I. GNS3 GNS3 là một trình giả lập mạng có giao diện đồ hoạ (graphical network simulator) cho phép bạn dễ dàng thiết kế các mô hình mạng và sau đó chạy giả lập trên chúng. Tại thời điểm hiện tại GNS3 hỗ trợ các IOS của Router, ATMFrame RelayEthernet, switch và hub. Bạn thậm chí có thể mở rộng mạng của mình bằng cách kết nối nó vào mạng ảo này. Để làm được điều này, GNS3 đã dựa trên Dynamips và một phần của Dynagen, nó được phát triển bằng Python và thông thông qua PyQt và phần giao diện đồ hoạ thì sử dụng thư viện Qt, rất nổi tiếng về tính hữu dụng của nó trong dự án KDE. GNS3 cũng sử dụng kỹ thuật SVG (Scalable Vector Graphics) để cung cấp các biểu tượng chất lượng cao cho việc thiết kế mô hình mạng. II. VPN 1. Mạng riêng ảo VPN VPN là mạng riêng ảo, Virtual Private Network, là một công nghệ mạng giúp tạo kết nối mạng an toàn khi tham gia vào mạng công cộng như Internet hoặc mạng riêng do một nhà cung cấp dịch vụ sở hữu. Các tập đoàn lớn, các cơ sở giáo dục và cơ quan chính phủ sử dụng công nghệ VPN để cho phép người dùng từ xa kết nối an toàn đến mạng riêng của cơ quan mình. Một hệ thống VPN có thể kết nối được nhiều site khác nhau, dựa trên khu vực, diện tích địa lý... tượng tự như chuẩn Wide Area Network (WAN). Bên cạnh đó, VPN còn được dùng để khuếch tán, mở rộng các mô hình Intranet nhằm truyền tải thông tin, dữ liệu tốt hơn. Ví dụ, các trường học vẫn phải dùng VPN để nối giữa các khuôn viên của trường (hoặc giữa các chi nhánh với trụ sở chính) lại với nhau. Nếu muốn kết nối vào hệ thống VPN, thì mỗi 1 tài khoản đều phải được xác thực (phải có Username và Password). Những thông tin xác thực tài khoản này được dùng để cấp quyền truy cập thông qua 1 dữ liệu Personal Identification Number (PIN), các mã PIN này thường chỉ có tác dụng trong 1 khoảng thời gian nhất định (30s hoặc 1 phút). Khi kết nối máy tính hoặc một thiết bị khác chẳng hạn như điện thoại, máy tính bảng với một VPN, máy tính hoạt động giống như nó nằm trên cùng mạng nội bộ với VPN. Tất cả traffic trên mạng được gửi qua kết nối an toàn đến VPN. Nhờ đó, có thể truy cập an toàn đến các tài nguyên mạng nội bộ ngay cả khi đang ở rất xa. Có thể sử dụng Internet giống như đang ở vị trí của của VPN, điều này mang lại một số lợi ích khi sử dụng WiFi public hoặc truy cập trang web bị chặn, giới hạn địa lý. Khi duyệt web với VPN, máy tính sẽ liên hệ với trang web thông qua kết nối VPN được mã hóa. Mọi yêu cầu, thông tin, dữ liệu trao đổi giữa thiết bị và website sẽ được truyền đi trong một kết nối an toàn. Nếu sử dụng VPN tại Hoa Kỳ để truy cập vào Netflix, Netflix sẽ thấy kết nối của bạn đến từ Hoa Kỳ. Các ứng dụng của VPN: Truy cập vào mạng doanh nghiệp khi ở xa: VPN thường được sử dụng bởi những người kinh doanh để truy cập vào mạng lưới kinh doanh của họ, bao gồm tất cả tài nguyên trên mạng cục bộ, trong khi đang đi trên đường, đi du lịch,... Các nguồn lực trong mạng nội bộ không cần phải tiếp xúc trực tiếp với Internet, nhờ đó làm tăng tính bảo