4.3.1 Site-To-Site IPSEc VPN
Hình 4.1: mô hình site-to-site
Site-to-Site IPSec VPN đôi khi được gọi là LAN-to-LAN. Cái tên đã nói lên điều đó, loại VPN này kết nối hai LAN cách xa về mặt vật lý lại với nhau thông qua mạng Internet. Thường thường thì LAN sử dụng địa chỉ dành riêng như được chỉ ra ở trong hình trên. Nếu không có kết nối VPN thì 2 LAN trên sẽ không thể giao tiếp được với nhau. Bằng việc cấu hình Site-to-Site IPSec VPN giữa hai thiết bị ASA firewall, chúng ta có thể thiết lập một đường hầm bảo mật qua kết nối Internet, và đẩy các traffic của
LAN vào trong đường hầm này. Kết quả là host trong mạng 192.168.1.0/24 có thể truy cập trực tiếp đến các host trong mạng 192.168.2.0/24 và ngược lại. Đường hầm IPSec được thiết lập kết nối giữa hai địa chỉ IP Public của 2 Firewall ASA là 100.100.100.1 và 200.200.200.1
4.3.2 Remote Access VPN
Hình 4.2 : Mô hình Access VPN
Loại IPSec VPN thức 2 mà chúng nói là Remote Access VPN. Remote User truy cập vào mạng của LAN sẽ phải sử dụng Cisco VPN Client. Loại VPN này cho phép remote User thiết lập kết nối bảo mật IPSec VPN qua Internet đến LAN của công ty. Remote User phải có phần mềm Cisco VPN Client cài đặt trên máy tính cá nhân của user. Phần mềm này cho phép bạn thiết lập kết nối đến LAN của công ty. Sau khi VPN được thiết lập giữa remote user và ASA firewall, user sẽ được chỉ định địa chỉ private IP từ một pool được định nghĩa trước, và sau đó cho phép remote user truy cập vào LAN
- Topo mạng trên ASA firewall bảo vệ mạng Corporate LAN và remote User với VPN client thiết lập kết nối bảo mật đến ASA. IP với dải 192.168.20.0/24 sẽ được cấp phát cho VPN Client để liên lạc với Internal Corporate Network 192.168.1.0/24. Một khi Remote Access VPN được thiết lập, remote user mặc định sẽ không có khả năng truy cập bất cứ cái gì ngoài internet ngoài trừ mạng Corporate LAN. Xử lý điều này bằng cách cấu hình chức năng ”Split tunneling” trên ASA