Báo cáo thực tập athena tuần 6 bùi trường thanh

Báo Cáo Thực Tập 13-20/8/2014

BÁO CÁO THỰC TẬP TUẦN 6

ĐỀ TÀI : NGHIÊN CỨU CƠ CHẾ ROUTING CỦA CISCO, MÔ PHỎNG TRÊN NỀN GNS3

Giảng Viên Hướng Dẫn : Thầy VÕ ĐỖ THẮNG

Sinh Viên Thực Hiện : BÙI TRƯỜNG THANH

1


MỤC LỤC

ContentsI. KHÁI NIỆM VPN:............................................................................................................................3

II. PHÂN LOẠI:.....................................................................................................................................3

1. VPN truy cập từ xa (Remote Access)...........................................................................................3

2. VPN điểm nối điểm (Site to Site)..................................................................................................4

III. CÁC YÊU CẦU CƠ BẢN ĐỐI VỚI MỘT GIẢI PHÁP VPN.......................................................5

1. Tính tương thích............................................................................................................................5

2. Tính bảo mật..................................................................................................................................5

3. Tính khả dụng................................................................................................................................6

4. Khả năng hoạt động tương tác......................................................................................................6

IV. KIẾN TRÚC CỦA MỘT MẠNG VPN............................................................................................6

V. MỘT SỐ GIAO THỨC CHO VPN...........................................................................................................7

1. Point to Point Tunneling Protocol (PPTP).......................................................................................7

2. Layer 2 Tunneling Protocol (L2TP).................................................................................................7

VI. LỢI ÍCH CỦA VPN..........................................................................................................................7

1. Đối với khách hàng.............................................................................................................................8

2. Đối với nhà cung cấp dịch vụ............................................................................................................8

VII. CẤU HÌNH VPN SITE-TO-SITE:...................................................................................................8

Mô hình mạng....................................................................................................................................8

1. Các bước cấu hình:........................................................................................................................9

2. Triển khai chi tiết:.........................................................................................................................9

...........................................................................................................................................................15

2


CÔNG NGHỆ VPN

I. KHÁI NIỆM VPN:

Hình 1.1 Mô hình mạng VPN cơ bản

VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.

II. PHÂN LOẠI:1. VPN truy cập từ xa (Remote Access)

Remote Access, hay còn gọi là virtual private dial-up network (VPDN).

Cung cấp các truy cập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ

tầng chia sẻ Access VPN, đây là kết nối user to LAN dành cho nhân viên muốn kết

nối từ xa đến mạng cục bộ công ty bằng dial-up.

3


Hình 2.1 Mô hình VPN truy cập từ xa

2. VPN điểm nối điểm (Site to Site)

Đây là cách kết nối nhiều văn phòng trụ sở xa nhau thông qua các thiết bị

chuyên dụng và một đường truyền được mã hoá ở qui mô lớn hoạt động trên nền

Internet. Site to Site VPN gồm 2 loại:

Các VPN nội bộ (Intranet VPN )

Đây là kiểu kết nối site to site VPN. Các chi nhánh có riêng một Sever VPN

và kết nối lại với nhau thông qua Internet. Và các chi nhánh này sẽ kết nối lại với

nhau thành một mạng riêng duy nhất (Intranet VPN) và kết nối LAN to LAN.

Các VPN mở rộng ( Extranet VPN )

Khi một công ty có quan hệ mật thiết với công ty khác (ví dụ như một đối

tác, nhà cung cấp hay khách hàng) họ có thể xây dựng một extranet VPN nhằm kết

nối Lan to Lan và cho phép các công ty này cùng làm việc trao đổi trong một môi

trường chia sẻ riêng biệt (tất nhiên vẫn trên nền Internet).

4


Hình 2.2 Mô hình VPN điểm nối điểm

III. CÁC YÊU CẦU CƠ BẢN ĐỐI VỚI MỘT GIẢI PHÁP VPN

Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo.

1. Tính tương thích

Tính tương thích (Compatibility): Mỗi công ty, mỗi doanh nghiệp đều được

xây dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục

khác nhau và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ. Rất

nhiều các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết

nối trực tiếp với Internet.

2. Tính bảo mật

Tính bảo mật (Security): Tính bảo mật cho khách hàng là một yếu tố

quan trọng nhất đối với một giải pháp VPN. Người sử dụng cần được

đảm bảo các dữ liệu thông qua mạng VPN đạt được mức độ an toàn

giống như trong một hệ thống mạng dùng riêng do họ tự xây dựng và

quản lý.

3. Tính khả dụng

5


Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp

được tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng

truyền.

