Mạng riêng ảo VPN (Virtual Private Network) mạng riêng biệt sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người dùng sử dụng từ xa Thay sử dụng kết nối thực, chuyên dụng đường Leased Line, VPN sử dụng kết nối ảo dẫn qua đường Internet từ mạng riêng công ty tới site nhân viên từ xa Một ứng dụng điển hình VPN cung cấp kênh kết nối an toàn dựa kết nối internet giúp cho văn phòng chi nhánh / văn phòng xa người làm việc từ xa dùng Internet truy cập tài ngun cơng ty cách bảo mật thoải mái sử dụng máy tính nội mạng cơng ty Những thiết bị đầu mạng hỗ trợ cho mạng riêng ảo switch, router firewall Những thiết bị quản trị cơng ty nhà cung cấp dịch vụ ISP
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH KHOA VIỄN THƠNG II BÁO CÁO THỰC TẬP TỐT NGHIỆP CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRÙN THƠNG HỆ: CHÍNH QUY NIÊN KHĨA: 2015 - 2020 Đề tài: TÌM HIỂU, THIẾT KẾ VÀ TRIỂN KHAI DỊCH VỤ VPN SITE TO SITE Sinh viên thực hiện: NGUYỄN CHÍ HẢI MSSV: N15DCVT082 Lớp: D15CQVT02-N Giáo viên hướng dẫn: ThS NGUYỄN XUÂN KHÁNH TP.HCM - tháng 07 / 2019 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH KHOA VIỄN THÔNG II BÁO CÁO THỰC TẬP TỐT NGHIỆP CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRÙN THƠNG HỆ: CHÍNH QUY NIÊN KHĨA: 2015 - 2020 Đề tài: TÌM HIỂU, THIẾT KẾ VÀ TRIỂN KHAI DỊCH VỤ VPN SITE TO SITE Sinh viên thực hiện: NGUYỄN CHÍ HẢI MSSV: N15DCVT082 Lớp: D15CQVT02-N Giáo viên hướng dẫn: ThS NGUYỄN XUÂN KHÁNH TP.HCM - tháng 07 / 2019 LỜI CẢM ƠN Để hoàn thành chuyên đề báo cáo thực tập trước hết em xin gửi đến quý thầy, cô giáo khoa Viễn Thơng trường Học viện Cơng nghệ Bưu Viễn thơng lời cảm ơn chân thành Đặc biệt, em xin gởi đến thầy Nguyễn Xuân Khánh, người tận tình hướng dẫn, giúp đỡ em hoàn thành chuyên đề báo cáo thực tập lời cảm ơn sâu sắc Sau tháng thực đề tài, hướng dẫn, bảo tận tình thầy cố gắng thân, em hoàn thành đề tài thực tập: “Tìm hiểu, thiết kế triển khai dịch vụ VPN site to site” Em xin chân thành cảm ơn Ban Lãnh Đạo, phịng ban cơng ty tạo điều kiện thuận lợi cho em tìm hiểu thực tiễn suốt q trình thực tập cơng ty Đồng thời nhà trường tạo cho em có hội thưc tập nơi mà em yêu thích, cho em bước đời sống thực tế để áp dụng kiến thức mà thầy cô giáo giảng dạy Qua công việc thực tập em nhận nhiều điều mẻ bổ ích việc kinh doanh để giúp ích cho cơng việc sau thân Vì kiến thức thân cịn hạn chế, q trình thực tập, hồn thiện chun đề em khơng tránh khỏi sai sót, kính mong nhận ý kiến đóng góp từ quý công ty Một lần em xin gửi lời cảm ơn sâu sắc đến tồn thể thầy cơ, anh chị đồng nghiệp bạn bè Tp Hồ Chí Minh, ngày 25 ,tháng 07 , năm 2019 Người thực NGUYỄN CHÍ HẢI MỤC LỤC MỞ ĐẦU CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI TTTN 1.1 Mục tiêu ý nghĩa đề tài 1.2 Phương pháp thực 1.3 Những nội dung 1.3.1 Lý thuyết 1.3.2 Thực hành 1.4 Kết đạt CHƯƠNG 2: TỔNG QUAN VỀ VPN 2.1 Định nghĩa, chức VPN 2.1.1 Khái niệm VPN 2.1.2 Chức VPN 2.2 Các yêu cầu giải pháp VPN 2.3 Đường hầm mã hóa 2.4 Các dạng kết nối VPN 2.4.1 Remote access VPN (VPN client to site) 2.4.2 Site-to-site VPN ( Lan-to-lan) CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN 3.1 Các giao thức đường hầm 3.1.1 Giao thức chuyển tiếp lớp (L2F – Layer Forwarding Protocol) 3.1.2 Giao thức PPTP (Point-to-Point Tunneling Protocol) 12 3.1.2.1 Khái quát