MỤC LỤC Trang MỤC LỤC LỜI NÓI ĐẦU CHƯƠNG 1: KHÁI QUÁT VỀ MẠNG RIÊNG ẢO 1.1 Định nghĩa mạng riêng ảo 1.2 Chức lợi ích VPN 1.2.1 Chức 1.2.2 Lợi ích 1.3 Các dạng kết nối VPN .6 1.3.2 Site-to-Site VPN .7 1.4 Các thành phần VPN 10 1.4.1 Máy chủ VPN 10 1.4.2 Máy khách VPN .11 1.4.3 Bộ định tuyến VPN 11 1.4.4 Bộ tập trung VPN (VPN Concentrators) 12 1.4.5 Cổng kết nối VPN 12 CHƯƠNG 2: CÁC GIAO THỨC XÂY DỰNG VPN 14 2.1 Giao thức đường hầm điểm - điểm PPTP 14 2.1.1 Kiến trúc PPTP 14 2.1.2 Sử dụng PPTP 18 2.1.3 Khả áp dụng thực tế PPTP 20 2.2 Giao thức đường hầm tầng 2_L2TP(Layer two Tunneling Protocol) 20 2.2.1 Dạng thức L2TP .21 2.2.2 Sử dụng L2TP 24 2.2.3 Khả áp dụng thực tế L2TP 26 2.3 Giao thức bảo mật IPSec 27 2.3.1 Khung giao thức IPSec .28 2.3.2 Hoạt động IPSec .32 2.3.3 Ví dụ hoạt động IPSec 41 -1- 2.3.4 Các vấn đề tồn đọng IPSec 42 CHƯƠNG 3: TỔNG QUAN VỀ HỆ ĐIỀU HÀNH CISCO ISO .43 3.1 Kiến trúc hệ thống .43 3.2 Cisco IOS CLI .44 3.3 Các đặc điểm phần mềm Cisco IOS 45 3.4 Hoạt động phần mềm Cisco IOS 46 3.5 Quy trình cấu hình bước IPSec/VPN Cisco IOS .47 3.5.1 Chuẩn bị cho IKE IPSec 47 3.5.2 Cấu hình cho IKE Phase 47 3.5.3 Cấu hình cho IKE Phase 48 3.6 Kiểm tra lại việc thực IPSec .55 CHƯƠNG 4: ỨNG DỤNG XÂY DỰNG HỆ THỐNG SITE-TO-SITE VPN CHO CÔNG TY TNHH THÀNH ĐẠT 57 4.1 Giới thiệu .57 4.2 Khảo sát trạng hệ thống 57 4.3 Sơ đồ trạng hệ thống 58 4.4 Giải pháp 60 4.4.1 Sử dụng dịch vụ Internet Leased line 60 4.4.2 Thiết lập mạng riêng ảo VPN 62 4.5 Lựa chọn giải pháp 64 4.5 Ứng dụng cấu hình site-to-site VPN cho hệ thống : 65 4.5.1 Mô hình hệ thống .65 4.5.2 Các bước cấu hình .65 KẾT LUẬN 68 TÀI LIỆU THAM KHẢO 70 PHỤ LỤC 71 -2- LỜI NÓI ĐẦU Ngày nay, với phát triển nhanh chóng khoa học kỹ thuật đặc biệt Công nghệ thông tin Viễn thông góp phần quan trọng vào phát triển kinh tế giới Các tổ chức, doanh nghiệp có nhiều chi nhánh, công ty đa quốc gia trình hoạt động phải trao đổi thông tin với khách hàng, đối tác, nhân viên họ Chính đòi hỏi phải nắm bắt thông tin nhất, xác nhất, đồng thời phải đảm bảo độ tin cậy cao chi nhánh khắp giới, với đối tác khách hàng Để đáp ứng yêu cầu khứ có hai loại hình dịch vụ Viễn thông mà tổ chức, doanh nghiệp chọn lựa sử dụng cho kết nối là: thuê đường Leased – line nhà cung cấp để kết nối tất mạng công ty lại với nhau, sử dụng Internet để liên lạc với Sự đời kỹ thuật mạng riêng ảo VPN dung hoà hai loại hình dịch vụ trên, xây dựng sở hạ tầng sẵn có mạng Internet lại có tính chất mạng cục sử dụng đường Leasedline Vì vậy, nói VPN lựa chọn tối ưu cho doanh nghiệp kinh tế Với đề tài: ” Nghiên cứu mạng riêng ảo xây dựng hệ thống site-to-site VPN cho công ty TNHH Thành Đạt” đợt