mật. Truy cập mạng gia đình, dù không ở nhà: Bạn có thể thiết lập VPN riêng để truy cập khi không ở nhà. Thao tác này sẽ cho phép truy cập Windows từ xa thông qua Internet, sử dụng tập tin được chia sẻ trong mạng nội bộ, chơi game trên máy tính qua Internet giống như đang ở trong cùng mạng LAN. Duyệt web ẩn danh: Nếu đang sử dụng WiFi công cộng, duyệt web trên những trang web không phải https, thì tính an toàn của dữ liệu trao đổi trong mạng sẽ dễ bị lộ. Nếu muốn ẩn hoạt động duyệt web của mình để dữ liệu được bảo mật hơn thì bạn nên kết nối VPN. Mọi thông tin truyền qua mạng lúc này sẽ được mã hóa. Truy cập đến những website bị chặn giới hạn địa lý, bỏ qua kiểm duyệt Internet, vượt tường lửa,... Tải tập tin: Tải BitTorrent trên VPN sẽ giúp tăng tốc độ tải file. Điều này cũng có ích với các traffic mà ISP của bạn có thể gây trở ngại. 2. Các giao thức thường dùng trong VPN: IP security (IPSec): Được dùng để bảo mật các giao tiếp, các luồng dữ liệu trong môi trường Internet (môi trường bên ngoài VPN). Đây là điểm mấu chốt, lượng traffic qua IPSec được dùng chủ yếu bởi các Transport mode, hoặc các tunnel (hay gọi là hầm khái niệm này hay dùng trong Proxy, SOCKS) để MÃ HÓA dữ liệu trong VPN. Transport mode chỉ có nhiệm vụ mã hóa dữ liệu bên trong các gói (data package hoặc còn biết dưới từ payload). Trong khi các Tunnel mã hóa toàn bộ các data package đó.
TRƯỜNG ĐẠI HỌC KHOA CÔNG NGHỆ THÔNG TIN BÀI TẬP LỚN ĐỀ TÀI: NGHIÊN CỨU VÀ TRIỂN KHAI VPN VÀ ASA BẰNG GNS3 Hà Nội -2017 NHÓM Mục Lục I GNS3 GNS3 trình giả lập mạng có giao diện đồ hoạ (graphical network simulator) cho phép bạn dễ dàng thiết kế mô hình mạng sau chạy giả lập chúng Tại thời điểm GNS3 hỗ trợ IOS Router, ATM/Frame Relay/Ethernet, switch hub Bạn chí mở rộng mạng cách kết nối vào mạng ảo Để làm điều này, GNS3 dựa Dynamips phần Dynagen, phát triển Python thông thông qua PyQt phần giao diện đồ hoạ sử dụng thư viện Qt, tiếng tính hữu dụng dự án KDE GNS3 sử dụng kỹ thuật SVG (Scalable Vector Graphics) để cung cấp biểu tượng chất lượng cao cho việc thiết kế mô hình mạng 2 NHÓM II VPN Mạng riêng ảo VPN VPN mạng riêng ảo, Virtual Private Network, công nghệ mạng giúp tạo kết nối mạng an toàn tham gia vào mạng công cộng Internet mạng riêng nhà cung cấp dịch vụ sở hữu Các tập đoàn lớn, sở giáo dục quan phủ sử dụng công nghệ VPN phép người dùng từ xa kết nối an toàn đến mạng riêng quan Một hệ thống VPN kết nối nhiều site khác nhau, dựa khu vực, diện tích địa lý tượng tự chuẩn Wide Area Network (WAN) Bên cạnh đó, VPN dùng để "khuếch tán", mở rộng mô hình Intranet nhằm truyền tải thông tin, liệu tốt Ví dụ, trường học phải dùng VPN để nối khuôn viên trường (hoặc chi nhánh với trụ sở chính) lại với Nếu muốn kết nối vào hệ thống VPN, tài khoản phải xác thực (phải có Username Password) Những thông tin xác thực tài khoản dùng để cấp quyền truy cập thông qua liệu - Personal Identification Number (PIN), mã PIN thường có tác dụng khoảng thời gian định (30s phút) Khi kết