hoạt động PPTP 13 3.1.2.2 Duy trì đường hầm kết nối điều khiển PPTP 14 3.1.2.3 Đóng gói liệu đường hầm PPTP 15 3.1.2.4 Ưu điểm nhược điểm PPTP 16 3.1.3 Giao thức định đường hầm lớp (L2TP – Layer Tunneling Protocol) 16 3.1.3.1 Duy trì đường hầm tin điều khiển L2TP 18 3.1.3.2 Đóng gói liệu đường hầm L2TP 18 3.1.3.3 Xử lý liệu đầu cuối đường hầm L2TP IPSec 19 3.1.3.4 Các thành phần hệ thống VPN sử dụng giao thức L2TP 19 3.1.3.5 Ưu điểm nhược điểm L2TP 20 3.2 Bộ giao thức IPSec (IP Security Protocol) 21 3.2.1 Cấu trúc bảo mật 21 3.2.2 Các chế độ làm việc IPSec 22 3.2.2.1 Chế độ truyền tải (Transport mode) 22 3.2.2.2 Chế độ đường hầm (Tunnel Mode) 22 3.2.3 Các thành phần bên IPSec 23 3.2.3.1 Giao thức đóng gói tải tin an toàn ESP 23 3.2.3.2 Giao thức xác thực đầu mục AH 26 3.2.3.3 Giao thức trao đổi chìa khóa (IKE) 27 3.2.3.4 Một số vấn đề tồn đọng IPSec 30 CHƯƠNG 4: LAB MÔ PHỎNG HỆ THỐNG VPN SITE-TO-SITE 31 4.1 Sơ đồ mạng 31 4.2 Các bước cấu hình 31 4.3 Triển khai chi tiết 31 CHƯƠNG 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 37 5.1 Đánh giá đề tài 37 5.2 Đánh giá thân 37 5.3 Hướng phát triển 37 THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT 38 TÀI LIỆU THAM KHẢO 40 DANH MỤC HÌNH ẢNH Hình Mơ hình VPN Hình 2 Đường hầm VPN Hình Mơ hình Remote access VPN .7 Hình Mơ hình Site-to-Site VPN Hình Mơ hình kết nối VPN sử dụng L2F……………………………………… 10 Hình Các thành phần hệ thống VPN sử dụng L2F 11 Hình 3 Mơ hình kết nối PPTP 13 Hình Mơ hình kết nối VPN sử dụng L2TP 17 Hình Xử lý gói tin IP chế độ truyền tải 22 Hình Xử lý gói tin chế độ đường hầm 23 Hình Các trường ESP header 24 Hình Ví dụ ESP Header 24 Hình Quá trình mã hóa hoạt động giao thức ESP 25 Hình 10 Một gói ESP 25 Hình 11 Quá trình AH xác thực bảm đảm tính tồn vẹn liệu 26 Hình 12 Các trường AH Header 27 Hình Sơ đồ mạng sử dụng lab 31 Hình Ping từ PC1 qua PC2 34 Hình Ping từ PC2 qua PC1 35 Hình 4 Kiểm tra crypto map 35 Hình Kiểm tra IPSec SA 36 MỞ ĐẦU Mạng riêng ảo VPN (Virtual Private Network) mạng riêng biệt sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người dùng sử dụng từ xa Thay sử dụng kết nối thực, chuyên dụng đường Leased Line, VPN sử dụng kết nối ảo dẫn qua đường Internet từ mạng riêng công ty tới site nhân viên từ xa Một ứng dụng điển hình VPN cung cấp kênh kết nối an toàn dựa kết nối internet giúp cho văn phòng chi nhánh / văn phòng xa người làm việc từ xa dùng Internet truy cập tài ngun cơng ty cách bảo mật thoải mái sử dụng máy tính nội mạng cơng ty Những thiết bị đầu mạng hỗ trợ cho mạng riêng ảo switch, router firewall Những thiết bị quản trị cơng ty nhà cung cấp dịch vụ ISP SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI TTTN CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI TTTN Mục tiêu ý nghĩa đề tài 1.1 Đề tài tập trung tìm hiểu VPN, cách VPN hoạt động, giao thức sử dụng, ứng dụng VPN thực tế Hy vọng qua nghiên cứu này, có nhìn sâu cơng nghệnày, ứng dụng vào việc triển khai cho hệ thống mạng, góp phần phát triển ngành mạng Việt Nam toàn giới Phương pháp thực 1.2 • Nguồn tài liệu lấy từ trang chủ Cisco, từ diễn đàn, cộng đồng Network • 1.3 Thực hành dựa công cụ giả lập mạng GNS3 Những nội dung 1.3.1 Lý thuyết • Tìm hiểu định nghĩa, ứng dụng cơng nghệ VPN • Tìm hiểu yêu cầu giải pháp VPN • Tìm hiểu kiến trúc, thành phần có cơng nghệ VPN • Các đối tượng liên quan hệ thống sử dụng công nghệ VPN 1.3.2 Thực hành Xây dựng lab mơ cấu hình VPN site to site để làm rõ bước cấu hình VPN 1.4 Kết đạt • Nắm rõ thành phần, chế hoạt động công nghệ VPN • Triển khai lab mơ cấu hình VPN • Bước đầu có nhận xét, đánh giá lợi ích mà VPN đem lại SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang CHƯƠNG 2: TỔNG QUAN VỀ VPN CHƯƠNG 2: TỔNG QUAN VỀ VPN 2.1 Định nghĩa, chức VPN 2.1.1 Khái niệm VPN Phương án truyền thơng nhanh, an tồn tin cậy trở thành mối quan tâm nhiều doanh nghiệp, đặc biệt doanh nghiệp có nhiều sở cách xa Nếu trước giải pháp thông thường thuê đường truyền riêng (leased lines) để trì mạng WAN (Wide Are Network) Mỗi mạng WAN có điểm thuận lợi độ tin cậy, hiệu tính an tồn, bảo mật Nhưng để bảo trì mạng WAN, đặc biệt sử dụng đường truyền riêng, doanh nghiệp phải tốn khoản đầu tư lớn Khi tính phổ biến Internet gia tăng, doanh nghiệp đầu tư vào phương tiện quảng bá mở rộng mạng mà họ sở hữu Ban đầu, mạng nội (Intranet) mà site bảo mật mật thiết kế cho việc sử dụng thành viên cơng ty Hình Mơ hình VPN Về bản, VPN (virtual private network) mạng riêng rẽ sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dụng đường Leased Line, VPN sử dụng kết nối ảo dẫn qua đường Internet từ mạng riêng công ty tới site nhân viên từ xa Những thiết bị đầu mạng hỗ trợ cho mạng riêng ảo switch, router firewall Những thiết bị quản trị cơng ty nhà cung cấp dịch vụ ISP VPN gọi mạng ảo cách thiết lập mạng riêng qua mạng công cộng sử dụng kết nối tạm thời Những kết nối bảo mật thiết lập host, host mạng hai mạng với SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang CHƯƠNG 2: TỔNG QUAN VỀ VPN Một VPN xây dựng cách sử dụng “Đường hầm” “Mã hố” VPN xuất lớp mơ hình OSI 2.1.2 Chức VPN VPN cung cấp ba chức chính: • Tính tin cậy (Confidentiality): Người gửi mã hố gói liệu trước truyền chúng ngang qua mạng Bằng cách làm vậy, khơng truy cập thơng tin mà khơng cho phép Và có lấy khơng đọc • Tính tồn vẹn liệu ( Data Integrity): người nhận kiểm tra liệu truyền qua mạng Internet mà thay đổi • Tính xác thực (Origin Authentication): Người nhận xác thực nguồn gốc gói liệu, đảm bảo cơng nhận nguồn thơng tin 2.2 Các yêu cầu giải pháp VPN Có yêu cầu cần đạt xây dựng mạng riêng ảo • Tính tương thích (compatibility): Mỗi cơng ty, doanh nghiệp tự xây dựng hệ thống mạng mà khơng cần tuân theo chuẩn định nhà cung cấp dịch vụ Rất nhiều hệ thống mạng không sử dụng chuẩn TCP/IP vậykhơng thể kết nối trực tiếp với Internet Để sử dụng IP VPN tất hệ thống mạng riêng phải chuyển sang hệ thống địa theo chuẩn sử dụng internet bổ sung tính tạo kênh kết nối ảo, cài đặt cổng kết nối internet có chức việc chuyển đổi chuẩn khác sang chuẩn IP 77% số lượng khách hàng hỏi yêu cầu chọn nhà cung cấp dịch vụ IP VPN phải tương thích với thiết bị có họ • Tính bảo mật (security): Tính bảo mật cho khách hàng yếu tố quan trọng giải pháp VPN Người sử dụng cần đảm bảo liệu thông qua mạng VPN đạt mức độ an toàn giống hệ thống mạng nội họ tự xây dựng quản lý Việc cung cấp tính bảo đảm an tồn cần đảm bảo hai mục tiêu sau: • - Cung cấp tính an tồn thích hợp bao gồm cung cấp mật cho người sử dụng mạng mã hoá liệu truyền • - Đơn giản việc trì quản lý, sử dụng Địi hỏi thuận tiện đơn giản cho người sử dụng nhà quản trị mạng việc cài đặt quản