Upload
tr-thanh
View
131
Download
1
Embed Size (px)
Citation preview
Báo Cáo Thực Tập 13-20/8/2014
BÁO CÁO THỰC TẬP TUẦN 6
ĐỀ TÀI : NGHIÊN CỨU CƠ CHẾ ROUTING CỦA CISCO, MÔ PHỎNG TRÊN NỀN GNS3
Giảng Viên Hướng Dẫn : Thầy VÕ ĐỖ THẮNG
Sinh Viên Thực Hiện : BÙI TRƯỜNG THANH
1
Báo Cáo Thực Tập 13-20/8/2014
MỤC LỤC
ContentsI. KHÁI NIỆM VPN:............................................................................................................................3
II. PHÂN LOẠI:.....................................................................................................................................3
1. VPN truy cập từ xa (Remote Access)...........................................................................................3
2. VPN điểm nối điểm (Site to Site)..................................................................................................4
III. CÁC YÊU CẦU CƠ BẢN ĐỐI VỚI MỘT GIẢI PHÁP VPN.......................................................5
1. Tính tương thích............................................................................................................................5
2. Tính bảo mật..................................................................................................................................5
3. Tính khả dụng................................................................................................................................6
4. Khả năng hoạt động tương tác......................................................................................................6
IV. KIẾN TRÚC CỦA MỘT MẠNG VPN............................................................................................6
V. MỘT SỐ GIAO THỨC CHO VPN...........................................................................................................7
1. Point to Point Tunneling Protocol (PPTP).......................................................................................7
2. Layer 2 Tunneling Protocol (L2TP).................................................................................................7
VI. LỢI ÍCH CỦA VPN..........................................................................................................................7
1. Đối với khách hàng.............................................................................................................................8
2. Đối với nhà cung cấp dịch vụ............................................................................................................8
VII. CẤU HÌNH VPN SITE-TO-SITE:...................................................................................................8
Mô hình mạng....................................................................................................................................8
1. Các bước cấu hình:........................................................................................................................9
2. Triển khai chi tiết:.........................................................................................................................9
...........................................................................................................................................................15
2
Báo Cáo Thực Tập 13-20/8/2014
CÔNG NGHỆ VPN
I. KHÁI NIỆM VPN:
Hình 1.1 Mô hình mạng VPN cơ bản
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.
II. PHÂN LOẠI:1. VPN truy cập từ xa (Remote Access)
Remote Access, hay còn gọi là virtual private dial-up network (VPDN).
Cung cấp các truy cập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ
tầng chia sẻ Access VPN, đây là kết nối user to LAN dành cho nhân viên muốn kết
nối từ xa đến mạng cục bộ công ty bằng dial-up.
3
Báo Cáo Thực Tập 13-20/8/2014
Hình 2.1 Mô hình VPN truy cập từ xa
2. VPN điểm nối điểm (Site to Site)
Đây là cách kết nối nhiều văn phòng trụ sở xa nhau thông qua các thiết bị
chuyên dụng và một đường truyền được mã hoá ở qui mô lớn hoạt động trên nền
Internet. Site to Site VPN gồm 2 loại:
Các VPN nội bộ (Intranet VPN )
Đây là kiểu kết nối site to site VPN. Các chi nhánh có riêng một Sever VPN
và kết nối lại với nhau thông qua Internet. Và các chi nhánh này sẽ kết nối lại với
nhau thành một mạng riêng duy nhất (Intranet VPN) và kết nối LAN to LAN.
Các VPN mở rộng ( Extranet VPN )
Khi một công ty có quan hệ mật thiết với công ty khác (ví dụ như một đối
tác, nhà cung cấp hay khách hàng) họ có thể xây dựng một extranet VPN nhằm kết
nối Lan to Lan và cho phép các công ty này cùng làm việc trao đổi trong một môi
trường chia sẻ riêng biệt (tất nhiên vẫn trên nền Internet).
4
Báo Cáo Thực Tập 13-20/8/2014
Hình 2.2 Mô hình VPN điểm nối điểm
III. CÁC YÊU CẦU CƠ BẢN ĐỐI VỚI MỘT GIẢI PHÁP VPN
Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo.
1. Tính tương thích
Tính tương thích (Compatibility): Mỗi công ty, mỗi doanh nghiệp đều được
xây dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục
khác nhau và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ. Rất
nhiều các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết
nối trực tiếp với Internet.
2. Tính bảo mật
Tính bảo mật (Security): Tính bảo mật cho khách hàng là một yếu tố
quan trọng nhất đối với một giải pháp VPN. Người sử dụng cần được
đảm bảo các dữ liệu thông qua mạng VPN đạt được mức độ an toàn
giống như trong một hệ thống mạng dùng riêng do họ tự xây dựng và
quản lý.