thực tập này, em hy vọng góp phần tìm hiểu Công nghệ VPN, đồng thời góp phần phổ biến rộng rãi kỹ thuật VPN Em xin chân thành cảm ơn thầy cô khoa đặc biệt thầy giáo Dương Chính Cương giúp đỡ em đợt thực tập Thái Nguyên tháng 06/2009 -3- CHƯƠNG 1: KHÁI QUÁT VỀ MẠNG RIÊNG ẢO 1.1 Định nghĩa mạng riêng ảo Mạng riêng ảo - VPN (Virtual Private Network) mạng cục sử dụng hệ thống mạng công cộng sẵn có Internet để kết nối văn phòng nhân viên xa Một VPN (mạng riêng ảo) sử dụng kết nối ảo thiết lập môi trường Internet từ mạng riêng công ty tới văn phòng nhân viên cách xa địa lý Để gửi nhận liệu thông qua mạng công cộng mà bảo đảm tính an toàn bảo mật, VPN cung cấp chế mã hóa liệu đường truyền tạo đường ống bảo mật nơi gửi nơi nhận (Tunnel), giống kết nối point -to- point mạng riêng Để tạo đường ống bảo mật đó, liệu phải mã hóa hay che giấu đi, cung cấp phần đầu gói liệu (header) thông tin đường cho phép đến đích thông qua mạng công cộng cách nhanh chóng Dữ liệu mã hóa cách cẩn thận, packet bị bắt lại đường truyền công cộng đọc nội dung khóa để giải mã Hình 1.1: Mạng VPN điển hình -4- 1.2 Chức lợi ích VPN 1.2.1 Chức VPN cung cấp chức chính, là: tính xác thực (Authentication), tính toàn vẹn (Integrity) tính bảo mật (Confidentiality) a) Tính xác thực: Để thiết lập kết nối VPN trước hết hai phía phải xác thực lẫn để khẳng định trao đổi thông tin với người mong muốn người khác b) Tính toàn vẹn: Đảm bảo liệu không bị thay đổi hay đảm bảo xáo trộn trình truyền dẫn c) Tính bảo mật: Người gửi mã hóa gói liệu trước truyền qua mạng công cộng liệu giải mã phía thu Bằng cách làm vậy, không truy nhập thông tin mà không phép Thậm chí có lấy không đọc 1.2.2 Lợi ích VPN cung cấp nhiều đặc tính so với mạng truyền thống mạng leased-line Một số lợi ích VPN:  Chi phí thấp mạng riêng: VPN giảm chi phí truyền tới 20-40% so với mạng thuộc mạng leased-line giảm chi phí truy cập từ xa từ 60-80%  Tính linh hoạt cho khả kinh tế Internet: không linh hoạt trình vận hành khai thác mà VPN thực mềm dẻo yêu cầu sử dụng Khách hàng sử dụng kết nối T1, T3 văn phòng nhiều kiểu kết nối khác sử dụng để kết nối văn phòng nhỏ, đối tượng di động Nhà cung cấp dịch vụ VPN cung cấp nhiều lựa chọn cho khách hàng: 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 ,…  Có khả mở rộng cao: Do VPN xây dựng dựa sở hạ tầng mạng công cộng (Internet), nơi có mạng công cộng triển khai VPN Và mạng VPN dễ dàng gỡ bỏ có nhu cầu Khả mở rộng băng thông văn phòng, chi nhánh yêu cầu băng thông lớn nâng cấp dễ dàng -5-  Tăng tính bảo mật: liệu quan trọng che giấu người quyền truy cập cho phép truy cập người dùng có quyền truy cập Bên cạnh đó, địa IP bảo mật