Đang tải... (xem toàn văn)
Tổng quan về VPN
T NG QUAN V VPNỔ ỀT NG QUAN V VPNỔ ỀTrong th i đ i ngày nay, Internet đã phát tri n m nh v m t mô hình cho đ n côngờ ạ ể ạ ề ặ ế ngh , đáp ng các nhu c u c a ng i s d ng. Internet đã đ c thi t k đ k t n iệ ứ ầ ủ ườ ử ụ ượ ế ế ể ế ố nhi u m ng khác nhau và cho phép thông tin chuy n đ n ng i s d ng m t cách tề ạ ể ế ườ ử ụ ộ ự do và nhanh chóng mà không xem xét đ n máy và m ng mà ng i s d ng đó đangế ạ ườ ử ụ dùng. Đ làm đ c đi u này ng i ta s d ng m t máy tính đ c bi t g i là router để ượ ề ườ ử ụ ộ ặ ệ ọ ể k t n i các LAN và WAN v i nhau. Các máy tính k t n i vào Internet thông qua nhàế ố ớ ế ố cung c p d ch v (ISP-Internet Service Provider), c n m t giao th c chung là TCP/IP.ấ ị ụ ầ ộ ứ Đi u mà k thu t còn ti p t c ph i gi i quy t là năng l c truy n thông c a các m ngề ỹ ậ ế ụ ả ả ế ự ề ủ ạ vi n thông công c ng. V i Internet, nh ng d ch v nh giáo d c t xa, mua hàng tr cễ ộ ớ ữ ị ụ ư ụ ừ ự tuy n, t v n y t , và r t nhi u đi u khác đã tr thành hi n th c.Tuy nhiên, do Internetế ư ấ ế ấ ề ề ở ệ ự có ph m vi toàn c u và không m t t ch c, chính ph c th nào qu n lý nên r t khóạ ầ ộ ổ ứ ủ ụ ể ả ấ khăn trong vi c b o m t và an toàn d li u cũng nh trong vi c qu n lý các d ch v .ệ ả ậ ữ ệ ư ệ ả ị ụ T đó ng i ta đã đ a ra m t mô hình m ng m i nh m tho mãn nh ng yêu c u trênừ ườ ư ộ ạ ớ ằ ả ữ ầ mà v n có th t n d ng l i nh ng c s h t ng hi n có c a Internet, đó chính là môẫ ể ậ ụ ạ ữ ơ ở ạ ầ ệ ủ hình m ng riêng o (Virtual Private Network - VPN). V i mô hình m i này, ng i taạ ả ớ ớ ườ không ph i đ u t thêm nhi u v c s h t ng mà các tính năng nh b o m t, đ tinả ầ ư ề ề ơ ở ạ ầ ư ả ậ ộ c y v n đ m b o, đ ng th i có th qu n lý riêng đ c s ho t đ ng c a m ng này.ậ ẫ ả ả ồ ờ ể ả ượ ự ạ ộ ủ ạ VPN cho phép ng i s d ng làm vi c t i nhà, trên đ ng đi hay các văn phòng chiườ ử ụ ệ ạ ườ nhánh có th k t n i an toàn đ n máy ch c a t ch c mình b ng c s h t ng đ cể ế ố ế ủ ủ ổ ứ ằ ơ ở ạ ầ ượ cung c p b i m ng công c ng.[5] Nó có th đ m b o an toàn thông tin gi a các đ i lý,ấ ở ạ ộ ể ả ả ữ ạ ng i cung c p, và các đ i tác kinh doanh v i nhau trong môi tr ng truy n thôngườ ấ ố ớ ườ ề r ng l n. Trong nhi u tr ng h p VPN cũng gi ng nh WAN (Wide Area Network),ộ ớ ề ườ ợ ố ư tuy nhiên đ c tính quy t đ nh c a VPN là chúng có th dùng m ng công c ng nhặ ế ị ủ ể ạ ộ ư Internet mà đ m b o tính riêng t và ti t ki m h n nhi u.