trị hệ thống • Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp tính bảo đảm chất lượng, hiệu suất sử dụng dịch vụ dung lượng truyền • Tiêu chuẩn chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá mạng lưới có khả đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối QoS liên SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN Dữ liệu mã hoá khơng thể xác định dù gói tin truyền Transport Mode hay Tunnel Mode Tuy nhiên, IP Header khơng mã hố, trường giao thức IP Header phát giao thức dùng cho Payload (trong trường hợp ESP) 3.2.3.2 Giao thức xác thực đầu mục AH Trong hệ thống IPSec có đầu mục đặc biệt, đầu mục chứng thực AH thiết kế để cung cấp hầu hết dịch vụ chứng thực cho liệu IP AH giao thức bảo mật IPSec đảm bảo tính tồn vẹn cho tiêu đề gói liệu việc chứng thực người sử dụng Nó đảm bảo việc chống phát lại chống xâm nhập trái phép Trong phiên đầu IPSec, giao thức đóng gói tải tin an tồn ESP thực mã hóa mà khơng có chứng thực nên AH ESP dùng kết hợp, phiên sau này, ESP có thêm khả chứng thực Tuy nhiên AH dùng đảm bảo việc chứng thực cho toàn tiêu đề liệu việc đơn giản hóa truyền tải liệu mạng IP yêu cầu chứng thực Hình 11 Q trình AH xác thực bảm đảm tính tồn vẹn liệu • Bước 1: AH đem gói liệu (packet) bao gồm Payload, IP Header, Key sử dụng giải thuật Hash (băm) chiều cho kết chuỗi số, sau chuỗi số gán vào AH Header • Bước 2: AH Header chèn vào Payload IP Header chuyển sang phía bên đường hầm SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang 26 CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN • Bước 3: Router đích sau nhận gói tin bao gồm IP Header, AH Header, Payload sử dụng giải thuật Hash lần để nhận kết chuỗi số • Bước 4: Router phía đích so sánh chuỗi số vừa tạo chuỗi số nó, giống chấp nhận gói tin Hình 12 Các trường AH Header • Next Header: Trường dài bits, chứa số giao thức IP Trong chế độ Tunnel, Payload gói tin IP, giá trị Next Header cài đặt Trong chế độ Transport, Payload giao thức Transport Layer Nếu giao thức lớp Transport TCP trường giao thức IP Nếu giao thức lớp transport UDP trường giao thức IP 17 • Payload Length: Trường chứa chiều dài AH Header • Reserved: Giá trị dành để sử dụng tương lai (cho đến thời điểm biểu thị số 0) • Security Parameters Index (SPI): Mỗi đầu cuối kết nối IPSec tuỳ ý chọn giá trị SPI Hoạt động dùng để nhận dạng cho kết nối Bên nhận sử dụng giá trị SPI với địa IP đích loại giao thức IPSec (trong trường hợp AH) để xác định sách liên kết an ninh SA dùng cho gói tin (có nghĩa giao thức IPSec thuật tốn dùng để sử dụng cho gói tin) • Sequence Number: Chỉ số tăng lên cho AH Datagram host gửi có liên quan đến sách SA Giá trị bắt đầu đếm 1, chuỗi số không phép ghi đè lên • Authentication Data: Trường chứa giá trị ICV (Integrity Check Value) Trường bội 32-bit phải đệm vào chiều dài ICV bytes chưa đầy 3.2.3.3 Giao thức trao đổi chìa khóa (IKE) Trong truyền thơng sử dụng giao thức IPSec phải có trao đổi khóa hai điểm đầu cuối, địi hỏi phải có chế quản lý khóa Có hai phương thức chuyển giao khóa chuyển khóa tay chuyển khóa giao thức IKE Một hệ thống SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang 27 CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN IPSec phụ thuộc phải hỗ trợ phương thức chuyển khóa tay Phương thức chìa khóa trao tay chẳng hạn khóa thương