thông tin gửi VPN mã hóa điạ bên mạng riêng che giấu sử dụng địa bên Internet  Hỗ trợ giao thức mạng thông dụng TCP/IP  Đáp ứng nhu cầu thương mại: Các sản phẩm dịch vụ VPN tuân theo chuẩn chung nay, phần để đảm bảo khả làm việc sản phẩm quan trọng để sản phẩm nhiều nhà cung cấp khác làm việc với 1.3 Các dạng kết nối VPN Dựa kiến trúc VPN, người ta chia VPN thành kiểu chính, : Remote Access VPN Site-to-Site VPN 1.3.1 Remote Access VPN Các VPN truy nhập từ xa cung cấp khả truy nhập từ xa Tại thời điểm, nhân viên, chi nhánh văn phòng di động có khả trao đổi, truy nhập vào mạng công ty Đây kiểu VPN điển hình Bởi vì, VPN thiết lập thời điểm nào, từ nơi có mạng Internet Chúng dùng để cung cấp truy nhập an toàn từ thiết bị di động, người sử dụng di động, chi nhánh bạn hàng công ty Những kiểu VPN thực thông qua sở hạ tầng công cộng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL công nghệ cáp thường yêu cầu vài kiểu phần mềm client chạy máy tính người sử dụng z Hình 1.2:Mô hình mạng Remote Access VPN Các ưu điểm mạng VPN truy nhập từ xa so với phương pháp truy nhập từ xa truyền thống như: -6- - Mạng VPN truy nhập từ xa không cần hỗ trợ nhân viên mạng trình kết nối từ xa ISP thực - Giảm chi phí cho kết nối từ khoảng cách xa kết nối khoảng cách xa thay kết nối cục thông qua mạng Internet - Cung cấp dịch vụ kết nối giá rẻ cho người sử dụng xa - Bởi kết nối truy nhập nội nên Modem kết nối hoạt động tốc độ cao so với truy nhập khoảng cách xa - VPN cung cấp khả truy nhập tốt đến site công ty chúng hỗ trợ mức thấp dịch vụ kết nối Mặc dù có nhiều ưu điểm mạng VPN truy nhập từ xa nhược điểm cố hữu như: - Mạng VPN truy nhập từ xa không hỗ trợ dịch vụ đảm bảo QoS - Nguy bị liệu cao Hơn nữa, nguy gói bị phân phát không đến nơi gói Bởi thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng cách đáng kể 1.3.2 Site-to-Site VPN 1.3.2.1 Intranet VPN Các VPN cục sử dụng để bảo mật kết nối địa điểm khác công ty Mạng VPN liên kết trụ sở chính, văn phòng, chi nhánh sở hạ tầng chung sử dụng kết nối mã hoá bảo mật Điều cho phép tất địa điểm truy nhập an toàn nguồn liệu phép toàn mạng công ty Những VPN cung cấp đặc tính mạng WAN khả mở rộng, tính tin cậy hỗ trợ cho nhiều kiểu giao thức khác với chi phí thấp đảm bảo tính mềm dẻo -7- Hình 1.3: Mô hình mạng Intranet VPN Những ưu điểm mạng cục dựa giải pháp VPN bao gồm: - Các mạng lưới cục hay toàn thiết lập (với điều kiện mạng thông qua hay nhiều nhà cung cấp dịch vụ) - Giảm số nhân viên kỹ thuật hỗ trợ mạng nơi xa - Bởi kết nối trung gian thực thông qua mạng Internet, nên dễ dàng thiết lập thêm liên kết ngang cấp - Tiết kiệm chi phí thu từ lợi ích đạt cách sử dụng