nối máy tính thiết bị khác chẳng hạn điện thoại, máy tính bảng với VPN, máy tính hoạt động giống nằm mạng nội với VPN Tất traffic mạng gửi qua kết nối an toàn đến VPN Nhờ 3 NHÓM đó, truy cập an toàn đến tài nguyên mạng nội xa Có thể sử dụng Internet giống vị trí của VPN, điều mang lại số lợi ích sử dụng WiFi public truy cập trang web bị chặn, giới hạn địa lý Khi duyệt web với VPN, máy tính liên hệ với trang web thông qua kết nối VPN mã hóa Mọi yêu cầu, thông tin, liệu trao đổi thiết bị website truyền kết nối an toàn Nếu sử dụng VPN Hoa Kỳ để truy cập vào Netflix, Netflix thấy kết nối bạn đến từ Hoa Kỳ Các ứng dụng VPN: Truy cập vào mạng doanh nghiệp xa: VPN thường sử dụng người kinh doanh để truy cập vào mạng lưới kinh doanh họ, bao gồm tất tài nguyên mạng cục bộ, đường, du lịch, Các nguồn lực mạng nội không cần phải tiếp xúc trực tiếp với Internet, nhờ làm tăng tính bảo mật Truy cập mạng gia đình, dù không nhà: Bạn thiết lập VPN riêng để truy cập không nhà Thao tác cho phép truy cập Windows từ xa thông qua Internet, sử dụng tập tin chia sẻ mạng nội bộ, chơi game máy tính qua Internet giống mạng LAN Duyệt web ẩn danh: Nếu sử dụng WiFi công cộng, duyệt web trang web https, tính an toàn liệu trao đổi mạng dễ bị lộ Nếu muốn ẩn hoạt động duyệt web để liệu bảo mật bạn nên kết nối VPN Mọi thông tin truyền qua mạng lúc mã hóa Truy cập đến website bị chặn giới hạn địa lý, bỏ qua kiểm duyệt Internet, vượt tường lửa, Tải tập tin: Tải BitTorrent VPN giúp tăng tốc độ tải file Điều có ích với traffic mà ISP bạn gây trở ngại Các giao thức thường dùng VPN: IP security (IPSec): Được dùng để bảo mật giao tiếp, luồng liệu môi trường Internet (môi trường bên VPN) Đây điểm mấu chốt, lượng traffic qua IPSec dùng chủ yếu Transport mode, tunnel (hay gọi hầm - khái niệm hay dùng Proxy, SOCKS) để MÃ HÓA liệu VPN Transport mode có nhiệm vụ mã hóa liệu bên gói (data package - biết từ payload) Trong Tunnel mã hóa toàn data package 4 NHÓM Do vậy, IPSec thường coi Security Overlay, IPSec dùng lớp bảo mật so với Protocol khác Secure Sockets Layer (SSL) Transport Layer Security (TLS): Có phần tương tự IPSec, giao thức dùng mật để đảm bảo an toàn kết nối môi trường Internet 5 NHÓM Bên cạnh đó, giao thức sử dụng chế độ Handshake - có liên quan đến trình xác thực tài khoản client server Để kết nối coi thành công, trình xác thực dùng đến Certificate - khóa xác thực tài khoản lưu trữ server client Point-To-Point Tunneling Protocol (PPTP): Là giao thức dùng để truyền liệu qua hầm - Tunnel tầng traffic Internet L2TP thường dùng song song với IPSec (đóng vai trò Security Layer - đề cập đến phía trên) để đảm bảo trình truyền liệu L2TP qua môi trường Internet thông suốt Không giống PPTP, VPN "kế thừa" toàn lớp L2TP/IPSec có key xác thực tài khoản chia sẻ Certificate 6 NHÓM III ASA Giới thiệu Firewall ASA Cisco ASA viết tắt từ: Cisco Adaptive Security Appliance ASA giải pháp bảo mật đầu cuối Cisco Hiện ASA sản phẩm bảo mật dẫn đầu thị trường hiệu cung cấp mô hình phù hợp doanh nghiệp, tích hợp giải pháp bảo mật mạng Dòng sản phẩm ASA giúp tiết kiệm chi phí, dễ dàng triển khai Nó bao gồm thuộc tính sau: + Bảo mật thời gian thực, hệ điều hành độc quyền Cisco + Công nghệ Stateful firewall sử dụng thuật toán SA Cisco + Sử dụng SNR để bảo mật kết nối TCP + Sử dụng Cut through proxy để chứng thực telnet, http, ftp + Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa có khả tùy chỉnh sách xây dựng lên sách riêng bạn + VPN: IPSec, SSL L2TP + Tích hợp hệ thống ngăn ngừa phát xâm nhập IDS/IPS + NAT động, NAT tĩnh, NAT port + Ảo hóa sách sử dụng Context Các model Firewall ASA Có tất model khác Dòng sản phẩm phân loại khác từ tổ chức nhớ đến mô hình doanh nghiệp vừa hay cho nhà cung cấp dịch vụ ISP Mô 7 NHÓM hình cao thông lượng, số port, chi phí cao Sản phẩm bao gồm : ASA 5505, 5510, 5520, 5540, 5550, 5580-20, 5580-40 a ASA 5505 ASA 5505 ASA 5505 model nhỏ dòng sản phẩm ASA, kích thước vật lý hiệu suất Nó thiết kết dành cho văn phòng nhỏ văn phòng gia đình Đối với doanh nghiệp lớn hơn, ASA 5505 thường sử dụng để hỗ trợ cho nhân viên làm việc từ xa Có cổng FastEthernet ASA 5505, tất kết nối đến switch nội số cổng có khả cung cấp Power over Ethernet (PoE) với thiết bị kèm theo (ASA hỗ trợ PoE) The mặc định, tất cổng kết nối đến VLAN giống switch, cho phép kết nối thiết bị để giao tiếp lớp 2.Các cổng switch chia thành nhiều VLAN để hỗ trợ khu vực chức khác văn phòng nhỏ ASA kết nối với VLAN qua interface nhân luận lý Bất kỳ luồng liệu qua VLAN qua ASA sách bảo mật ASA 5505 có khe Security Services Card (SSC) chấp nhận tùy chọn AIPSSC-5 IPS module Với module cài đặt, ASA tăng cường đặc tính bảo mật với chức mạng IPS b ASA 5510, 5520 5540 8 NHÓM ASA 5510 Các model ASA 5510, 5520 5540 sử dụng khuôn chung hình có số mặt trước phần cứng kết nối giống Các model khác xếp hạng hiệu suất an ninh chúng Tuy nhiên, ASA 5510 thiết kết cho doanh nghiệp nhỏ vừa (SMB) văn phòng từ xa doanh nghiệp lớn ASA 5520 thích hợp cho doanh nghiệp vừa ASA 5540 dành cho doanh nghiệp vừa lớn nhà cung cấp dịch vụ mạng ASA 5520 5540 có cổng 10/100/100 sử dụng để kết nối vào sở hạ tầng mạng cổng interface firewall chuyên dụng không kết nối với ASA 5510 sử dụng cổng 10/100 mặc định Nếu thêm giấy phép bảo mật mua kích hoạt port làm việc 10/100/1000 port FastEthernet Một interface thứ dùng để quản lý có sẵn Các ASA 5510, 5520 5540 có khe cắm SSM gắn card vào : • Four-port Gigabit Ethernet SSM: module thêm vào interface firewall vật lý, 10/100/100 RJ45 small form-factor pluggable (SFP)- cổng • Advanced Inspection and Prevention (AIP) SSM: module thêm khả mạng nội tuyến IPS để phù hợp với bảo mật ASA • Content Security and Control (CSC) SSM: module dịch vụ kiểm soát nội dung chống virus toàn diện cho phù hợp với bảo mật ASA c ASA 5550 9 NHÓM ASA 5550 thiết kế để hỗ trợ doanh nghiệp lớn nhà cung cấp dịch vụ mạng Hình cho thấy mặt trước sau Chú ý ASA 5550 giống ASA 5510, 5520 5540 Sự khác biệt đáng ý