mại ghi giấy Phương thức phù hợp với số lượng nhỏ mạng, mạng lớn phải thực phương thức quản lý khóa tự động Trong IPSec người ta dùng giao thức trao đổi chìa khóa IKE (Internet Key Exchange) Giao thức IKE thiết kế để cung cấp khả năng: • Cung cấp phương tiện cho hai bên cách thống giao thức, thuật tốn chìa khố để sử dụng • Đảm bảo trao đổi khố đến người dùng • Quản lý khố sau chấp nhận • Đảm bảo điều khiển trao đổi khố an tồn • Cho phép chứng thực động đối tượng ngang hàng Giao thức IKE có đặc tính sau: • Các chìa khoá tự phát sinh thủ tục nhận biết • Tự động làm lại chìa khố • Giải vấn đề khố • Mỗi giao thức an tồn (AH, ESP) có khơng gian số an tồn • Gắn sẵn bảo vệ Trước IPSec gửi xác nhận mã hoá liệu IP, bên gửi bên nhận phải thống giải thuật mã hố chìa khố mã hố chìa khố để sử dụng IPSec sử dụng giao thức IKE để tự thiết lập giao thức đàm phán chìa khố sử dụng cho việc mã hoá, thuật toán sử dụng Dịch vụ bảo mật quan hệ hai hay nhiều thực để thỏa thuận truyền thơng an tồn gọi liên kết an ninh SA (Security Association) Liên kết an ninh kết nối đơn công, nghĩa với cặp A B có hai SA (một từ A tới B từ B tới A) Khi lưu lượng cần truyền trực tiếp hai chiều qua VPN, giao thức trao đổi khóa IKE thiết lập cặp SA trực tiếp sau thiết lập thêm nhiều SA khác, SA có thời gian sống riêng SA nhận dạng ba gồm có: • Chỉ số thơng số an ninh SPI (Security Parameters Index) • Địa IP đích • Chỉ thị giao thức an ninh (AH hay ESP) Về nguyên tắc, địa IP đích địa đơn hướng (Unicast), địa quảng bá (Broadcast) địa nhóm (Multicast) Tuy nhiên, chế quản lý SA IPSec định nghĩa cho SA đơn hướng Liên kết an ninh SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang 28 CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN có hai kiểu truyền tải (Transport) đường hầm (Tunnel), phụ thuộc vào giao thức sử dụng SA kiểu truyền tải liên kết an ninh hai trạm yêu cầu hai hệ thống trung gian dọc đường truyền Trong trường hợp khác, kiểu truyền tải sử dụng để hỗ trợ IP-in-IP hay đường hầm GRE qua SA kiểu truyền tải SA kiểu đường hầm SA ứng dụng tới đường hầm IP SA hai cổng an ninh SA kiểu đường hầm điển hình, giống SA trạm cổng an ninh Tuy nhiên, trường hợp mà lưu lượng định hình từ trước lệnh SNMP, cổng an ninh làm nhiệm vụ trạm kiểu truyền tải cho phép Có hai sở liệu liên quan đến an ninh là: • CSDL sách an ninh SPD (Security Policy Database) • CSDL liên kết an ninh SAD (Security Association Database) SPD tùy chỉnh dịch vụ an ninh đề nghị cho lưu lượng IP, phụ thuộc vào yếu tố nguồn, đích, chiều hay vào Nó chứa đựng danh sách lối vào sách tồn riêng rẽ cho lưu lượng vào Các lối vào xác định vài lưu lượng không qua xử lý IPSec, vài phải loại bỏ lại xử lý IPSec Các lối vào tương tự cho firewall hay lọc gói SAD chứa thơng số SA, giống tính tốn khóa AH hay ESP, số trình tự, kiểu giao thức thời gian sống SA Đối với xử lý ra, lối vào SPD trỏ tới lối vào SAD SAD định SA sử dụng cho gói Đối với xử lý vào, SAD tham khảo để định gói xử lý Kết nối IPSec hình thành SA thiết lập Tuy nhiên, thân IPSec khơng có chế để thiết lập liên kết an ninh Chính vậy, IETF chọn phương án chia trình thiết lập kết nối IPSec thành hai phần: • IPSec cung cấp việc xử lý mức gói • IKMP (Internet Key Management Protocol) chịu trách nhiệm thoả thuận liên kết an ninh Sau cân nhắc số phương án, có