đường công cộng – mạng Internet Tuy nhiên mạng cục dựa giải pháp VPN có nhược điểm như: - Vì liệu truyền “ngầm” qua mạng Internet nên mối đe dọa mức độ bảo mật liệu mức độ chất lượng dịch vụ (QoS) - Khả gói liệu bị truyền dẫn cao - Khi truyền dẫn khối lượng lớn liệu, với yêu cầu truyền dẫn tốc độ cao đảm bảo thời gian thực thách thức lớn môi trường Internet 1.3.2.2 Extranet VPN Không giống mạng VPN cục mạng VPN truy nhập từ xa, mạng VPN mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mở rộng cung cấp khả điều khiển truy nhập tới nguồn tài nguyên mạng -8- cần thiết để mở rộng đối tượng kinh doanh đối tác, khách hàng, nhà cung cấp… Hình 1.4: Mô hình mạng Extranet VPN Các VPN mở rộng cung cấp đường hầm bảo mật khách hàng, nhà cung cấp đối tác qua sở hạ tầng công cộng Sự khác VPN cục VPN mở rộng truy cập mạng công nhận hai đầu cuối VPN Những ưu điểm mạng VPN mở rộng: - Chi phí thấp nhiều so với mạng truyền thống - Dễ thiết lập, bảo trì dễ thay đổi mạng hoạt động - Vì mạng VPN mở rộng xây dựng dựa mạng Internet nên có nhiều hội việc cung cấp dịch vụ chọn lựa giải pháp phù hợp với nhu cầu công ty - Bởi kết nối Internet nhà cung cấp dịch vụ Internet bảo trì, nên giảm số lượng nhân viên kỹ thuật hỗ trợ mạng, giảm chi phí vận hành toàn mạng Bên cạnh ưu điểm giải pháp mạng VPN mở rộng nhược điểm như: - Khả bảo mật thông tin, liệu truyền qua mạng công cộng tồn -9- - Truyền dẫn khối lượng lớn liệu, đa phương tiện, với yêu cầu truyền dẫn tốc độ cao đảm bảo thời gian thực, thách thức lớn môi trường Internet Làm tăng khả rủi ro mạng cục công ty 1.4 Các thành phần VPN Cấu trúc phần cứng VPN bao gồm: Máy chủ VPN (VPN servers), máy khách VPN (VPN clients) số thiết bị phần cứng khác như: Bộ định tuyến VPN (VPN routers), cổng kết nối VPN (VPN Gateways) tập trung (Concentrator) 1.4.1 Máy chủ VPN Nhìn chung, Máy chủ VPN thiết bị mạng dành riêng để chạy phần mềm máy chủ (Software servers) Dựa vào yêu cầu công ty, mà mạng VPN có hay nhiều máy chủ Bởi máy chủ VPN phải cung cấp dịch vụ cho máy khách (VPN client) xa máy khách cục bộ, đồng thời máy chủ luôn sẵn sàng thực yêu cầu truy nhập từ máy khách Những chức máy chủ VPN bao gồm:  Tiếp nhận yêu cầu kết nối vào mạng VPN  Dàn xếp yêu cầu thông số kết nối vào mạng là: chế trình bảo mật hay trình xác lập  Thực trình xác lập hay trình bảo mật cho máy khách VPN  Tiếp nhận liệu từ máy khách chuyển liệu yêu cầu máy Khách  Máy chủ VPN hoạt động điểm cuối đường ngầm kết nối VPN Điểm cuối lại xác lập người dùng cuối - 10 - Chi phí cho việc lắp đặt hệ thống sau: + Các thiết bị: STT Thiết bị Đơn giá Số lượng Thành tiền 2.200$ 2.000$ Router Cisco Switch CAT 2950 16 cổng 