Mô hình mô phỏng VPN sử dụng IPsec

Một phần của tài liệu (LUẬN văn THẠC sĩ) thiết kế và chế tạo hệ thu phát đa sóng mang sử dụng công nghệ FPGA (Trang 79 - 82)

Giả sử khách hàng A có 2 mạng LAN 10.10.0.0 và 10.0.0.0 muốn giao tiếp với nhau qua một VPN. Hai site VPN này nối vào mạng của nhà cung cấp ISP qua router A1 và A2. Chúng ta sẽ thiết lập một đƣờng hầm (Tunnel) giữa A1 và A2

Do IPsec không hỗ trợ ghép đƣờng hầm, ta sẽ sử dụng công nghệ GRE để tạo đƣờng hầm giữa 2 site, sau đó dùng IPsec để mã hóa, bảo mật dữ liệu

GRE là từ viết tắt của đóng gói định tuyến cùng đặc điểm (Generic Routing Encapsulation). Đây là dạng đóng gói chuyên trở lớp 3 đã đƣợc chuẩn hóa và thiết kế cho các giao thức đƣờng hầm có đặc điểm chung. GRE đƣợc chuẩn hóa trong RFC1701 và RFC1702. Hai chuẩn này mô tả cách GRE sử dụng IP (gọi là GRE IP) làm giao thức vận chuyển nhƣ thế nào. GRE cung cấp một cách thức tạo đƣờng hầm của giao thức này mà chuyên trở gói của một giao thức khác.

Địa chỉ IP của các giao diện router đƣợc cấu hình nhƣ bảng sau:

Router Giao diện Kết nối với Địa chỉ IP/Subnet Mark

A1 Serial 0/0 ISP 10.0.1.1/24 A1 Loopback 0 172.16.1.2/30 ISP Serial 0/0 A2 172.16.0.1/30 ISP Serial 0/1 A1 172.16.1.1/30 A2 Loopback0 172.16.2.1/30 A2 Serial 0/0 ISP 172.16.0.2/30

Bảng 3-1: Địa chỉ IP của các router trong mô hình mô phỏng 2

3.3.2. Các bƣớc cấu hình

Router(config)#hostname name //cấu hình tên router

Router(config)#no ip domain lookup //không tự động phân giải tên miền Router(config)#line console 0

Router(config-line)#exec-timeout 0 0

Router(config)#line vty 0 4 // Cấu hình telnet Router(config-line)#previlege level 15

Router(config-line)#no login

Bƣớc 2: Cấu hình địa chỉ IP cho các router (tƣơng tự nhƣ mô hình trƣớc)

Router(config-if)#ip address IP_address Router(config-if)#no shutdown

Router(config-if)#clock rate x //dùng cho interface serial Router(config)#interface loopback 0

Bƣớc 3: Cấu hình định tuyến cơ bản cho router A1,A2

Router(config)#router eigrp

Router(config-router)#network network address VD:Cấu hình định tuyến cơ bản cho router A1:

A1#config terminal

Enter configuration commands, one per line. End with CNTL/Z. A1(config)#router EIGRP

A1(config-router)#network 10.0.0.0 A1(config-router)#network 192.168.100.0

Bƣớc 4: Thiết lập ISAKMP (nhằm định nghĩa kiểu mã hoá, authentication)#

Router (config)#crypto isakmp policy 1 Router (config)#encr aes

Router (config)#authentication pre-share Router (config)#group 5

Router (config)#crypto isakmp key cisco address 172.16.0.2 VD: Thiết lập ISAKMP với router A1:

A1(config)#crypto isakmp policy 1 A1(config)#encr aes

A1(config)#authentication pre-share A1(config)#group 5

A1(config)#crypto isakmp key cisco address 172.16.0.2

Bƣớc 5: Thiết lập transform set

Router(config)#crypto ipsec transform-set aes-sha esp-aes esp-sha-hmac

Bƣớc 6: Thiết lập crypto map

Router (config)#crypto map vpn 10 ipsec-isakmp

Router (config)#description = VPN From COLO_1 To CORE = Router (config)#set peer 172.16.0.2

Router (config)# set transform-set aes-sha Router (config)# match address 100 VD: Thiết lập crypto với router A1:

A1(config)#crypto map vpn 10 IPsec-isakmp

A1(config)#description = VPN From COLO_1 To CORE = A1(config)#set peer 172.16.0.2

A1(config)# set transform-set aes-sha A1(config)# match address 100

Bƣớc 7: Thiết lập GRE tunnel over IPSec đã đƣợc cấu hình

Router (config)#interface Tunnel0

Router (config)#description = GRE Tunnel To CORE = Router (config)#ip address 192.168.100.2 255.255.255.0 Router (config)#ip mtu 1500

Router (config)#ip tcp adjust-mss 1400 Router (config)# keepalive 10 3

Router (config)# tunnel source 172.16.1.2 Router (config)#tunnel destination 172.16.0.2 VD: Thiết lập GRE tunnel over IPsec :

A1(config)#interface Tunnel0

A1(config)#description = GRE Tunnel To CORE = A1(config)#ip address 192.168.100.2 255.255.255.0 A1(config)#ip mtu 1500

A1(config)#ip tcp adjust-mss 1400 A1(config)# keepalive 10 3

A1(config)# tunnel source 172.16.1.2 A1(config)#tunnel destination 172.16.0.2

3.3.3. Phân tích mô hình mô phỏng dựa trên các bƣớc cấu hình

Quá trình cấu hình tunnel GRE/IPsec trên đƣợc thực hiện hòan toàn tại router A1 và A2 của khách hàng. Không liên quan gì đến router của nhà cung cấp. Nhƣ vậy nếu ngƣời sử dụng có nhu cầu bảo mật thông tin mà nhà cung cấp không hỗ trợ thì khách hàng vẫn có thể tự bảo mật cho mình; Bằng cách sử dụng phần mềm hoặc phần cứng IPsec tại đầu ra của các thiết bị CE (Nếu nhƣ khách hàng quản lý CE), hoặc tại router biên mạng của mình trƣớc khi đƣa vào trong mạng của nhà cung cấp.

3.3.4. Phân tích dựa trên hoạt động của mô hình

a. Phân tích gói tin chạy trên mạng

Sử dụng lệnh ping, để gửi gói tin trong mạng. Sau đó bắt gói tin tại các chặng trong mạng, từ đó phân tích gói tin, xác định đƣợc hoạt động của mạng.

Các bƣớc thực hiện:

Bƣớc 1: Tại router A1, tiến hành ping tới địa chỉ 10.10.0.1 của router A2.

A1#ping 10.10.0.1

Type escape sequence to abort.

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 220/275/336 ms

Bƣớc 2: Bắt gói tin trên các giao diện:

 Giao diện s0/0 của router A1 ( cũng là giao diện nơi router gửi gói tin vào giao diện s0/1 của router ISP)

 Giao diện s0/0 của router A2 (cũng là nơi giao diện s0/0 của router ISP gửi gói tin ra)

Bƣớc 3: Dùng phần mềm Wireshare mở các gói tin bắt đƣợc để phân tích. Phân tích:

Một phần của tài liệu (LUẬN văn THẠC sĩ) thiết kế và chế tạo hệ thu phát đa sóng mang sử dụng công nghệ FPGA (Trang 79 - 82)

Tải bản đầy đủ (PDF)

(86 trang)