3.3.1 Mô hình hệ thống
Hình 3.1: Mô hình mô phỏng hệ thống VPN site – to – site trên Packet Tracer
3.3.2 Cấu hình hệ thống
- Bước 1: Cấu hình địa chỉ. + Tại router THAINGUYEN:
THAINGUYEN(config)# interface fastethernet0/0
THAINGUYEN(config-if)# ip address 192.168.1.1 255.255.255.0 THAINGUYEN(config-if)#no shutdown
THAINGUYEN(config-if)#exit
THAINGUYEN(config)# interface serial0/0/0
THAINGUYEN(config-if)# ip address 113.114.115.1 255.255.255.0 THAINGUYEN(config-if)# no shutdown
THAINGUYEN(config-if)#exit
+ Tại router ISP:
ISP(config)# interface serial0/0/0
ISP(config-if)# ip address 113.114.115.2 255.255.255.0 ISP(config-if)#clock rate 64000
ISP(config-if)# no shutdown ISP(config-if)#exit
ISP(config)# interface serial0/0/1
ISP(config-if)# ip address 115.114.113.2 255.255.255.0 ISP(config-if)# clockrate 64000
ISP(config-if)#exit
+ Tại router HANOI:
HANOI(config)# interface serial0/0/1
HANOI(config-if)# ip address 115.114.113.1 255.255.255.0 HANOI(config-if)#no shutdown
HANOI(config-if)#exit
HANOI(config-if)# interface fastethernet0/0
HANOI(config-if)# ip address 192.168.2.1 255.255.255.0 HANOI(config-if)# no shutdown
HANOI(config-if)#exit
- Bước 2: Cấu hình default route + Tại router THAINGUYEN:
THAINGUYEN(config)# ip route 0.0.0.0 0.0.0.0 113.114.115.2
+ Tại router HANOI:
HANOI(config)# ip route 0.0.0.0 0.0.0.0 115.114.113.2
- Bước 3: Tạo các IKE policy + Tại router THAINGUYEN:
THAINGUYEN(config)# crypto isakmp enable THAINGUYEN(config)# crypto isakmp policy 9
THAINGUYEN(config-isakmp)# authentication pre-share THAINGUYEN(config-isakmp)# hash md5
THAINGUYEN(config-isakmp)# exit
+ Tại router HANOI:
HANOI(config)# crypto isakmp enable HANOI(config)# crypto isakmp policy 9
HANOI(config-isakmp)# authentication pre-share HANOI(config-isakmp)# hash md5
HANOI(config-isakmp)# exit
- Bước 4: Cấu hình các Pre-Shared Key để kết nối nối VPN
THAINGUYEN(config)# crypto isakmp key VPNKEY address 115.114.113.1 HANOI(config)# crypto isakmp key VPNKEY address 113.114.115.1
- Bước 5: Cấu hình transform set IPsec và lifetime + Tại router THAINGUYEN:
THAINGUYEN(config)# crypto ipsec transform-set SETNAME esp-3des esp-md5-hmac
THAINGUYEN(config)# crypto ipsec security-association lifetime seconds 86400
+ Tại router HANOI:
HANOI(config)# crypto ipsec transform-set SETNAME esp-3des esp-md5- hmac
HANOI(config)# crypto ipsec security-association lifetime seconds 86400
- Bước 6: Cấu hình Access List(ACL) dãy IP có thể của VPN
THAINGUYEN(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
HANOI(config)# access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Bước 7: Tạo và áp dụng các crypto map + Tại router TN:
THAINGUYEN(config)# crypto map MAPNAME 10 ipsec-isakmp THAINGUYEN(config-crypto-map)# match address 100
THAINGUYEN(config-crypto-map)# set peer 115.114.113.1 THAINGUYEN(config-crypto-map)# set transform-set SETNAME
+ Tại router HANOI:
HANOI(config)# crypto map MAPNAME 10 ipsec-isakmp HANOI(config-crypto-map)# match address 100
HANOI(config-crypto-map)# set peer 113.114.115.1 HANOI(config-crypto-map)# set transform-set SETNAME
# Áp dụng các crypto map vào các cổng router
THAINGUYEN(config)# interface serial0/0/0 THAINGUYEN(config-if)# crypto map MAPNAME HANOI(config)# interface serial0/0/1
HANOI(config-if)# crypto map MAPNAME
3.3.3 Kết quả cấu hình
thành, phạm vi không hạn chế, linh hoạt trong triển khai và mở rộng mạng. Ngày nay, VPN đã rất hữu ích và sẽ càng hữu ích trong tương lai. Các chuẩn đã được thi hành, điều đó sẽ cải tiến khả năng liên vận hành và quản lý. Chất lượng mạng trên các VPN cũng sẽ được cải thiện, cho phép cung cấp các ứng dụng mới như hội nghị truyền hình, điện thoại IP, các dịch vụ đa phương tiện.
