Cấu hình Những khoá dùng chung

Một phần của tài liệu báo cáo tốt nghiệp mạng riêng ảo vpn (Trang 79 - 119)

4 Cấu hình sự mã hoá và IPSec

4.1.3Cấu hình Những khoá dùng chung

Để cấu hình pre-share keys tại mỗi peer, hoàn thành những bước cấu hình sau đây trong chếđộ cấu hình toàn cục.

Lệnh Mục đích Bước 1 Hq-sanjose(config)# crypto

isakmp identity address

Tại local peer: Chỉ rõ nhận

dạng ISAKMP (address or

hostname) headquarter router sẽ sử dụng khi nối với remote

office router trong thời gian IKE điều chỉnh. Ở đây chỉ rõ từ

khoá address sử dụng địa chỉ IP

của headquarter router) như sự

nhận dạng cho headquarter

router.

Bước 2 Hq-sanjose(config)# crypto isakmp key test12345 address 172.24.2.5

Tại local peer: Chỉ rõ những

khoá chung headquarter router sẽ sử dụng với remote office

router. Ở cấu hình này khoá dùng chung là test12345 được

sử dụng với remote peer

172.24.2.5 (serial interface 1/0 trên remote office router)

Bước 3 Ro-rtp(config)# crypto isakmp identity address

Tại remote peer: Chỉ rõ nhận

dạng ISAKMP (address or hostname) remote office router sẽ sử dụng khi nối với

headquarter router trong thời gian IKE điều chỉnh. Một lần

nữa, Ở đây chỉ rõ từ khóa

address sử dụng địa chỉ IP

172.24.2.5 (serial interface 1/0 của remote office router) như

sự nhận dạng cho remote office

router.

Bước 4 Ro-rtp(config)# crypto isakmp key test 12345 address 172.17.2.4

Tại remote peer: Chỉ rõ chìa khoá dùng chung được sử dụng

voéi local peer. Chìa khoá này bạn phải chỉ định cùng nhau tại

local peer. Ở đây cấu hình chìa khoá dùng chung là test12345

được sử dụng với local peer

172.17.2.4 (serial interface 1/0 trên headquarter router)

Chú ý: Thiết lập một ISAKMP nhận dạng bất cứ khi nào bạn chỉ định

những khoá dùng chung. Những từ khoá address thì đặc trưng được sử dụng

khi chỉ có một giao diện cái mà sẽ được sử dụng bởi những thiết bị cùng giao thức cho sự điều chỉnh IKE, và địa chỉ IP thì được biết. Sử dụng từ khoá

Hostname nếu có nhiều hơn một giao diện trên thiết bị mạng cùng giao thức

cái mà phải được sử dụng cho sự điều chỉnh IKE, hoặc nếu giao diện địa chỉ IP

Để cấu hình cổng vào IOS của bạn sử dụng chứng chỉ số như là phương

pháp xác thực, sử dụng những bước theo sau, bắt đầu trong chế độ cấu hình toàn cục. Sự cấu hình này thừa nhận sử dụng IOS chính sách mặc định ISAKMP, mà

được sử dụng giải thuật DES, SHA, RSA, Diffie-Hellman nhóm 1, và một

khoảng thời gian tồn tại là 86,400s. Cisco sử dụng thuật toán mã hoá 3DES. Lệnh Mục đích

Bước 1 Hq-sanjose(config)# cryto ca identityname

Khai báo một CA. Tên phải đặt

là tên miền của CA. Lệnh này

đặt bạn vào trong chế độ cấu

hình nhận dạng CA Bước 2 Hq-sanjose(config)# enrollment

urlurl

Chỉ rõ URL của CA.

Bước 3 Hq-sanjose(config)# enrollment mode ra

(Để chọn) chỉ rõ kiểu RA nếu hệ

thống CA cung cấp một uỷ

quyền đăng ký (RA). Phần mềm

Cisco IOS tự động xác định

kiểu RA hoặc non-RA; bởi vậy,

nếu kiểu RA được sử dụng, lệnh

này được viết tới NVRAM

trong thời gian “viết lên bộ nhơ”

Bước 4 Hq-sanjose(config)# query urlurl Chỉ rõ vị trí của dịch vụ LDAP

nếu hệ thống CA của bạn cung

cấp một RA và hỗ trợ giao thức

LDAP.

