dự phòng): dành riêng để sử dụng tương lai  Flags (bít mã): gồm có bít để xác định mục đích nội dung segment, diễn dịch nội dung phần đầu dựa vào nội dung bit Ví dụ segment chuyển tải ACK, chuyển đưa liệu hay để tải yêu cầu để thiết lập ngắt nối  Window (cửa sổ): thông báo cho máy tính đầu cuối kích thước vùng đêm cho trình truyền  Urgent pointer (con trỏ khẩn cấp): yêu cầu kết nối gửi liệu dòng xác định, chương trình nhận phải thông báo liệu đến cho dù nằm đâu vùng liệu Sau xử lý xong liệu khẩn cấp, TCP thông báo cho chương trình ứng dụng trở trạn thái thông thường - Thiết lập kết nối TCP Để thiết lập kết nối TCP sử dụng mô hình bắt tay ba bước, trường hợp đơn giản minh họa sau: Đầu cuối máy tính gửi Đầu cuối máy tính nhận Mạng Gửi SYN Seq = x Nhận SYN Gửi SYN seq = y, ACK x+1 Nhận SYN +ACK ACK y+1 Nhận ACK Hình 1.2: Thiết lập kết nối theo giao thức TCP Gói tin khởi đầu cho kết nối xác định bit SYN trường liệu CODE, tin trả lời lập giá trị cho bit SYN ACK để chuyển ý nghĩa đồng tiếp tục tiến trình bắt tay Bản tin cuối có ý nghĩa lời đáp để đơn giản dùng để thông báo cho đích hai bên đồng ý kết nối thiết lập Tiến trình bắt tay ba bước điều kiện cần đủ để có đồng xác hai đầu kết nối, thông thường phần mềm TCP thường sử dụng phương pháp đợi thụ động để chờ kết nối, điều không gây khó khăn trình kết nối kết nối thiết lập từ bên độc lập với Số thực tự chọn ngẫu nhiên độc lập với gửi kèm với liệu Trong trường hợp đó, phần mềm TCP giữ lại liệu cho đên hoàn tất trình bắt tay kết nối Một kết nối thiết lập, phần mêm TCP giải phóng liệu trước nhanh chóng chuyển chúng tời chương trình ứng dụng cấp cao 10 PHỤ LỤC Các thuật ngữ viết tắt : Từ viết tắt Từ đầy đủ Ý nghĩa 3DES Triple Data Encryption Standard Thuật toán mật mã 3DES ACK Acknowledgment Number Số xác nhận AD Analog to Digital Chuyển đổi tương tự sang số ADSL Asymmetric Digital Subscriber Công nghệ truy nhập đường dây thuê Line bao số bất đối xứng AES Advanced Encryption Standard Chuẩn mật mã cao cấp AH Authentication Header Giao thức tiêu đề xác thực API Application Programming Interface Giao diện chương trình ứng dụng ARIN American Registry for Internet Tiêu chuẩn Mỹ cho địa Internet Number Giao thức tìm địa MAC từ địa ARP Address Resolution Protocol ATM Asynchronous Tranfer Mode Công nghệ truyền tải không đồng BGP Border Gateway Protocol Giao thức định tuyến cổng miền B-ISDN Broadband Integrated Service Mạng số đa dịch vụ băng rộng IP Digital Network CA Certificate Authority Nhà phân phối chứng thực số CHAP Challenge Handshake Giao thức xác thực yêu cầu bắt tay Authentication Protocol CSU Channel Service Unit Đơn vị dịch vụ kênh DCE Data Communication Equipment Thiết bị truyền thông liệu 64 DES Data Encryption Standard Thuật toán mật mã DES DHCP Dynamic Host Configuration Giao thức cấu hình host động Protocol DNS Domain Name System Hệ thống tên miền DSL Digital Subcriber Line Đường dây thuê bao số DSP Digital Signal Processors Bộ xử lý tín hiệu số DSU Data Service Unit Đơn vị dịch vụ liệu EAP Extensible Authentication Protocol Giao thức xác thực mở rộng ESP Encapsulating Security Payload Giao thức tải an ninh đóng gói FCS Frame Check Sequence Chuỗi kiểm tra khung FR Frame Relay Chuyển tiếp khung liệu FTP File Transfer Protocol Giao thức truyền file GRE Generic Routing Encapsulation Đóng gói định tuyến chung GVPNS Global VPN Service Dịch vụ VPN toàn cầu HMAC Hash Message Authentication Code Thuật toán HMAC ICMP Internet Control Message Protocol Giao thức tin điều khiển Internet IETF Internet Engineering Task Force Cơ quan chuẩn Internet IGP Interior Gateway Protocol Giao thức định tuyến miền IKE Internet Key Exchange Giao thức trao đổi khoá Internet IN Intelligent Network Mạng thông minh IP Internet Protocol Giao thức Internet IP-Sec Internet Protocol Security Giao thức an ninh Internet 65 Internet Security Asociasion and Giao thức quản lý khoá kết