3. Tính khả dụng
5
Báo Cáo Thực Tập 13-20/8/2014
Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp
được tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng
truyền.
4. Khả năng hoạt động tương tác
Mặc dù VPN đã xuất hiện trên thị trường khoảng 2 năm trở lại đây nhưng các tiêu chuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hoá một cách toàn diện, các nhà sản xuất thiết bị vẫn phát triển các chuẩn kỹ thuật riêng của mình. Vì vậy cần chú ý việc lựa chọn thiết bị nào trong khi phát triển mạng riêng ảo, cũng như đảm bảo tính đồng bộ của thiết bị sử dụng. Trên thế giới hiện có tới 60 giải pháp khác nhau liên quan đến VPN.
IV.KIẾN TRÚC CỦA MỘT MẠNG VPN
Đường hầm: phần ảo trong VPN:
Không duy trì kết nối thường trực giữa các điểm cuối, thay vào đó một nối chỉ được tạo ra giữa hai site khi cần thiết, khi không còn cần thiết nữa thì nó sẽ bị huỷ bỏ, tài nguyên mạng sẵn sàng cho những kết nối khác.
Đối với người sử dụng VPN những thành phần vật lý của mạng được các ISP giấu đi. Việc che giấu cơ sở hạ tầng của ISP và Internet được thực hiện bởi khái niệm gọi là định đường hầm (Tunneling)
Việc tạo đường hầm tạo ra một kết nối đặc biệt giữa hai điểm cuối. Đểtạo ra một đường hầm điểm cuối nguồn phải đóng các gói của mình trong những gói IP (IP Packet) cho việc truyền qua Internet. Trong VPN việc đóng gói bao gồm cả việc mã hoá gói gốc. Điểm cuối nhận, cổng nối (Gateway) gỡ bỏtiêu đề IP và giải mã gói nếu cần và và chuyển gói đến đích của nó.
Việc tạo đường hầm cho phép những dòng dữ liệu và thông tin người dùng kết hợp được truyền trên một mạng chia sẻ trong một ống ảo(virtual pipe). ống này làm cho việc định tuyến trên mạng hoàn toàn trở nên trong suốt đối với người dùng
6
Báo Cáo Thực Tập 13-20/8/2014
V. MỘT SỐ GIAO THỨC CHO VPN1. Point to Point Tunneling Protocol (PPTP)
PPTP là mở rộng của giao thức PPP (RFC 1661).
Dịch vụ đường hầm mà PPTP cung cấp chạy phía trên của lớp IP, ngược lại thì giao thức PPP truyền thống lại nằm ở phía dưới. PPP thích hợp cho việc biến đổi bởi vì hoạt động của nó cũng gần giống như hoạt động mà VPN cần, nhưng PPP khôngan toàn.
Kết nối điều khiển PPTP: Khi sử dụng kết nối tới Internet được thiết lập bởi PPP, PPTP thiết lập kết nối điều khiển, sử dụng cổng TCP 1723, kết nối này dùngTCP để thiết lập.
Xác thực: Các máy khách PPTP được nhận thực khi sử dụng giao thức PPP. Các mật khẩu rõ ràng được sử dụng các cách xác thực là PAP – Password Authentication Protocol, CHAP – Chalenge Handshake Authentication Protocol. RFC 1334, RFC1994, RFC2284.
2. Layer 2 Tunneling Protocol (L2TP)Giao thức đường hầm lớp 2 lai ghép(Hybrid Layer 2 tunneling)
- Giao thức để xây dựng đường hầm cho VPN đối với nhu cầu truy cập từ xa. Là mở rộng của giao thức PPP, kết hợp được ưu điểm của L2F củaCisco và PPTP củaMicrosoft.
- Hỗ trợ cho môi trường đa giao thức: Truyền được bất kỳ giao thức nào đượcđịnhtuyến gồm:IP, IPX,AppleTalk.
- Phương tiện độc lập: L2PT hoạt động trên bất kỳ mạng nào có khả năng truyền khung IP, hỗ trợ bất kỳ đường trục WAN nào: Frame Relay, ATM, X25, SONET, hỗ trợ các phương tiện LAN: Ethernet, TokenRing, FDDI.
- Có thế thiết lập từ máy chủ truy cập mạng (Network Access Server) hoặc từ phần mềm client tới một router hoạt động như điểm đầu cuối của đường hầm.
VI. LỢI ÍCH CỦA VPN
7
Báo Cáo Thực Tập 13-20/8/2014
1. Đối với khách hàng
Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng các kênh thuê riêng.
Quản lý dễ dàng : Khách hàng có khả năng quản lý số lượng người sử dụng (khả năng thêm, xoá kênh kết nối liên tục, nhanh chóng)
2. Đối với nhà cung cấp dịch vụ Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia
tăng giá trị khác kèm theo. Tăng hiệu quả sử dụng mạng Internet hiện tại. Kéo theo khả năng tư vấn thiết kết mạng cho khách hàng đây là một yếu tố
quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng đặc biệt là các khách hàng lớn.