IKE, SKIP (Simple Key Internet Protocol) Photuis, IETF định chọn IKE chuẩn để cấu hình SA cho IPSec Một đường hầm IPSec-VPN thiết lập hai bên qua bước sau đây: • Bước 1: Quyết định lưu lượng cần quan tâm bảo vệ giao diện yêu cầu thiết lập phiên thơng tin IPSec • Bước 2: Thương lượng chế độ (Main mode) chế độ linh hoạt (Aggressive modem) sử dụng IKE, kết tạo liên kết an ninh IKE (IKE SA) bên IPSec SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang 29 CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN • Bước 3: Thương lượng chế độ nhanh (Quick mode) sử dụng IKE, kết tạo hai IPSec SA bên IPSec • Bước 4: Dữ liệu bắt đầu truyền qua đường hầm mã hóa sử dụng kỹ thuật đóng gói ESP hay AH hai • Bước 5: Kết thúc đường hầm IPSec-VPN (nguyên nhân IPSec SA kết thúc, hết hạn bị xóa) 3.2.3.4 Một số vấn đề tồn đọng IPSec Mặc dù IPSec sẵn sàng đưa đặc tính cần thiết để đảm bảo thiết lập kết nối VPN an tồn thơng qua Internet, nhiên giai đoạn phát triển để hướng tới hoàn thiện Sau số vấn đề đặt mà IPSec cần phải giải để hỗ trợ tốt cho việc thực VPN: • Tất gói xử lý theo IPSec bị tăng kích thước phải thêm vào tiêu đề khác nhau, điều làm cho thông lượng hiệu dụng mạng giảm xuống Vấn đề khắc phục cách nén liệu trước mã hóa, song kỹ thuật nghiên cứu chưa chuẩn hóa • Giao thức trao đổi khóa IKE cơng nghệ chưa thực khẳng định khả Phương thức chuyển khóa thủ cơng lại khơng thích hợp cho mạng có số lượng lớn đối tượng di động • IPSec thiết kế để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ dạng lưu lượng khác • Việc tính tốn nhiều giải thuật phức tạp IPSec cịn vấn đề khó trạm làm việc máy PC lực yếu • Việc phân phối phần cứng phần mềm mật mã cịn bị hạn chế phủ số quốc gia SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang 30 CHƯƠNG 4: LAB MÔ PHỎNG HỆ THỐNG VPN SITE-TO-SITE CHƯƠNG 4: LAB MÔ PHỎNG HỆ THỐNG VPN SITE-TOSITE 4.1 Sơ đồ mạng Hình Sơ đồ mạng sử dụng lab • Bài lab mô kết nối VPN site to site trụ sở TPHCM trụ sở Hà Nội • Sơ đồ mạng lab gồm node router cisco 2800 pc làm client 4.2 Các bước cấu hình Cấu hình sách ISAKMP/IKE phase Cấu hình IPsec Transfom-set (ISAKMP/IKE phase 2) Tạo Access control list ACL Cấu hình crypto map Gán crypto map lên interfaces 4.3 Triển khai chi tiết Cấu hình router - Router ISP: Cấu hình hostname IP interfaces mơ hình trên: R1(config)#hostname ISP ISP(config)#interface s0/0/0 ISP(config-if)#ip address 10.0.0.2 255.255.255.252 ISP(config-if)#no shutdown ISP(config)#interface s0/0/1 ISP(config-if)#ip address 10.1.1.2 255.255.255.252 ISP(config-if)#no shutdown - Router TPHCM Hà Nội, cấu hình hostname IP interfaces theo mơ hình trên, sau cấu hình định tuyến SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang 31 CHƯƠNG 4: LAB MÔ PHỎNG HỆ THỐNG VPN SITE-TO-SITE R1(config)#hostname TPHCM SG(config)#interface s0/0/0 SG(config-if)#ip address 10.0.0.1 255.255.255.252 SG(config-if)#no shutdown SG(config)#interface f0/1 SG(config-if)#ip address 192.168.1.1 255.255.255.0 SG(config)#ip route 10.1.1.0 255.255.255.252 10.0.0.2 R3(config)#hostname HN VT(config)#interface s0/0/0 VT(config-if)#ip address 10.1.1.1 255.255.255.252 VT(config-if)#no shutdown VT(config)#interface f0/1 VT(config-if)#ip address 192.168.2.1 255.255.255.0 VT(config)#ip route 10.0.0.0 255.255.255.252 10.1.1.2 Cấu hình ISAKMP/IKE phase Ở bước