hợp an Key Management Protocol ninh Internet ISDN Integrated Service Digital Network Mạng số đa dịch vụ ISO International Standard Organization Tổ chức chuẩn quốc tế ISP Internet Service Provider Nhà cung cấp dịch vụ internet L2F Layer Forwarding Giao thức chuyển tiếp lớp L2TP Layer Tunneling Protocol Giao thức đường ngầm lớp LAN Local Area Network Mạng cục MAC Message Authentication Code Mã xác thực tin MD5 Message Digest Thuật toán MD5 MPPE Microsoft Point-to-Point Mã hoá điểm-điểm Microsoft ISAKMP Encryption MTU Maximum Transfer Unit Đơn vị truyền tải lớn NAS Network Access Server Máy chủ truy nhập mạng NCP Network Control Protocol Giao thức điều khiển mạng Giao thức hoạt động tầng ứng dụng NFS nhằm cung cấp dịch vụ file Network File System thao tác từ xa NGN Next Generation Network Mạng hệ sau NSA National Security Agency Cơ quan an ninh quốc gia Mỹ PAP Passwork Authentication Protocol Giao thức xác thực mật PKI Public Key Infrastructure Cơ sở hạ tầng khoá công khai POP Point of presence Điểm truy cập truyền thống 66 PPP Point to Point Protocol Giao thức điểm tới điểm PPTP Point to Point Tunneling Protocol Giao thức đường ngầm điểm tới điểm QoS Quality of Service Chất lượng dịch vụ RADIUS Remote Authentication Dial-In Xác thực người dùng quay số từ xa User Service RARP Reverse Resolution Giao thức tìm địa IP từ địa Address Protocol MAC RAS Remote Access Service Dịch vụ truy nhập từ xa RSA Ron Shamir Adleman Thuật toán mã hóa công khai RTP Real Time Protocol Giao thức thời gian thực SA Securty Association Kết hợp an ninh SDH Synchronous Digital Hierachy Phân cấp số đồng SG Signling Gateway Cổng kết nối báo hiệu SHA - Secure Hash Algorithm -1 Thuật toán SHA -1 SIG Session Initiation Protocol Giao thức khởi tạo phiên SLIP Serial Line Internet Protocol SMTP Simple Mail Transfer Protocol SNMP Simple Network Giao thức sử dụng đường kết nối điện thoại Management Protoco Giao thức truyền mail Giao thức quản lý mạng SONET Synchronous Optical Network Mạng quang đồng SPI Sercurity Parameter Index Chỉ số thông số an ninh 67 SVC Switched Virtual Circuit Mạch ảo chuyển mạch TCP Transmission Control Protocol Giao thức điều khiển đường truyền TE Terminal Equipment Thiết bị đầu cuối Telnet Terminal emulation Giao thức truy cập điều khiển từ xa TFTP Trivial File Transfer Protocol Giao thưc truyền file UDP User Datagram Protocol Giao thức UDP UNI User Network Interface Giao diện mạng người sử dụng VC Virtual Circuit Kênh ảo VCI Virtual Circuit Identifier Nhận dạng kênh ảo VNS Virtual Network Service Dịch vụ mạng ảo VPI Virtual Path Identifier Nhận dạng đường ảo VPN Virtual Private Network Mạng riêng ảo WAN Wide Area Network Mạng diện rộng SHDSL Symmetric High bit Digital Subscriber Line 68 Công nghệ truyền liệu đối xứng Câu lệnh cấu hình ASA# show startup-config : Saved : Written by enable_15 at 19:26:27.446 UTC Fri May 29 2009! ASA Version 7.0(7) ! hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted names dns-guard ! interface Ethernet0/0 Cấu hình ASA 5510 nameif outside security-level ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 10.0.1.1 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address 69 ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list vpnra extended permit ip 10.0.1.0 ip 10.0.1.0 ip 10.0.1.0 255.255.255.0 30.0.2.0 255.255.255.0 access-list vpnra extended permit 255.255.255.0 40.0.2.0 255.255.255.0 access-list vpnra extended permit 255.255.255.0 50.0.2.0 255.255.255.0 pager lines 24 mtu outside 1500 mtu inside 1500 ip local pool testpool 30.0.2.10-30.0.2.100 ip local pool admin 40.0.2.20-40.0.2.21 ip local pool nhanvien 50.0.2.20-50.0.2.100 asdm image disk0:/asdm-507.bin no asdm history enable arp timeout 14400 nat (inside) access-list vpnra route outside 0.0.0.0 0.0.0.0 192.168.1.2 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 70 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute username testuser password pU4oyO2h2X5.LJuf encrypted username admmin password QxNPkKer0BBRUeCu encrypted username nhanvien password jECAPm8Kwyiplbyk encrypted no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart no service password-recovery crypto ipsec transform-set myset esp-des esp-md5-hmac crypto dynamic-map dyn1 set transform-set myset crypto dynamic-map dyn1 set reverse-route crypto map mymap 10 ipsec-isakmp dynamic dyn1 crypto map mymap interface outside isakmp identity address isakmp enable outside isakmp policy authentication pre-share isakmp policy encryption des isakmp policy hash md5 isakmp policy group isakmp policy lifetime 86400 71 isakmp policy 65535 authentication pre-share isakmp policy 65535 encryption 3des isakmp policy 65535 hash sha isakmp policy 65535 group isakmp policy 65535 lifetime 86400 tunnel-group testgroup type ipsec-ra tunnel-group testgroup general-attributes address-pool testpool tunnel-group testgroup ipsec-attributes pre-shared-key * tunnel-group admin type remote-access tunnel-group admin general-attributes address-pool admin tunnel-group admin ipsec-attributes pre-shared-key * tunnel-group nhanvien type remote-access tunnel-group nhanvien general-attributes address-pool nhanvien tunnel-group nhanvien ipsec-attributes pre-shared-key * telnet timeout ssh timeout console timeout ! class-map inspection_default match default-inspection-traffic ! policy-map global_policy 72 class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global Cryptochecksum:4659429d7eeda76402a31d96e539b955 ASA# R1#show startup-config Using 617 out of 29688 bytes ! version 12.2 Cấu hình Router 3640 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 73 ! ip subnet-zero ! interface FastEthernet0/0 ip address 192.168.1.2 255.255.255.0 speed auto ! interface Serial1/0 ip address 192.168.2.1 255.255.255.0 ! interface Serial1/1 no ip address shutdown ! router rip network 192.168.1.0 network 192.168.2.0 ! ip classless no ip http server ! no cdp run ! line line aux line vty ! no scheduler allocate 74 end R1# R2#show startup-config Using 634 out of 29688 bytes ! version 12.2 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R5 ! ip subnet-zero ! Cấu hình Router ISP interface FastEthernet0/0 Gateway phía Client ip address 192.168.3.1 255.255.255.0 speed auto ! interface Serial0/0 no ip address shutdown ! interface Serial0/1 no ip address shutdown ! interface Serial1/0 ip address 192.168.2.2 255.255.255.0 75 clockrate 64000 ! interface Serial1/1 no ip address shutdown ! router rip network 192.168.2.0 network 192.168.3.0 ! ip classless no ip http server ! no cdp run ! line line aux line vty ! no scheduler allocate end R2# III Show kiểm tra cấu hình ASA 5510 ASA(config)# show ip local pool testpool Begin End Mask 30.0.2.10 30.0.2.100 0.0.0.0 Free In use 90 Available Addresses: 76 30.0.2.11 30.0.2.12 30.0.2.13 30.0.2.14 … 30.0.2.97 30.0.2.98 30.0.2.99 30.0.2.100 In Use Addresses: 30.0.2.10 ASA(config)#show run isakmp crypto isakmp identity address crypto isakmp enable outside crypto isakmp policy authentication pre-share encryption des hash md5 group lifetime 86400 ASA(config)# show run crypto ipsec crypto ipsec transform-set myset esp-des esp-md5-hmac ASA(config)# show run tunnel-group tunnel-group testgroup type ipsec-ra tunnel-group testgroup general-attributes address-pool testpool tunnel-group testgroup ipsec-attributes pre-shared-key * tunnel-group admin type remote-access 77 tunnel-group admin general-attributes address-pool admin tunnel-group admin ipsec-attributes pre-shared-key * tunnel-group nhanvien type remote-access tunnel-group nhanvien general-attributes address-pool nhanvien tunnel-group nhanvien ipsec-attributes pre-shared-key * ASA(config)# show run crypto map crypto map mymap 10 ipsec-isakmp dynamic dyn1 crypto map mymap interface outside 78