Ðầu tư không lớn hiệu quả đem lại cao. Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ: Thiết bị sử
dụng cho mạng VPN
VII. CẤU HÌNH VPN SITE-TO-SITE:
Mô hình mạng
Yêu cầu:
8
Báo Cáo Thực Tập 13-20/8/2014
Thực hiện IPSec- VPN giữa hai chi nhánh (hai site) đảm bảo hai site phải giao tiếp được với nhau qua IPSec Tunnel.
1. Các bước cấu hình:Cấu hìn chính sách ISAKMP/IKE phase 1
Cấu hình IPSec Transform-set ( ISAKMP/IKE phase 2 )
Tạo Access control list ACL
Cấu hình crypto map
Đưa crypto map lên interface
2. Triển khai chi tiết:Bước 1: Cấu hình cơ bản trên từng Router:
Router ISP: chỉ cấu hình hostname và IP của các interface như mô hình trên
R2(config)#hostname ISP
ISP(config)#interface s1/0
ISP(config-if)#ip address 10.1.0.2 255.255.255.0
ISP(config-if)#no shutdown
ISP(config)#interface s1/1
ISP(config-if)#ip address 10.2.0.2 255.255.255.0
ISP(config-if)#no shutdown
Router R1 và R3 , cấu hình ip theo mô hình, sau đó cấu hình default route.
R1(config)#interface s1/0
R1(config-if)#ip address 10.1.0.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.1.254 255.255.255.0
9
Báo Cáo Thực Tập 13-20/8/2014
R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.0.2
R3(config)#interface s2/0
R3(config-if)#ip address 10.2.0.1 255.255.255.0
R3(config-if)#no shutdown
R3(config)#interface f0/0
R3(config-if)#ip address 192.168.2.254 255.255.255.0
R3(config)#ip route 0.0.0.0 0.0.0.0 10.2.0.2
Bước 2: Cấu hình ISAKMP/IKE phase 1
Ở bước này ta quy định các thông số bảo mật của ISAKMP SA gồm:
- Phương pháp chứng thực
- Thuật toán hash
- Thuật toán mã hóa
- Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
Trên router R1:
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#hash md5 // thuật toán hash
R1(config-isakmp)#encryption des // thuật toán mã hoá
R1(config-isakmp)#group 2 // số nhóm (version) Diffie-Hellman
R1(config-isakmp)#authentication pre-share // Phương thức chứng thực
R1(config)#crypto isakmp key VPN123 address 10.2.0.1 // Xác định thông tin key và peer
10
Báo Cáo Thực Tập 13-20/8/2014
Kết quả khi “ show crypto isakmp policy”:
Trên router R3:
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#hash md5
R3 (config-isakmp)#encryption des
R3(config-isakmp)#group 2
R3(config-isakmp)#authentication pre-share
R3(config)#crypto isakmp key VPN123 address 10.1.0.1
Kết quả khi “ show crypto isakmp policy”:
11
Báo Cáo Thực Tập 13-20/8/2014
Bước 3: Cấu hình chính sách IPSec (IKE phase 2)
Thiết lập IPSec SA dựa trên những thông số của phase 1
R1(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des //chọn giao thức ESP để đóng gói dữ liệu
R1 (config)#crypto ipsec security-association lifetime seconds 1800 //thời gian tồn tại của IPSec SA
R3(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des
R3(config)#crypto ipsec security-association lifetime seconds 1800
Bước 4: Tạo Access control list ACL
Xác định luồng dữ liệu nào sẽ được mã hoá bảo vệ
R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
R3(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Bước 5: Cấu hình Crypto map
R1(config)#crypto map MYMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.
R1(config-crypto-map)#set peer 10.2.0.1
R1(config-crypto-map)#set transform-set MYSET
R1(config-crypto-map)#match address 100
R3(config)#crypto map MYMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
R3(config-crypto-map)#set peer 10.1.0.1
12
Báo Cáo Thực Tập 13-20/8/2014
R3(config-crypto-map)#set transform-set MYSET
R3(config-crypto-map)#match address 100
Bước 6: Đưa crypto map vào interface
R1(config)#interface s1/0
R1(config-if)#crypto map MYMAP
R3(config)#interface s2/0
R3(config-if)#crypto map MYMAP
Kiểm tra:
Kiểm tra kết nối giữa 2 LAN 192.168.1.0/24 và 192.168.2.0/24
Kiểm tra crypto map:
13
Báo Cáo Thực Tập 13-20/8/2014
Kiểm tra IPSec SA:
14
Báo Cáo Thực Tập 13-20/8/2014
Kiểm tra ISAKMP SA:
15