Đề tài này em đã tìm hiểu một số vấn đề kỹ thuật liên quan đến việc thực hiện VPN, nội dung gồm những vấn đề chính sau:
- Các khái niệm cơ bản, đặc điểm của các giao thức đường hầm PPTP, L2PT và IPSec. Trong đó, IPSec đáp ứng được tốt các nhu cầu cao về an toàn dữ liệu, là giải pháp chính cho bảo mật các VPN của các tổ chức, công ty.
- Các thành phần cơ bản của mạng VPN: các yêu cầu về các thiết bị phần cứng, phần mềm để xây dựng một mạng VPN. Một điều thuận lợi là hiện nay do sự phát triển của công nghệ nên các thiết bị phần cứng và phần mềm được tích hợp nhiều chức năng, dễ sử dụng và dễ quản lý. Hơn nữa cơ sở hạ tầng mạng công cộng ngày một hoàn thiện nên việc xây dựng mạng VPN dễ dàng hơn và chất lượng của VPN cũng tốt hơn, đáp ứng được các dịch vụ mới. - Giao thức bảo mật IPSec: bảo mật IP ở cấp độ gói, thực hiện 2 quá trình
chính là xác thực và mật mã. Phần này giới thiệu một số thuật toán xác thực mật mã thường được sử dụng trong VPN như MD, SHA, MAC,…,DES, AES, DH và hoạt động cơ bản của IPSec để tạo ra đường hầm bảo mật giữa 2 thiết bị đầu cuối.
- Một số khái niệm tổng quan về hệ điều hành Cisco IOS: Cisco IOS là hệ điều hành được cài trên các Cisco router. Để có thể thiết lập một mạng VPN, đòi hỏi người lập trình mạng phải nắm vững kiến thức về Cisco IOS và các câu lệnh cấu hình.
Sau khi đã tìm hiểu một cách tổng quan về mạng riêng ảo VPN, em đã nắm vững được một số vấn đề cơ bản nêu trên, từ đó ứng dụng cấu hình Site – to – site VPN cho Trung tâm thế giới số. Hiện tại Site – to – site VPN có một số ưu điểm sau:
- Giảm được chi phí kết nối cũng như số nhân viên kỹ thuật hỗ trợ mạng - Dễ mở rộng và bảo trì hệ thống mạng
Cuối cùng, do VPN liên quan đến nhiều giao thức, thuật toán phức tạp và thời gian nghiên cứu đề tài còn hạn hẹp nên phạm vi của đề tài khó có thể đề cập hết, em rất mong nhận được những ý kiến đóng góp của thầy cô và các bạn.
Em xin chân thành cảm ơn
Thái nguyên, tháng 4 năm 2014 Sinh viên
Đồng Hùng Mạnh
TÀI LIỆU THAM KHẢO Tài liệu tiếng việt
[1]. Trần Công Hùng,Kỹ thuật mạng riêng ảo,Học Viện Bưu chính viễn thông, 7/2002.
Tài liệu tiếng anh
[1]. Cisco Networking Academy Program, CCNA 1- 4, Cisco Systems,V3.1.1 [2]. Cisco Networking Academy Program, Network Security 2, Cisco Systems, 2.0 [3]. Cisco Networking Academy Program, CCNP, Cisco Systems, v 3.2
Các trang Web [1]. http://vnpro.org/ [2]. http://tailieukythuat.com/ [3]. http://www.saigonlab.com.vn/ [4]. http://www.itexpert.org/ [5]. http://www.cisco.com/ [6]. http://www.dynamips.c om PHỤ LỤC Các thuật ngữ viết tắt :
Từ viết tắt Từ đầy đủ Ý nghĩa
3DES Triple Data Encryption Standard Thuật toán mật mã 3DES
ACK Acknowledgment Number Số xác nhận
AD Analog to Digital Chuyển đổi tương tự sang số
ADSL Asymmetric Digital Subscriber Line
Công nghệ truy nhập đường dây thuê bao số bất đối xứng
AES Advanced Encryption Standard Chuẩn mật mã cao cấp
Interface
ARIN American Registry for Internet Number
Tiêu chuẩn Mỹ cho địa chỉ Internet
ARP Address Resolution Protocol Giao thức tìm địa chỉ MAC từ địa chỉ IP
ATM Asynchronous Tranfer Mode Công nghệ truyền tải không đồng bộ
BGP Border Gateway Protocol Giao thức định tuyến cổng miền
B-ISDN Broadband Integrated Service Digital Network
Mạng số đa dịch vụ băng rộng
CA Certificate Authority Nhà phân phối chứng thực số
CHAP Challenge Handshake Authentication Protocol.