ta quy định thông số bảo mật ISAKMP SA gồm: - Phương pháp chứng thực Thuật tốn hash Thuật tốn mã hóa Số nhóm khóa Diffie-Hellman (version Diffie-Hellman) Trên router TPHCM: TPHCM(config)#crypto isakmp policy 10 TPHCM (config-isakmp)#hash md5 // thuật toán hash TPHCM (config-isakmp)#encryption des // thuật toán mã hoá TPHCM (config-isakmp)#group // số nhóm (version) Diffie-Hellman TPHCM (config-isakmp)#authentication pre-share // Phương thức chứng thực TPHCM (config)#crypto isakmp key VPN123 address 10.1.1.1 // Xác định thơng tin key peer SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang 32 CHƯƠNG 4: LAB MÔ PHỎNG HỆ THỐNG VPN SITE-TO-SITE Trên router Hà Nội: VT(config)#crypto isakmp policy 10 VT(config-isakmp)#hash md5 VT(config-isakmp)#encryption des VT(config-isakmp)#group VT(config-isakmp)#authentication pre-share VT(config)#crypto isakmp key VPN123 address 10.0.0.1 Cấu hình sách IPSec (IKE phase 2) Thiết lập IPSec SA dựa thông số phase 1: TPHCM(config)#crypto ipsec transform-set MYSET esp-des esp-md5-hmac //chọn giao thức ESP để đóng gói liệu TPHCM(config)#crypto ipsec security-association lifetime seconds 1800 //thời gian tồn IPSec SA HN(config)#crypto ipsec transform-set MYSET esp-des esp-md5-hmac HN(config)#crypto ipsec security-association lifetime seconds 1800 Tạo Access control list ACL Xác định lớp mạng phép VPN: TPHCM(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 HN(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 Cấu hình Crypto map: TPHCM(config)#crypto map MYMAP 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured TPHCM(config-crypto-map)#set peer 10.1.1.1 TPHCM(config-crypto-map)#set transform-set MYSET SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang 33 CHƯƠNG 4: LAB MÔ PHỎNG HỆ THỐNG VPN SITE-TO-SITE TPHCM(config-crypto-map)#match address 100 HN(config)#crypto map MYMAP 10 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured HN(config-crypto-map)#set peer 10.0.0.1 HN(config-crypto-map)#set transform-set MYSET HN(config-crypto-map)#match address 100 Gán crypto map vào interfaces TPHCM(config)#interface s0/0/0 TPHCM(config-if)#crypto map MYMAP HN(config)#interface s0/0/0 HN(config-if)#crypto map MYMAP Kiểm tra • Kiểm tra kết nối LAN 192.168.1.0/24 192.168.2.0/24 Hình Ping từ PC1 qua PC2 SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang 34 CHƯƠNG 4: LAB MÔ PHỎNG HỆ THỐNG VPN SITE-TO-SITE Hình Ping từ PC2 qua PC1 • Kiểm tra crypto map Hình 4 Kiểm tra crypto map SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang 35 CHƯƠNG 4: LAB MƠ PHỎNG HỆ THỐNG VPN SITE-TO-SITE • Kiểm tra IPSec SA Hình Kiểm tra IPSec SA SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang 36 CHƯƠNG 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CHƯƠNG 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 5.1 Đánh giá đề tài VPN công nghệ sử dụng phổ biến nhằm cung cấp kết nối an toàn hiệu để truy cập tài nguyên nội công ty từ bên ngồi thơng qua mạng Internet Mặc dù sử dụng hạ tầng mạng chia sẻ bảo đảm tính riêng tư liệu giống truyền thông hệ thống mạng riêng Giải pháp VPN Site-to-Site giới thiệu viết yêu cầu lớn phần cứng, thích hợp với số người dùng vừa lớn Với việc hệ thống mạng ngày phát triển VPN giải pháp tốt để tối ưu hóa chi phí, tối ưu hóa hệ thống 5.2 Đánh giá thân Do thời gian