ASA 5550 có cổng Gigabit Ethernet (4GE-SSM) cố định khe cắm SSM, tháo bỏ thay đổi Đặc điểm kiến trúc ASA 5550 có nhóm interface vật lý kết nối đến bus nội chia Các nhóm interface gọi khe cắm tương ứng với bus Khe cắm gồm cổng Gigabit Ethernet đồng khe cắm gồm cổng SFP Gigablit Ethernet đồng, có cổng sử dụng lúc ASA 5550 cung cấp hiệu suất cao cho môi trường đòi hỏi Để tối đa hóa thông lượng firewall, phần lớn lưu lượng nên từ switch port bus đến switch port bus ASA chuyển tiếp lưu lượng hiệu nhiều từ bus đến bus lưu lượng nằm bus đơn d ASA 5580 ASA 5580 model có hiệu suất cao họ thiết kế cho doanh nghiệp lớn, trung tâm liệu, nhà cung cấp dịch vụ lớn Nó hỗ trợ lên đến 24 Gigabit Ethernet interfaces 12 10Gigabit Ethernet interfaces Đây hai model khung lớn đơn vị rack tiêu chuẩn (RU) ASA 5580 có model: ASA 5580-20 (5Gbps) ASA 5580-40 (10Gbps) Bộ khung bao gồm port 10/100/1000 sử dụng cho quản lý lưu lượng outofband Hệ thống sử dụng nguồn cung cấp điện dự phòng kép ASA 5580 ASA 5580 khung tổng cộng có khe cắm PCI Express mở rộng khe cắm dành riêng cho module mã hóa gia tốc để hỗ trợ cho phiên làm việc VPN hiệu suất cao Khe 2-9 dành cho việc sử dụng tương 10 10 NHÓM lai, để lại khe cắm có sẵn cho card interface mạng sau đây: • 4-port 10/100/1000BASE-T copper Gigabit Ethernet interfaces • 4-port 1000BASE-SX fiber-optic Gigabit Ethernet interfaces • 2-port 10GBASE-SR 10Gigabit Ethernet fiber-optic interfaces Giới thiệu loại VPN ASA a Site to Site (IPSec) Site-to-site VPN giải pháp cho phép kết nối máy tính bên mạng private thuộc nhiều văn phòng xa với nhau, kết nối thông qua mạng internet Do phải qua hạ tầng internet chung nên để bảo bảo mật VPN Site to Site có số đặc điểm sau: Confidentiality: Dùng mã hóa để chuyển clear text thành cipher text nhằm đảm bảo tính tin cậy Data integrity: Dùng hashing Hashed Message Authentication Code (HMAC) để kiểm tra liệu không bị thay đổi đường truyền Authentication: Chứng thực VPN peer lúc khởi đầu VPN session pre-shared key (PSK) chữ ký số Chứng thực thực liên tục cách dùng HMAC, có đầu VPN session biết secret key Antireplay support: Khi VPN thiết lập VPN peer thực đánh số cho gói tin, gói tin truyền lại (có thể attacker) gói tin bị drop thiết bị VPN tin xử lý gói tin Một cách để thực Site-to-Site VPN sử dụng IPSec Site-to-site IPsec VPN bao gồm thiết bị hay hay phần mềm để thực tạo IPsec tunnel hai VPN peer (còn gọi VPN gateway) Dựa thông 11 11 NHÓM tin ip address gói tin đến VPN gateway VPN gateway mã hóa gửi vào IPsec tunnel thiệt lập để gói tin đến đích đến cần thiết, sau VPN gateway đầu bên nhận gói tin tiến hành giải mã dựa thông số security association (SA) thiết lập từ trước forward đến đích đến cần thiết e IPSec Remote Access using VPN clients Đáp ứng nhu cầu truy cập liệu ứng dụng cho người dùng xa, bên công ty thông qua Internet Ví dụ người dùng muốn truy cập vào sở liệu hay file server, gửi nhận email từ mail server nội công ty IPSec VPN (Internet Protocol Security) giao