800$ 800$ Switch CAT 2950 24 cổng 1.300$ 7.800$ Máy chủ IBM 3.000$ 12.000$ Modem Leased-line 600$ 600$ Tông tiền 23.200$ + Chi phí lắp đặt : 3.000.000 VNĐ + Cước trọn gói hàng tháng : 15.761.000 VNĐ 4.4.2 Thiết lập mạng riêng ảo VPN Từ Hiện trạng hệ thống khảo sát loại VPN tìm hiểu phần lý thuyết, ta áp dụng cấu hình site-to-site VPN cho công ty, cụ thể Intranet VPN cho chi nhánh Hình 4.4: Sơ đồ VPN kết nối chi nhánh - 62 - Xét trụ sở Hà Nội sử dụng thuê bao ADSL 4Mbps, sơ đồ sau: Hình 4.5: Sơ đồ hệ thống mạng Hà Nội sử dụng VPN Chi phí cho việc lắp đặt hệ thống sau: + Các thiết bị: STT Thiết bị Đơn giá Số lượng Thành tiền 2.200$ 2.000$ Router Cisco Switch CAT 2950 16 cổng 800$ 800$ Switch CAT 2950 24 cổng 1.300$ 7.800 Máy chủ IBM 3.000$ 12.000$ Card WIC-ADSL 70$ 70$ Tổng tiền 22.670$ Tổng chi phí cho thiết bị : 22.670$ (tương đương 362.720.000 VNĐ) + Chi phí lắp đặt : 400.000 VNĐ + Cước trọn gói hàng tháng : 1.818.181 VNĐ - 63 - Về vấn đề bảo mật, giải pháp bảo mật dựa chế sau + Thiết lập tài khoản mật dành cho người có đặc quyền đăng nhập vào router Đồng thời tài khoản mật mã hóa thuật toán mã hóa mạnh nhằm tăng tính bảo mật + Thiết lập danh sách điều khiển truy cập ACLs phép hay không cho phép lưu lượng qua router + Dữ liệu trao đổi ngầm đường hầm VPN mã hóa thuật toán phức tạp giải mã phía thu Như không truy cập thông tin mà không phép Thậm chí có lấy không đọc + Địa IP bảo mật thông tin gửi VPN mã hóa, địa bên mạng riêng che giấu sử dụng địa bên Internet 4.5 Lựa chọn giải pháp Dựa phân tích nêu thấy mặt chất lượng bảo mật thông tin giải pháp leased-line đáp ứng tốt yêu cầu, tài lại lớn (cụ thể cước phí thuê bao mạng leased-line hàng tháng) , công ty có nhiều chi nhánh công ty TNHH Thành Đạt Với giải pháp site-to-site VPN : chất lượng đường truyền tốt ngày cải thiện hơn; liệu truyền đường hầm VPN an toàn; chi phí để lắp đặt, vận hành khai thác hệ thống VPN lại thấp, phù hợp với công ty có nhiều chi nhánh công ty TNHH Thành Đạt Từ thấy ứng dụng site-to-site VPN cho công ty TNHH Thành Đạt giải pháp khả thi đảm bảo số yêu cầu : chi phí thấp, hiệu cao, bảo mật an toàn, phù hợp với tình hình hoạt động công ty mở rộng sau - 64 - 4.5 Ứng dụng cấu hình site-to-site VPN cho hệ thống : 4.5.1 Mô hình hệ thống Hình 4.6: Mô hình hệ thống mạng 4.5.2 Các bước cấu hình - Bước 1: Cấu hình cho Router R: Xem phụ lục trang 68 - Bước Cấu hình cho Router HN : Xem phụ lục trang 68 - Bước 3: Cấu hình cho Router HCM : Xem phụ lục trang 70 - Bước : Kiểm tra lại việc thực IPSec VPN + Kiểm tra Router HN Hình 4.7: Kiểm tra IKE phase Router Hà Nội - 65 - Hình 4.8: Kiểm tra IKE phase Router Hà Nội + Kiểm tra Router HCM