Bước 5 Hq-sanjose(config)# enrollment retry periodminutes

Chỉ rõ những Certificates khác tương đương có thể vẫn được

chấp nhận bởi router thậm chí

nếu CRT thích hợp thì không có thể tới được router của bạn. Bước 6 Hq-sanjose(config)# enrollment

retry coutnumber

chỉ rõ mức độ thời gian bao lâu

router sẽ tiếp tục gửi Certificate không thành công đòi hỏi trước

khi từ bỏ.Theo mặc định, router

sẽ không bao giờ từ bỏ thử. Bước 7 Hq-sanjose(config)# crt optional Chỉ rõ rằng những Certificate

tương đương khác có thể vẫn được chấp nhận bởi router của

bạn thậm chí nếu CRL thích hợp thì không có thể tới được

router của bạn

Bước 8 Hq-sanjose(config)# exit Thoát khỏi chế độ cấu hình nhận dạng CA

4.2.1 Kiểm tra IKE Policies

Để kiểm tra cấu hình. Chúng ta đưa vào lệnhShow crypto isakmp policy

trong chế độ EXEC để thấy được default policy và bất kỳ default values trong cấu hình policies.

Hq-sanjose# show crypto isakmp policy

Protection suite priority 1

encryption algorithm:DES - Data Encryption Standard (56 bit keys) hash algorithm:Secure Hash Standard

authentication method:Pre-Shared Key Diffie-Hellman group:#1 (768 bit) lifetime:86400 seconds, no volume limit

4.2.2 Cấu hình khoá dùng chung khác

Bởi vì những khoá dùng chung đã được chỉ định như phương pháp chứng

thực cho chính sách 1 trong “ Cấu hình những chính sách IKE”. Hoàn thành những bước cấu hình sau đây tại Headquaters routers cũng như business partner

router.

Bước 1: Đặt cho mỗi ISAKMP sự nhận biết. Mỗi sự nhận biết tương đương

cũng được đặt tới những tên thiết bị khác hoặc bởi những địa chỉ IP của nó. Theo mặc định, một sự nhận biết tương đương là đặt tới địa chỉ IP của nó. Trong viễn

cảnh này, bạn chỉ cần hoàn thành những công việc tại business partner router.

Bước 2: Chỉ rõ những chìa khoá dùng chung tại mỗi thiết bị tương đương.

Để cấu hình khoá dùng chung khác nhau cho việc sử dụng giữa

headquater router và business partner router, hoàn thành những bước sau trong

chế độ cấu hình toàn cục.

Lệnh Mục đích Bước 1 Hq-sanjose(config)# crypto

isakmp key test67890 address

172.23.2.7

Tại local peer: chỉ rõ khoá dùng chung headquater router sẽ sử

dụng với business partner router.

Trong ví dụ cấu hình này khoá

dùng chung là test67890 đựơc sử

dụng với remote peer

172.23.2.7(serial interface 1/0 của

business partner router)

Bước 2 Hq-sanjose(config)# crypto isakmp identity address

Tại remote peer: chỉ rõ nhận dạng

ISAKMP (address hoặc

hostname) business partner router sẽ sử dụng khi truyền thông

với headquarter router trong lục IKE điều chỉnh.

Bước 3 Hq-sanjose(config)# crypto

isakmp key test67890 address

172.17.2.4

tại remote peer: chỉ rõ chìa khoá

được chia sẻ để sử dụng được với local peer.Điều này cũng giống như chìa khoá bạn đã chỉ định tại

local peer.

Chú ý: Đặt một sự nhận biết ISAKMP bất cứ nơi đâu bạn chỉ rõ những khoá dùng chung. Từ khoá address tiêu biểu được sử dụng khi có chỉ một interface (và do đó cũng chỉ có một địa chỉ IP) cái mà sẽ được sử dụng bởi sự ngang nhau

cho sự điều chỉnh IKE, và địa chỉ IP thì được biết đến. Sử dụng từ khoá

hostname nếu có nhiều hơn một interface trên mỗi peer cái mà phải được sử

dụng cho sự điều chỉnh IKE, hoặc nếu địa chỉ IP interface không được biết đến (như với địa chỉ động được gán vào).