4. Khả năng hoạt động tương tác

Mặc dù VPN đã xuất hiện trên thị trường khoảng 2 năm trở lại đây nhưng các tiêu chuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hoá một cách toàn diện, các nhà sản xuất thiết bị vẫn phát triển các chuẩn kỹ thuật riêng của mình. Vì vậy cần chú ý việc lựa chọn thiết bị nào trong khi phát triển mạng riêng ảo, cũng như đảm bảo tính đồng bộ của thiết bị sử dụng. Trên thế giới hiện có tới 60 giải pháp khác nhau liên quan đến VPN.

IV.KIẾN TRÚC CỦA MỘT MẠNG VPN

Đường hầm: phần ảo trong VPN:

Không duy trì kết nối thường trực giữa các điểm cuối, thay vào đó một nối chỉ được tạo ra giữa hai site khi cần thiết, khi không còn cần thiết nữa thì nó sẽ bị huỷ bỏ, tài nguyên mạng sẵn sàng cho những kết nối khác.

Đối với người sử dụng VPN những thành phần vật lý của mạng được các ISP giấu đi. Việc che giấu cơ sở hạ tầng của ISP và Internet được thực hiện bởi khái niệm gọi là định đường hầm (Tunneling)

Việc tạo đường hầm tạo ra một kết nối đặc biệt giữa hai điểm cuối. Đểtạo ra một đường hầm điểm cuối nguồn phải đóng các gói của mình trong những gói IP (IP Packet) cho việc truyền qua Internet. Trong VPN việc đóng gói bao gồm cả việc mã hoá gói gốc. Điểm cuối nhận, cổng nối (Gateway) gỡ bỏtiêu đề IP và giải mã gói nếu cần và và chuyển gói đến đích của nó.

Việc tạo đường hầm cho phép những dòng dữ liệu và thông tin người dùng kết hợp được truyền trên một mạng chia sẻ trong một ống ảo(virtual pipe). ống này làm cho việc định tuyến trên mạng hoàn toàn trở nên trong suốt đối với người dùng

6


V. MỘT SỐ GIAO THỨC CHO VPN1. Point to Point Tunneling Protocol (PPTP)

PPTP là mở rộng của giao thức PPP (RFC 1661).

Dịch vụ đường hầm mà PPTP cung cấp chạy phía trên của lớp IP, ngược lại thì giao thức PPP truyền thống lại nằm ở phía dưới. PPP thích hợp cho việc biến đổi bởi vì hoạt động của nó cũng gần giống như hoạt động mà VPN cần, nhưng PPP khôngan toàn.

Kết nối điều khiển PPTP: Khi sử dụng kết nối tới Internet được thiết lập bởi PPP, PPTP thiết lập kết nối điều khiển, sử dụng cổng TCP 1723, kết nối này dùngTCP để thiết lập.

Xác thực: Các máy khách PPTP được nhận thực khi sử dụng giao thức PPP. Các mật khẩu rõ ràng được sử dụng các cách xác thực là PAP – Password Authentication Protocol, CHAP – Chalenge Handshake Authentication Protocol. RFC 1334, RFC1994, RFC2284.

2. Layer 2 Tunneling Protocol (L2TP)Giao thức đường hầm lớp 2 lai ghép(Hybrid Layer 2 tunneling)

- Giao thức để xây dựng đường hầm cho VPN đối với nhu cầu truy cập từ xa. Là mở rộng của giao thức PPP, kết hợp được ưu điểm của L2F củaCisco và PPTP củaMicrosoft.

- Hỗ trợ cho môi trường đa giao thức: Truyền được bất kỳ giao thức nào đượcđịnhtuyến gồm:IP, IPX,AppleTalk.

- Phương tiện độc lập: L2PT hoạt động trên bất kỳ mạng nào có khả năng truyền khung IP, hỗ trợ bất kỳ đường trục WAN nào: Frame Relay, ATM, X25, SONET, hỗ trợ các phương tiện LAN: Ethernet, TokenRing, FDDI.

- Có thế thiết lập từ máy chủ truy cập mạng (Network Access Server) hoặc từ phần mềm client tới một router hoạt động như điểm đầu cuối của đường hầm.

VI. LỢI ÍCH CỦA VPN

7


1. Đối với khách hàng

Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng các kênh thuê riêng.