Hình 4.9: Kiểm tra IKE phase Router TP Hồ Chí Minh - 66 - Hình 4.10: Kiểm tra IKE phase Router TP Hồ Chí Minh - 67 - KẾT LUẬN Công nghệ mạng riêng ảo VPN cho phép tận dụng sở hạ tầng mạng công cộng (Internet) để xây dựng mạng WAN riêng, với ưu điểm mặt giá thành, phạm vi không hạn chế, linh hoạt triển khai mở rộng mạng Ngày nay, VPN hữu ích hữu ích tương lai Các chuẩn thi hành, điều cải tiến khả liên vận hành quản lý Chất lượng mạng VPN cải thiện, cho phép cung cấp ứng dụng hội nghị truyền hình, điện thoại IP, dịch vụ đa phương tiện Đề tài tìm hiểu số vấn đề kỹ thuật liên quan đến việc thực VPN, nội dung gồm vấn đề sau: - Các khái niệm bản, đặc điểm giao thức đường hầm PPTP, L2TP IPSec Trong đó, IPSec đáp ứng tốt nhu cầu cao an toàn liệu, giải pháp cho bảo mật VPN tổ chức, công ty - Các thành phần mạng VPN : yêu cầu thiết bị phần cứng, phần mềm để xây dựng mạng VPN Một điều thuận lợi phát triển công nghệ nên thiết bị phần cứng phần mềm tích hợp nhiều chức năng, dễ sử dụng dễ quản lý Hơn sở hạ tầng mạng công cộng ngày hoàn thiện nên việc xây dựng mạng VPN dễ dàng chất lượng VPN tốt hơn, đáp ứng dịch vụ - Giao thức bảo mật IPSec : bảo mật IP cấp độ gói, thực trình xác thực mà mật mã Phần giới thiệu số thuật toán xác thực mật mã thường sử dụng VPN MD, SHA, MAC ,DES, AES, DH hoạt động IPSec để tạo đường hầm bảo mật thiết bị đầu cuối - Một số khái niệm tổng quan hệ điều hành Cisco IOS: Ciso IOS hệ điều hành cài Cisco router Để thiết lập mạng VPN, đòi hỏi người lập trình mạng phải nắm vững kiến thức Cisco IOS câu lệnh cấu hình, cụ thể phần giới thiệu quy trình cấu hình bước IPSec/VPN Cisco router câu lệnh để cấu hình IPSec/VPN - 68 - Sau tìm hiểu cách tổng quan mạng riêng ảo VPN, em nắm vững số vấn đề nêu trên, từ ứng dụng cấu hình Site – to – Site VPN cho công ty TNHH Thành Đạt Mặc dù Site – to – Site VPN chưa sử dụng rộng rãi Remote Access VPN, ngày có nhiều công ty, tổ chức sử dụng Site-to-Site VPN ưu điểm sau : - Giảm chi phí kết nối số nhân viên kỹ thuật hỗ trợ mạng - Dễ mở rộng bảo trì hệ thống mạng - Cho phép lựa chọn giải pháp phù hợp với nhu cầu công ty Cuối cùng, VPN liên quan đến nhiều giao thức thuật toán phức tạp thời gian nghiên cứu đề tài hạn hẹp nên phạm vi đề tài khó đề cập hết, em mong nhận ý kiến đóng góp thầy cô bạn Em xin chân thành cảm ơn Thái Nguyên, tháng năm 2009 Sinh viên: Hoàng Đăng Huy - 69 - TÀI LIỆU THAM KHẢO Tài liệu tiếng việt: [1] Khương Anh (chủ biên), Nguyễn Hồng Sơn (hiệu đính), Giáo trình hệ thống mạng máy tính CCNA 1,2; Nhà xuất Lao động – Xã hội Trang Web [1] WWW.CISCO.NETACAD.NET [2] WWW.SUPPORT.VNN.VN [3] WWW.EBOOK.EDU.VN [4] HTTP://HOCIT.COM [5] HTTP://WWW.ITEXPERT.ORG [6] HTTP://WWW.VNPRO.ORG [7] HTTP://NHATNGHE.COM - 70 - PHỤ LỤC Cấu hình cho Router R : Router(config)# hostname R R (config)#interface s1/0 R (config)#ip address 10.1.1.2 255.255.255.252 R (config-if)#clock rate 64000 R (config-if)#no shutdown R (config-if)#exit R (config)#interface s1/1 R (config-if)#ip address 10.2.2.1 255.255.255.252 R(config-if)#clock rate 64000 R(config-if)#no shutdown R(config-if)#exit R(config)#router eigrp 101 R(config-router)#network 10.1.1.0 0.0.0.3 R(config-router)#network 10.2.2.0 0.0.0.3 R#copy running-configure startup-config Cấu hình cho router HN: Router(config)# hostname HN HN (config)#interface fa2/0 HN (config)#ip address 192.168.1.1 255.255.255.0 HN (config-if)#clock rate 64000 HN (config-if)#no shutdown HN (config-if)#exit - 71 - HN (config)#interface s1/1 HN (config-if)#ip address 10.1.1.1 255.255.255.252 HN(config-if)#clock rate 64000 HN(config-if)#no shutdown HN(config-if)#exit HN(config)#router eigrp 101 HN(config-router)#network 10.1.1.0 0.0.0.3 HN(config-router)#network 192.168.1.0 0.0.0.255 HN(config-router)#exit HN (config)#crypto isakmp enable HN (config)#crypto isakmp policy 10 HN (config-isakmp)#authentication pre-share HN (config-isakmp)#encryption aes 256 HN (config-isakmp)#hash sha HN (config-isakmp)#group HN (config-isakmp)#lifetime 3600 HN (config-isakmp)#end HN (config)#crypto isakmp key 12345 address 10.2.2.2 HN (config)#cryto ipsec transform-set 50 esp-aes 256 esp-sha-hmac HN(cfg-crypto-trans)#exit HN(config)#cryto ipsec security-association lifetime seconds 1800 HN (config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 HN (config)#cryto map HUY 10 ipsec-isakmp - 72 - HN(config-cryto-map)#match address 101 HN(config-cryto-map)#set peer 10.2.2.2 HN(config-cryto-map)#set pfs group5 HN(config-cryto-map)#set transform-set 50 HN(config-cryto-map)#set security-association lifetime seconds 900 HN(config-cryto-map)#exit HN(config)#interface s1/1 HN(config-if)#cryto map HUY HN#copy running-configure startup-config Cấu hình cho router HCM: Router(config)# hostname HCM HCM (config)#interface fa2/0 HCM (config)#ip address 192.168.3.1 255.255.255.0 HCM (config-if)#clock rate 64000 HCM (config-if)#no shutdown HCM (config-if)#exit HCM (config)#interface s1/1 HCM (config-if)#ip address 10.2.2.2 255.255.255.252 HCM(config-if)#clock rate 64000 HCM(config-if)#no shutdown HCM(config-if)#exit HCM(config)#router eigrp 101 HCM(config-router)#network 10.2.2.0 0.0.0.3 HCM(config-router)#network 192.168.3.0 0.0.0.255 - 73 - HCM (config)#crypto isakmp enable HCM (config)#crypto isakmp policy 10 HCM (config-isakmp)#authentication pre-share