4.3 Cấu hình IPSec và chế độ IPSec tunnel.

Sau khi chúng ta cấu hình xong khoá dùng chung khác, cấu hình IPSec tại

mỗi thiết bị tham gia IPSec peer. Mục này bao gồm những bước cơ bản sau để

cấu hình IPSec và bao gồm những công việc sau:

 Tạo ra những danh sách truy nhập mật mã

 Kiểm tra danh sách truy nhập mật mã

 Định nghĩa những tập hợp biến đổi và cấu hình chế độ IPSec

tunnel

4.3.1 Tạo ra những danh sách truy nhập mật mã.

Danh sách truy nhập mật mã được sử dụng để định nghĩa lưu lượng IP

nào sẽ được bảo vệ bởi mật mã và lưu lượng nào sẽ không được bảo vệ bởi

mật mã. Ví dụ, bạn có tạo ra một access list để bảo vệ tất cả lưu lượng IP

giữa headquarter router và business partner router.

Bản thân access list không đặc trưng cho IPSec. Đó là mục tham chiếu

vào bản đồ mật mã mà đặc biệt access list cái mà định nghĩa liệu có phải

IPSec xử lý được ứng dụng thoả đáng lưu lượng một sự cho phép trong

access list.

Để tạo ra một danh sách mật mã. Đưa vào những dòng lênh sau trong chế độ cấu hình toàn cục.

Lệnh Mục đích

Hq-sanjose(config)# access list 111 permit ip host 10.2.2.2 host 10.1.5.3

Xác đinh điều kiện để quyết định

những gói IP nào được bảo vệ. Trong

cấu hình này access list 111 mã hoá tất

cả lưu lượng IP giữa headquarter server(Địa chỉ IP 10.2.2.2) và PC B

(Địa chỉ IP 10.1.5.3) trong business

partner office.

4.3.2 Kiểm tra những danh sách mật mã.

Để kiểm tra sự cấu hình: Đưa vào lệnh show access-list 111 trong chế độ EXEC để xem thuộc tính của access-list.

Hq-sanjose# show access-lists 111

Extended IP access list 111

permit ip host 10.2.2.2 host 10.1.5.3

4.4 Định nghĩa những tập hợp biến đổi và cấu hình chế độ IPSec tunnel

Bạn phải định nghĩa những tập hợp biến đổi bất chấp những giao thức xuyên đường hầm bạn sử dụng. Để định nghĩa một tập hợp biến đổi và cấu hình chế độ IPSec tunnel, hoàn thành những bước sau đây bắt đầu

trong chế độ cấu hình toàn cục:

transform-set proposal4 ah-sha- hmac esp-des

đổi và đưa vào chế độ cấu

hình sự biến đổi mật mã. Thí dụ này kết hợp AH1 biến đổi đổi ah-sha-hmac,sự mã hoá ESP2 biến đổi esp-des, và sự

chứng thực ESP biến đổi

esp-sha-hmac trong tập hợp

chuyển đổi proposal4

Có những quy tắc phức tạp được định nghĩa những mục

mà bạn sử dụng cho đối số

biến đổi. Những quy tắc này giải thích trong phần mô tả

lệnh cho crypto ipsec transform-set. Bạn có thể

cũng sử dụng lệnh crypto ipsec transform-set?, trong chế độ cấu hình toàn cục, để

xem sự thay đổi những trọng

số. Bước 2 Hq-sanjose(cfg-crypto-trans)# mode

tunnel

Thay đổi chế độ được kết

hợp với tập hợp biến đổi. Sự

thiết đặt chế độ thì chỉ có thể

áp dụng tới lưu lượng có

nguồn và những địa chỉ đích là nhưng địa chỉ IPSec peer;

nó bỏ qua tất cả những lưu lượng khác. Trong ví dụ chế độ cấu hình tunnel này cho

transport set proposal4, được

tạo ra một IPSec tunnel giữa

những địa chỉ IPSec peer. Bước 3 Hq-sanjose(cfg-crypto-trans)# exit

Hq-sanjose(config)#

Trở về chế độ toàn cục

- AH= Đầu mục chứng thực. Đầu mục này, khi nào được thêm tới một gói dữ

liệu

IP, đảm bảo cho sự toàn vẹn và xác thực của dữ liệu, bao gồm những trường bất

biến trong đầu mục IP ở phía ngoài. Nó không cung cấp sự bảo vệ bí mật. AH sử

dụng một chức năng keyed-hash hơn là những giải thuật số hóa.