Giao thức xác thực yêu cầu bắt tay
CSU Channel Service Unit Đơn vị dịch vụ kênh
DCE Data Communication Equipment Thiết bị truyền thông dữ liệu
DES Data Encryption Standard Thuật toán mật mã DES
DHCP Dynamic Host Configuration Protocol
Giao thức cấu hình host động
DNS Domain Name System Hệ thống tên miền
DSL Digital Subcriber Line Đường dây thuê bao số
DSP Digital Signal Processors Bộ xử lý tín hiệu số
DSU Data Service Unit Đơn vị dịch vụ dữ liệu
EAP Extensible Authentication Protocol
Giao thức xác thực mở rộng
ESP Encapsulating Security Payload Giao thức tải an ninh đóng gói
FCS Frame Check Sequence Chuỗi kiểm tra khung
FR Frame Relay Chuyển tiếp khung dữ liệu
FTP File Transfer Protocol Giao thức truyền file
GRE Generic Routing Encapsulation Đóng gói định tuyến chung
GVPNS Global VPN Service Dịch vụ VPN toàn cầu
HMAC Hash Message Authentication
Code Thuật toán HMAC
ICMP Internet Control Message Protocol
Giao thức bản tin điều khiển Internet
IETF Internet Engineering Task Force Cơ quan chuẩn Internet
IGP Interior Gateway Protocol Giao thức định tuyến trong miền
IP-Sec Internet Protocol Security Giao thức an ninh Internet
ISAKMP Internet Security Asociasion and Key Management Protocol
Giao thức quản lý khoá và kết hợp an ninh Internet
ISDN Integrated Service Digital Network
Mạng số đa dịch vụ
ISO International Standard Organization
Tổ chức chuẩn quốc tế
ISP Internet Service Provider Nhà cung cấp dịch vụ internet
L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2
L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm lớp 2
LAN Local Area Network Mạng cục bộ
MAC Message Authentication Code Mã xác thực bản tin
MD5 Message Digest 5 Thuật toán MD5
MPPE Microsoft Point-to-Point Encryption
Mã hoá điểm-điểm của Microsoft
MTU Maximum Transfer Unit Đơn vị truyền tải lớn nhất
NAS Network Access Server Máy chủ truy nhập mạng
NCP Network Control Protocol Giao thức điều khiển mạng
NFS Network File System
Giao thức hoạt động ở tầng ứng dụng nhằm cung cấp các dịch vụ về file và các thao tác từ xa.
NGN Next Generation Network Mạng thế hệ sau
NSA National Security Agency Cơ quan an ninh quốc gia Mỹ
PAP Passwork Authentication Protocol
Giao thức xác thực mật khẩu.
PKI Public Key Infrastructure Cơ sở hạ tầng khoá công khai
POP Point of presence Điểm truy cập truyền thống.
PPP Point to Point Protocol Giao thức điểm tới điểm
PPTP Point to Point Tunneling Protocol
Giao thức đường ngầm điểm tới điểm
QoS Quality of Service Chất lượng dịch vụ
RADIUS Remote Authentication Dial-In User Service
Xác thực người dùng quay số từ xa
RARP Reverse Address Resolution
Protocol
Giao thức tìm địa chỉ IP từ địa chỉ MAC
RAS Remote Access Service Dịch vụ truy nhập từ xa
RSA Ron Shamir Adleman Thuật toán mã hóa công khai
SDH Synchronous Digital Hierachy Phân cấp số đồng bộ
SG Signling Gateway Cổng kết nối báo hiệu
SHA - 1 Secure Hash Algorithm -1 Thuật toán SHA -1
SIG Session Initiation Protocol Giao thức khởi tạo phiên
SLIP Serial Line Internet Protocol Giao thức sử dụng đường kết nối của điện thoại
SMTP Simple Mail Transfer Protocol Giao thức truyền mail
SNMP Simple Network Management
Protoco Giao thức quản lý mạng
SONET Synchronous Optical Network Mạng quang đồng bộ
SPI Sercurity Parameter Index Chỉ số thông số an ninh
SVC Switched Virtual Circuit Mạch ảo chuyển mạch
TCP Transmission Control Protocol Giao thức điều khiển đường truyền
TE Terminal Equipment Thiết bị đầu cuối
Telnet Terminal emulation Giao thức truy cập điều khiển từ xa
TFTP Trivial File Transfer Protocol Giao thưc truyền file
UDP User Datagram Protocol Giao thức UDP
UNI User Network Interface Giao diện mạng người sử dụng
VC Virtual Circuit Kênh ảo
VCI Virtual Circuit Identifier Nhận dạng kênh ảo
VNS Virtual Network Service Dịch vụ mạng ảo
VPI Virtual Path Identifier Nhận dạng đường ảo
VPN Virtual Private Network Mạng riêng ảo
WAN Wide Area Network Mạng diện rộng
SHDSL Symmetric High bit Digital
Subscriber Line
Công nghệ truyền dữ liệu đối xứng
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN ……… ……… ……… ……… ……… ……… ……… ……… ……… ……… ……… ……… ……… ……… ……… ……… ……… ……… ……… ……… ……… Thái Nguyên, ngày tháng 04 năm 2014