HCM (config-isakmp)#encryption aes 256 HCM (config-isakmp)#hash sha HCM (config-isakmp)#group HCM (config-isakmp)#lifetime 3600 HCM (config-isakmp)#end HCM (config)#crypto isakmp key 12345 address 10.1.1.1 HCM (config)#cryto ipsec transform-set 50 esp-aes 256 esp-sha-hmac HCM (cfg-crypto-trans)#exit HCM (config)#cryto ipsec security-association lifetime seconds 1800 HCM (config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 HCM (config)#cryto map HUY 10 ipsec-isakmp HCM (config-cryto-map)#match address 101 HCM (config-cryto-map)#set peer 10.1.1.1 HCM (config-cryto-map)#set pfs group5 HCM (config-cryto-map)#set transform-set 50 HCM (config-cryto-map)#set security-association lifetime seconds 900 HCM (config-cryto-map)#exit HCM (config)#interface s1/1 HCM (config-if)#cryto map HUY HCM#copy running-configure startup-config - 74 - DANH MỤC HÌNH ẢNH Trang Hình 1.1: Mạng VPN điển hình Hình 1.2: Mô hình mạng Remote Access VPN Hình 1.3: Mô hình mạng Intranet VPN .8 Hình 1.4: Mô hình mạng Extranet VPN Hình 1.5: Đặc trưng máy khách VPN .11 Hình 2.1: Kiến trúc PPTP 14 Hình 2.2: Bọc gói PPTP/GRE 16 Hình 2.3: Cấu trúc gói liệu đường hầm PPTP 16 Hình 2.4: Các thành phần VPN sử dụng PPTP 18 Hình 2.5: Kiến trúc L2TP 21 Hình 2.6: Bọc gói L2TP 22 Hình 2.7: Cấu trúc liệu đường hầm L2TP 23 Hình 2.8: Các thành phần L2TP 24 Hình 2.9: Đóng bao gói tin L2TP 26 Hình 2.10: Khung giao thức sử dụng IPSec 28 Hình 2.11: Khuôn dạng gói AH .29 Hình 2.12: Khuôn dạng gói ESP 30 Hình 2.13: Khuôn dạng gói tin IPv4 trước sau xử lý AH .31 Hình 2.14: Khuôn dạng gói tin IPv4 trước sau xử lý ESP 31 Hình 2.15: bước hoạt động IPSec 32 - 75 - Hình 2.16: IKE Phase 33 Hình 2.17: Tập sách IKE 34 Hình 2.18: Xác thực đối tác .36 Hình 2.19: Thỏa thuận thông số bảo mật IPSec 36 Hình 2.20: Tập chuyển đổi IPSec 37 Hình 2.21: Các kết hợp an ninh .38 Hình 2.22: Đường hầm IPSec thiết lập 40 Hình 2.23: Kết thúc đường hầm .40 Hình 2.24: Quá trình trao đổi thong tin 41 Hình 3.1: Cấu hình transform sets 49 Hình 3.2: Cấu hình cho việc trao đổi transform 50 Hình 3.3: Cấu hình thời gian tồn IPSec .51 Hình 3.4: Tạo Crypto ACLs sử dụng access list mở rộng .52 Hình 4.1: Sơ đồ trạng hệ thống mạng Hà Nội 58 Hình 4.2: Sơ đồ leased-line kết nối chi nhánh 61 Hình 4.3: Sơ đồ hệ thống mạng Hà Nội sử dụng đường leased-line 61 Hình 4.4: Sơ đồ VPN kết nối chi nhánh .62 Hình 4.5: Sơ đồ hệ thống mạng Hà Nội sử dụng VPN 63 Hình 4.6: Mô hình hệ thống mạng 65 Hình 4.7: Kiểm tra IKE phase Router Hà Nội 65 Hình 4.8: Kiểm tra IKE phase Router Hà Nội 66 Hình 4.9: Kiểm tra IKE phase Router TP Hồ Chí Minh 66 Hình 4.10: Kiểm tra IKE phase Router TP Hồ Chí Minh 67 - 76 -