Quản lý dễ dàng : Khách hàng có khả năng quản lý số lượng người sử dụng (khả năng thêm, xoá kênh kết nối liên tục, nhanh chóng)

2. Đối với nhà cung cấp dịch vụ Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia

tăng giá trị khác kèm theo. Tăng hiệu quả sử dụng mạng Internet hiện tại. Kéo theo khả năng tư vấn thiết kết mạng cho khách hàng đây là một yếu tố

quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng đặc biệt là các khách hàng lớn.

Ðầu tư không lớn hiệu quả đem lại cao. Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ: Thiết bị sử

dụng cho mạng VPN

VII. CẤU HÌNH VPN SITE-TO-SITE:

Mô hình mạng

Yêu cầu:

8


Thực hiện IPSec- VPN giữa hai chi nhánh (hai site) đảm bảo hai site phải giao tiếp được với nhau qua IPSec Tunnel.

1. Các bước cấu hình:Cấu hìn chính sách ISAKMP/IKE phase 1

Cấu hình IPSec Transform-set ( ISAKMP/IKE phase 2 )

Tạo Access control list ACL

Cấu hình crypto map

Đưa crypto map lên interface

2. Triển khai chi tiết:Bước 1: Cấu hình cơ bản trên từng Router:

Router ISP: chỉ cấu hình hostname và IP của các interface như mô hình trên

R2(config)#hostname ISP

ISP(config)#interface s1/0

ISP(config-if)#ip address 10.1.0.2 255.255.255.0

ISP(config-if)#no shutdown

ISP(config)#interface s1/1

ISP(config-if)#ip address 10.2.0.2 255.255.255.0

ISP(config-if)#no shutdown

Router R1 và R3 , cấu hình ip theo mô hình, sau đó cấu hình default route.

R1(config)#interface s1/0

R1(config-if)#ip address 10.1.0.1 255.255.255.0

R1(config-if)#no shutdown

R1(config)#interface f0/0


9


R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.0.2



R3(config-if)#no shutdown

R3(config)#interface f0/0


R3(config)#ip route 0.0.0.0 0.0.0.0 10.2.0.2

Bước 2: Cấu hình ISAKMP/IKE phase 1

Ở bước này ta quy định các thông số bảo mật của ISAKMP SA gồm:

- Phương pháp chứng thực

- Thuật toán hash

- Thuật toán mã hóa

- Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)

Trên router R1:

R1(config)#crypto isakmp policy 10

R1(config-isakmp)#hash md5 // thuật toán hash

R1(config-isakmp)#encryption des // thuật toán mã hoá

R1(config-isakmp)#group 2 // số nhóm (version) Diffie-Hellman

R1(config-isakmp)#authentication pre-share // Phương thức chứng thực

R1(config)#crypto isakmp key VPN123 address 10.2.0.1 // Xác định thông tin key và peer

10


Kết quả khi “ show crypto isakmp policy”:

Trên router R3:

R3(config)#crypto isakmp policy 10

R3(config-isakmp)#hash md5

R3 (config-isakmp)#encryption des

R3(config-isakmp)#group 2

R3(config-isakmp)#authentication pre-share

R3(config)#crypto isakmp key VPN123 address 10.1.0.1

Kết quả khi “ show crypto isakmp policy”:

11


Bước 3: Cấu hình chính sách IPSec (IKE phase 2)

Thiết lập IPSec SA dựa trên những thông số của phase 1

R1(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des //chọn giao thức ESP để đóng gói dữ liệu

R1 (config)#crypto ipsec security-association lifetime seconds 1800 //thời gian tồn tại của IPSec SA

R3(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des

R3(config)#crypto ipsec security-association lifetime seconds 1800

Bước 4: Tạo Access control list ACL

Xác định luồng dữ liệu nào sẽ được mã hoá bảo vệ

R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

R3(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

Bước 5: Cấu hình Crypto map

R1(config)#crypto map MYMAP 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.

R1(config-crypto-map)#set peer 10.2.0.1

R1(config-crypto-map)#set transform-set MYSET

R1(config-crypto-map)#match address 100

R3(config)#crypto map MYMAP 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer

and a valid access list have been configured.

R3(config-crypto-map)#set peer 10.1.0.1

12


R3(config-crypto-map)#set transform-set MYSET

R3(config-crypto-map)#match address 100

Bước 6: Đưa crypto map vào interface


R1(config-if)#crypto map MYMAP


R3(config-if)#crypto map MYMAP

Kiểm tra:

Kiểm tra kết nối giữa 2 LAN 192.168.1.0/24 và 192.168.2.0/24

Kiểm tra crypto map:

13


Kiểm tra IPSec SA:

14


Kiểm tra ISAKMP SA:

15

Documents

Báo cáo thực tập athena tuần 6 bùi trường thanh