- ESP = Đóng gói trọng tải tối đa an toàn. Đầu mục này, khi nào được thêm tới

Nếu ESP được sử dụng để cho có hiệu lực sự toàn vẹn dữ liệu, nó không bao

hàm những trường bất biến trong phần đầu mục IP (IP header).

4.4.1 Kiểm tra những tập hợp biến đổi và chế độ IPSec tunnel.

Để kiểm tra cấu hình. Đưa vào lệnh show crypto ipsec transform-set trong chế độ EXEC để nhìn thấy kiểu tập hợp biến đổi cấu hình trên router.

Hq-sanjose# show crypto ipsec transform-set

Transform set proposal4: { ah-sha-hmac } will negotiate = { Tunnel, },

{ esp-des esp-sha-hmac } will negotiate = { Tunnel, }, -Display text omitted-

4.5 Cấu hình Crypto Maps.

Trong phần này bao gồm những bước cơ bản để cấu hình crypto map và bao gồm những công việc sau đây.

 Tạo ra những mục Crypto Map

 Kiểm tra những mục Crypto Map.

 Áp dụng Crypto Map vào interface

 Kiểm tra sự kết hợp Crypto Map trên interface.

4.5.1 Tạo ra những mục Crypto Map.

Để tạo ra những mục Crypto map cái mà sử dụng IKE để thiết lập SAs,

hoàn thành những bước sau đây bắt đầu trong chế độ cấu hình toàn cục.

s4second local-address serial 2/0

định một địa chỉ local (giao diện

vật lý) được sử dụng cho lưu lượng IPSec. Ví dụ này tạo ra một

crypto map s4second và chỉ rõ serial interface 2/0 của headquarter router như local address. Bước này thì chỉ yêu cầu

nếu bạn trước đây đã sử dụng

lệnh loopback hoặc nếu bạn đang

sử dụng GRE tunnels

Bước 2 Hq-sanjose(config)# crypto map s4second 2

ipsec-isakmp

Đưa crypto map vào chế độ cấu

hình, chỉ rõ một số trình tự cho

crypto map bạn đã tạo ra trong bước 1, và cấu hình crypto map

để sử dụng IKE để thiết lập SAs.

Trong trình tự cấu hình này là 2 và IKE cho crypto map là

s4second.

Bước 3 Hq-sanjose(config-crypto-map)#

match address 111

Chỉ rõ một access list mở rộng.

Access list này quyết định lưu lượng nào được bảo vệ và lưu lượng nào không được bảo vệ bở

IPSec. Trong ví dụ cấu hình này

access list 111, đã được tạo ra

trong “tạo ra những danh sách

truy nhập mật mã”

Bước 4 Hq-sanjose(config-crypto-map)#

set peer 172.23.2.7

Chỉ rõ một remote IPSec peer

(bởi hostname hoặc IP address).Peer này được IPSec bảo

vệ, lưu lượng có thể được truyền

qua. Ví dụ này chỉ rõ serial interface 1/0 (172.23.2.7) trên business partner router.

Bước 5 Hq-sanjose(config-crypto- map)# set transform-set proposal4

Chỉ rõ những transform set nào

được giành cho mục crypto map

này . Liệt kê nhiều transform set

(cao thì ưu tiên trước). Ví dụ này chỉ rõ transform set proposal4,

mà đã được cấu hình trong phần “Định nghĩa Transform set và sự định chế độ IPSec tunnel”

Bước 6 Hq-sanjose(config-crypto-map)#

exit

Hq-sanjose(config)#

Trở lại chế độ toàn cục

Để tạo ra những mục crypto map động cái mà sẽ sử dụng IKE để thiết lâp

SAs, hoàn thành những bước sau đây, bắt đầu trong chế độ toàn cục.