thức mạng bảo mật (security) thường liên kết với VPN (tất nhiên bạn hoàn toàn dùng IPSec mạng cục LAN) IPSec VPN cho phép việc truyền tải liệu mã hóa an toàn lớp mạng (Network Layer) theo mô hình OSI thông qua router mạng công cộng Internet cung cấp phổ biến như: ADSL router, FTTH router.v.v VPN (ở lớp mạng-Network) đề cập đến thách thức việc sử dụng Internet môi trường truyền đưa liệu đa giao thức nhạy cảm f EZY VPN EZY cho phép người dùng dễ dàng thiết tạo mạng riêng ảo - VPN, bảo mật an toàn liệu gần tuyệt đối g Anyconnect (SSL Based VPN) Anaconnect VPN giải pháp tương tự IPSEC VPN Remoteaccess Mặc dù giải pháp tương tự IPSEC VPN không phức tạp với người dùng Nó giữ lại ưu diểm Web VPN là: Dễ dàng sử dụng hỗ trợ hầu hết ứng dụng 12 12 NHÓM Đảm bao khả linh hoạt mở rộng việc truy cập tài nguyên từ bên đảm bảo tính bảo mật cao với SSL h Clientless or WebVPN SSL VPN, hay gọi Web VPN cung cấp hỗ trợ phần mềm cisco cho việc truy cập từ xa tới mạng công ty từ nơi đâu internet Truy cập từ xa cung cấp thông qua SSL (Secure Socket Layer) enable VPN Gateway.Cho phép user thiết lập kết nối thông qua trình duyệt web user từ hệ điều hành Unix, Window, MAC hay tới user từ quán Internet truy cập đến công ty mà cài soft Cisco-vpn-client chẳng hạn Ứng dụng cài thẳng vào router, người dùng dù nơi đâu miễn có đường truyền Internet người dùng truy cập vào địa bên Gateway VPN [outside interface], router đổ soft VPN-client xuống cho người dùng cài đặt Hầu hết cống việc người dùng nhấn yes, hay ok 13 13 NHÓM SSL-VPN CISCO có mode: Clientless: người dùng truy cập HTTP, Share file, tất truy cập thông qua giao diện web Thin client: người dùng remote desktop, telnet, POP3, SMTP, SSH, IMAP, ứng dụng port tĩnh.Dùng chế TCP port forwarding, nhớ client phải cài java Port forwarding java applet Tunnel mode: Truy cập tất tài nguyên qua kết nối ta hạn chế quyền người dùng, vd: FTP mode passive, active, SQLnet, voice, … Khi đăng nhập web VPN, client tải soft, gói cài đặt nằm flash disk router Quá trình cài đặt dễ dàng, yes OK IV LAB 14 14 NHÓM Sơ Đồ Sơ đồ cấu hình VPN site-to-site : Các Bước tiến hành Chuẩn bị: router ASA v8.2 pc hub Cấu hình sẵn: 15 15 NHÓM Các bước tiến hành cấu hình: Đinh nghĩa mạng inside outside ASA1 ASA2 Tạo access-list từ site1 sang site2 ngược lại Cấu hình NAT Tạo isakmp/ikev1 policy Tạo ipsec transform set(bao gồm hashing encryption) Tạo Tunnel group Tạo crypto map Ping từ site sang site kia(từ pc sang pc kia) Câu lệnh cấu hình router Cấu hình port ASA: ASA1(config)# int e0/0 ASA1(config-if)# nameif outside INFO: Security level for "outside" set to by default ASA1(config-if)# ip address 10.10.10.1 255.255.255.252 ASA1(config-if)# no shutdown ASA1(config-if)# int e0/1 ASA1(config-if)# nameif inside INFO: Security level for "inside" set to 100 by default ASA1(config-if)# ip address 192.168.100.1 255.255.255.0 ASA1(config-if)# no shutdown ASA1(config-if)# route outside 0 10.10.10.2 Định nghĩa mạng inside outside: ASA1(config)# object network INSIDE-ASA1 ASA1(config-network)# network-object 192.168.100.0 255.255.255.0 ASA1(config-network)# object net ASA1(config-network)# object network INSIDE-ASA2 ASA1(config-network)# net ASA1(config-network)# network-object 192.168.200.0 255.255.255.0 ASA1(config-network)# exit Tạo access-list ASA1(config)# access-list VPN extended permit ip object INSIDE-ASA1 object INSIDE-ASA2 ASA1(config)# access-list NAT extended permit ip object INSIDE-ASA1 object INSIDE-ASA2 16 16 NHÓM Cấu hình NAT ASA1(config)# nat (inside) access-list NAT Tạo isakmp policy ASA1(config)# crypto isakmp identity address ASA1(config)# crypto isakmp enable outside ASA1(config)# crypto isakmp policy ASA1(config-isakmp-policy)# authentication pre-share ASA1(config-isakmp-policy)# encryption aes-256 ASA1(config-isakmp-policy)# hash sha ASA1(config-isakmp-policy)# group ASA1(config-isakmp-policy)# lifetime 86400 Tạo isakmp transform set ASA1(config-isakmp-policy)# crypto ipsec transform-set MMT1 esp-aes256 esp-sha-hmac Tạo tunnel group: ASA1(config)# tunnel-group 10.10.10.2 type ipsec-l2l ASA1(config)# tunnel-group 10.10.10.2 ipsec-attributes ASA1(config-tunnel-ipsec)# pre-shared-key pass123 ASA1(config-tunnel-ipsec)# crypto map ASA1VPN match address VPN Tạo crypto map ASA1(config)# crypto map ASA1VPN set pfs ASA1(config)# crypto map ASA1VPN set peer 10.10.10.2 ASA1(config)# crypto map ASA1VPN set transform-set MMT1 ASA1(config)# crypto map ASA1VPN set security-association lifetime seconds 28800 ASA1(config)# crypto map ASA1VPN interface outside ASA1(config)# exit Tiến hành tương tự với ASA2, sau thực lện ping để kiểm tra xem mạng site thông với hay chưa: Kiểm Tra kết Từ PC1 ta ping tới địa ip PC2 17 17 NHÓM Show crypto isakmp router ASA: Như trình thiết lập vpn site to site router ASA hoàn thành V Kết Luận VPN công nghệ sử dụng phổ biến nhằm cung cấp kết nối an toàn hiệu để truy cập tài nguyên nội từ bên thông qua mạng Internet Mặc dù sử dụng hạ tầng mạng chia sẻ bảo đảm tính riêng tư liệu giống truyền thông hệ thống mạng riêng Giải pháp VPN giới thiệu Lab thích hợp cho cách kết nối nhiều văn phòng trụ sở xa thông qua thiết bị chuyên dụng đường truyền mã hoá qui mô lớn hoạt động Internet.Các Thiết bị chuyên dụng sử dụng Lab Tường lửa ASA Cisco.Và mô phần mềm GNS3 18 18 ... ASA1 (config-tunnel-ipsec)# crypto map ASA 1VPN match address VPN Tạo crypto map ASA1 (config)# crypto map ASA 1VPN set pfs ASA1 (config)# crypto map ASA 1VPN set peer 10.10.10.2 ASA1 (config)# crypto map ASA 1VPN set transform-set... transform-set MMT1 ASA1 (config)# crypto map ASA 1VPN set security-association lifetime seconds 28800 ASA1 (config)# crypto map ASA 1VPN interface outside ASA1 (config)# exit Tiến hành tương tự với ASA2 , sau... access-list VPN extended permit ip object INSIDE -ASA1 object INSIDE -ASA2 ASA1 (config)# access-list NAT extended permit ip object INSIDE -ASA1 object INSIDE -ASA2 16 16 NHÓM Cấu hình NAT ASA1 (config)#