Các KS phụ phải được cấu hình các thông số GET VPN giống như trên KS chính. Sau đó, trên tất cả KS (kể cả chính và phụ), kích hoạt tính năng redundancy, xác định độ ưu tiên của các KS.
KeyServer:
! enabling ISAKMP keepalives (DPD) crypto isakmp keepalive 15 periodic !
crypto gdoi group getvpn server local
! Kích hoạt chức năng cooperative server redundancy
! priority quyết định KeyServer chính local priority 100
! Tất cả các Server khác phải được cấu hình peer address ipv4 192.168.46.4
COO_KeySer !
crypto isakmp keepalive 15 periodic !
crypto gdoi group getvpn server local
redundancy local priority 75
5.5 Cấu hình CA Server.
!
ip http server
! Khởi tạo cặp key cho CA server dùng cho việc chứng thực và cấp chứng chỉ crypto key generate rsa general-keys label GETVPN modulus 1024 exportable !
crypto pki server GETVPN ! cơ sở dữ liệu trên nvram database url nvram: database level minimum ! tự động cấp phát chứng chỉ grant auto
! enable CA no shutdown
5.6 Kết quả triển khai.
Kiểm tra kết nối GDOI giữa GMs với KS.
Hình 5.3 Gói tin đăng kí của GMs với KS.
Group Member 1 (GM1) có địa chỉ interface là 192.168.15.1, Group Member 2 (GM2)có địa chỉ interface là 192.168.26.2 và Key Server (KS) có địa chỉ interface là 192.168.38.3. Các GM đăng kí vào nhóm với Key Server qua giao thức GDOI, sau khi đăng kí thành công thì trên KS có hai GM.
Chương 5: Thiết kế mạng GET VPN
Kiểm tra trao đổi dữ liệu giữa các GM.
Hình 5.4 Gói tin được mã hóa.
GM1 có địa chỉ là 10.1.1.1 và GM2 có địa chỉ là 10.1.2.2. Các GM trao đổi dữ liệu được mã hóa mà đóng gói với giao thức ESP.
Kết quả phân tích gói tin trong mạng core: Nội dung gói tin qua mạng core được mã hóa.
Hình 5.5 Chi tiết gói tin qua mạng core.
Trong mạng core thì trao đổi dữ liệu giữa GM1 và GM2 được mã hóa đảm bảo an toàn. Bắt gói tin trong mạng core còn thấy giao thức chuyển mạch nhãn MPLS và phân
Thông tin về GDOI Group.
Hình 5.6 Thông tin về Group và chính sách SA.
Thông tin về GDOI Group trên GM cho thấy thông tin về COOP_KS và KS chính, còn thông tin về GDOI Group trên KS thì có danh sách GM và các COOP_KS cũng như ACL, chính sách SA IPsec và keys...
Khi xảy ra sự cố trên KS chính thì GMs mất kết nối và tiến hành đăng kí GDOI Group với COOP_KS có trong danh sách dự phòng. Lúc này trên COOP_KS sẽ tiến hành bầu chọn KS chính mới dựa vào độ ưu tiên khi priority trong lúc cấu hình redundancy. Sau khi có KS chính thì các GM tiến hành đăng kí GDOI Group với KS đó, khi đăng kí thành công thì GMs tải về các chính sách mã hóa SA và keys dùng trong quá trình trao đổi và mã hóa.
Chương 5: Thiết kế mạng GET VPN
Hình 5.7 Thông tin về GDOI Group khi KS chính xảy ra sự cố.
Khi xảy ra sự cố không kết nối được với KS chính thì GM kết nối với KS kế tiếp trong danh sách được cấu hình, sau đó đăng kí nhóm trên KS mới.Sau khi đăng kí thành công sẽ có thông báo về rekey và quá trình đăng kí thành công. Thông tin về GDOI Group thay đổi, lúc này KS chính mới chịu trách nhiệm về quản lý, chính sách SA, keys, rekeys,..cho GMs.
Chƣơng 6: Tổng kết và đánh giá kết quả