lượng kiến thức hạn chế nên em phát triển phần nhỏ VPN Tuy nhiên trình tìm hiểu, em học thêm nhiều kiến thức, giao thức vận dụng vào lab 5.3 Hướng phát triển • Đi sâu bảo mật VPN • Tìm hiểu cơng nghệ VPN MPLS • Làm lab thiết bị thật để đánh giá thêm khó khăn triển khai ngồi thực tế SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang 37 THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT ACK Acknowledgment Tin báo nhận AH Authentication Header Tiêu đề xác thực ATM Asynchronous Transfer Mode Chế độ truyền tải không đồng CA Certificate Authority Dịch vụ cấp quyền chứng nhận DES Data Encryption Standard Chuẩn mã hoá liệu ESP Encapsulation Security Payload Đóng gói tải tin an tồn GRE Generic Routing Encapsulation Giao thức đóng gói định tuyến chung ID Identity Nhận dạng IKE Internet Key Exchange Giao thức trao đổi khóa Internet IP Internet Protocol Giao thức Internet IPX Internet Packet Exchange Giao thức trao đổi gói Internet L2F Layer Forwarding Giao thức chuyển tiếp lớp L2TP Layer Tunneling Protocol Giao thức định đường hầm lớp LAC L2TP Access Concentrator Bộ tập trung truy nhập giao thức L2TP LAN Local Area Network Mạng cục LNS L2TP Network Server Máy chủ phục vụ L2TP NAS Network Access Server Máy chủ truy cập mạng NetBEIU NetBIOS Enhanced User Interface Giao thức người dùng mở rộng NetBIOS OSI Open Systems Interconnection Mơ hình liên kết hệ thống mở PPP Point to Point Protocol Giao thức điểm - nối - điểm PPTP Point to Point Tunnel Protocol Giao thức đường hầm điểm - nối điểm PSTN Public Switched Telephone Network Mạng điện thoại chuyển mạch công cộng QoS Quality of Service Chất lượng dịch vụ RADIUS Remote Authentication Dial-In User Service Dịch vụ người sử dụng quay số xác thực từ xa RSA Chữ đầu tác giả Rivest, Shamir, Adleman Thuật tốn mã hóa cơng khai SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang 38 SA Security Association Liên kết an ninh SHA Secure Hash Algorithm Thuật toán phân tách bảo mật SPI Security Parameters Index Chỉ số thông số an ninh TACACS Terminal Access Controller Access Control System Hệ thống điều khiển truy nhập điều khiển truy nhập đầu cuối TCP Transmission Control Protocol Giao thức điều khiển truyền thông UDP User Datagram Protocol Giao thức liệu đồ người sử dụng VPN Virtual Private Network Mạng riêng ảo WAN Wide Area Network Mạng diện rộng SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang 39 TÀI LIỆU THAM KHẢO Giáo trình MẠNG RIÊNG ẢO – TS Nguyễn Tiến Ban, ThS Hồng Trọng Minh, Học Viện Cơng nghệ Bưu - Viễn thơng, 2007 The Complete Cisco VPN Configuration Guide – Richard A Deal VPNs Illustrated: Tunnels, VPNs, and IPSec - Jon C Snader SVTH: NGUYỄN CHÍ HẢI LỚP: D15CQVT02-N Trang 40 ... VPN kết nối Sự khác Site- to -Site VPN Remote Access VPN mang tính tượng trưng Nhiều thiết bị VPN hoạt động theo hai cách Hình Mơ hình Site- to -Site VPN Site- to -Site VPN phân làm loại Intranet VPN. .. thành đề tài thực tập: ? ?Tìm hiểu, thiết kế triển khai dịch vụ VPN site to site? ?? Em xin chân thành cảm ơn Ban Lãnh Đạo, phịng ban cơng ty tạo điều kiện thuận lợi cho em tìm hiểu thực tiễn suốt... THUẬT ĐIỆN TỬ TRÙN THƠNG HỆ: CHÍNH QUY NIÊN KHĨA: 2015 - 2020 Đề tài: TÌM HIỂU, THIẾT KẾ VÀ TRIỂN KHAI DỊCH VỤ VPN SITE TO SITE Sinh viên thực hiện: NGUYỄN CHÍ HẢI MSSV: N15DCVT082 Lớp: D15CQVT02-N