Lệnh Mục đích Bước 1 Hq-sanjose(config)# crypto

dynamic-map

dynamic-map-name dynamic- seq-num

Tạo ra một mục crypto map động

Bước 2 Hq-sanjose(config)# set transform-set

transform-set-name1

[transform-set-

name2...transform-set-name6]

Chỉ rõ những transform set nào

được giành cho mục crypto map

này . Liệt kê nhiều transform set

trong sự sắp đặt quyền ưu tiên

(cao thì ưu tiên trước)

Điều này thì chỉ cấu hình khai

báo được yêu cầu trong những

mục crypto map động. Bước 3 Hq-sanjose(config-crypto-map)#

match address access-list-id

access-list-id

(tuy chọn) Số access list hoặc tên của một access list được mở rộng.

Access list này quyết định lưu lượng có thể được bảo vệ hoặc không được bảo vệ bởi IPSec

trong ngữ cảnh của mục crypto

map này

Bước 4 Hq-sanjose(config-crypto-map)#

set peer

{hostname | ip-address}

Chỉ rõ một remote IPSec peer.

Lặp lại cho nhiều remote peer. Điều này thực sự được cấu hình trong những mục crypto map

động. Những mục crypto map động thì thường được sử dụng

security-association lifetime

seconds seconds

and/or

set security-association lifetime kilobytes

kilobytes

thương lượng sử dụng ít hơn

khoảng thời gian tồn tại sự kết

hợp an toàn IPSec hơn là thời

gian tồn tại toàn bộ được chỉ rõ, chỉ rõ một chìa khoá cho sự tồn

tại của mục crypto map. Bước 6 Hq-sanjose(config-crypto-map)#

exit

Hq-sanjose(config)#

Trở lại chế độ cấu hình toàn cục

4.5.2 Kiểm tra những mục Crypto map

Để kiểm tra cấu hình. Đưa vào lệnh Show crypto map trong chế độ EXEC để xem những mục crypto map được cấu hình trên router.

Hq-sanjose# show crypto map

Crypto Map: “s4second” idb: Serial2/0 local address: 172.16.2.2 Crypto Map “s4second” 2 ipsec-isakmp

Peer = 172.23.2.7

Extended IP access list 111 access-list 111 permit ip

source: addr = 10.2.2.2/255.255.255.0 dest: addr = 10.1.5.3/255.255.255.0S Current peer: 172.23.2.7

Security-association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N

Transform sets={proposal4,} -Display text omitted-

4.5.3 Áp dụng Crypto map vào Interface.

Để áp dụng một tập hợp crypto map vào interface, hoàn thành những

bước sau bắt đầu trong chế độ cấu hình toàn cục:

Lệnh Mục đích Bước 1 Hq-sanjose(config)# interface

serial 2/0

Chỉ rõ một giao diện vật lý để áp

dụng crypto map và vào kiểu cấu

hình giao diện. Thí dụ này chỉ rõ serial interface 2/0 trên headquarter

router.

Bước 2 Hq-sanjose(config-if)# crypto map s4second

Áp dụng tập hợp crypto map đến

giao diện vật lý. Thí dụ cấu hình

này crypto map s4second cái mà đã

được tạo trong “ tạo ra những mục

crypto map”

Bước 3 Hq-sanjose(config-if)# exit

Hq-sanjose(config)#

Trở lại chế độ cấu hình toàn cục

Bước 4 Hq-sanjose# clear crypto sa Trong chế độ privileged EXEC,

xoá IPSec SAs hiện tại vì rằn bất

kỳ sự thay đổi se được sử dụng

ngay lập tức.

4.5.4 Kiểm tra sự kết hợp Crypto Map trên interface

Để kiểm tra cấu hình, đưa vào lệnh Show crypto map interface 2/0 trong

mode EXEC để xem crypto map được áp dụng tới một interface được chỉ định.

Hq-sanjose# show crypto map interface serial 2/0

Crypto Map "s4second" 2 ipsec-isakmp Peer = 172.23.2.7

Một phần của tài liệu báo cáo tốt nghiệp mạng riêng ảo vpn (Trang 79 - 119)

(119 trang)