ả ả ư ế ệ ơ ề1. Đ nh Nghĩa VPN:ị- VPN đ c hi u đ n gi n nh là s m r ng c a m t m ng riêng (private network)ượ ể ơ ả ư ự ở ộ ủ ộ ạ thông qua các m ng công c ng. V căn b n, m i VPN là m t m ng riêng r s d ngạ ộ ề ả ỗ ộ ạ ẽ ử ụ m t m ng chung (th ng là internet) đ k t n i cùng v i các site (các m ng riêng l )ộ ạ ườ ể ế ố ớ ạ ẻ hay nhi u ng i s d ng t xa. Thay cho vi c s d ng b i m t k t n i th c, chuyênề ườ ử ụ ừ ệ ử ụ ở ộ ế ố ự d ng nh đ ng leased line, m i VPN s d ng các k t n i o đ c d n đ ng quaụ ư ườ ỗ ử ụ ế ố ả ượ ẫ ườ Internet t m ng riêng c a các công ty t i các site hay các nhân viên t xa. Đ có thừ ạ ủ ớ ừ ể ể g i và nh n d li u thông qua m ng công c ng mà v n b o đ m tính an tòan và b oử ậ ữ ệ ạ ộ ẫ ả ả ả m t VPN cung c p các c ch mã hóa d li u trên đ ng truy n t o ra m t đ ngậ ấ ơ ế ữ ệ ườ ề ạ ộ ườ ng b o m t gi a n i nh n và n i g i (Tunnel) gi ng nh m t k t n i point-to-pointố ả ậ ữ ơ ậ ơ ử ố ư ộ ế ố trên m ng riêng. Đ có th t o ra m t đ ng ng b o m t đó, d li u ph i đ c mãạ ể ể ạ ộ ườ ố ả ậ ữ ệ ả ượ hóa hay che gi u đi ch cung c p ph n đ u gói d li u (header) là thông tin v đ ngấ ỉ ấ ầ ầ ữ ệ ề ườ đi cho phép nó có th đi đ n đích thông qua m ng công c ng m t cách nhanh chóng.ể ế ạ ộ ộ D l êu đ c mã hóa m t cách c n th n do đó n u các packet b b t l i trên đ ngữ ị ượ ộ ẩ ậ ế ị ắ ạ ườ truy n công c ng cũng không th đ c đ c n i dung vì không có khóa đ gi i mã.ề ộ ể ọ ượ ộ ể ả Liên k t v i d li u đ c mã hóa và đóng gói đ c g i là k t n i VPN. Các đ ngế ớ ữ ệ ượ ượ ọ ế ố ườ k t n i VPN th ng đ c g i là đ ng ng VPN (VPN Tunnel).ế ố ườ ượ ọ ườ ố 2. L i ích c a VPN:ợ ủVPN cung c p nhi u đ c tính h n so v i nh ng m ng truy n th ng và nh ng m ngấ ề ặ ơ ớ ữ ạ ề ố ữ ạ m ng leased-line.Nh ng l i ích đ u tiên bao g m:ạ ữ ợ ầ ồ• Chi phí th p h n nh ng m ng riêng: VPN có th gi m chi phí khi truy n t i 20-40%ấ ơ ữ ạ ể ả ề ớ so v i nh ng m ng thu c m ng leased-line và gi m vi c chi phí truy c p t xa t 60-ớ ữ ạ ộ ạ ả ệ ậ ừ ừ80%.• Tính linh ho t cho kh năng kinh t trên Internet: VPN v n đã có tính linh ho t và cóạ ả ế ố ạ th leo thang nh ng ki n trúc m ng h n là nh ng m ng c đi n, b ng cách đó nó cóể ữ ế ạ ơ ữ ạ ổ ể ằ th ho t đ ng kinh doanh nhanh chóng và chi phí m t cách hi u qu cho vi c k t n iể ạ ộ ộ ệ ả ệ ế ố m r ng. Theo cách này VPN có th d dàng k t n i ho c ng t k t n i t xa c aở ộ ể ễ ế ố ặ ắ ế ố ừ ủ nh ng văn phòng, nh ng v trí ngoài qu c t ,nh ng ng i truy n thông, nh ng ng iữ ữ ị ố ế ữ ườ ề ữ ườ dùng đi n tho i di đ ng, nh ng ng i ho t đ ng kinh doanh bên ngoài nh nh ng yêuệ ạ ộ ữ ườ ạ ộ ư ữ c u kinh doanh đã đòi h i.ầ ỏ• Đ n gi n hóa nh ng gánh n ng.ơ ả ữ ặ• Nh ng c u trúc m ng ng, vì th gi m vi c qu n lý nh ng gánh n ng: S d ng m tữ ấ ạ ố ế ả ệ ả ữ ặ ử ụ ộ giao th c Internet backbone lo i tr nh ng PVC tĩnh h p v i k t n i h ng nh ngứ ạ ừ ữ ợ ớ ế ố ướ ữ giao th c nh là Frame Rely và ATM.ứ ư• Tăng tình b o m t: các d li u quan tr ng s đ c che gi u đ i v i nh ng ng iả ậ ữ ệ ọ ẽ ượ ấ ố ớ ữ ườ không có quy n truy c p và cho phép truy c p đ i v i nh ng ng i dùng có quy nề ậ ậ ố ớ ữ ườ ề truy c p.ậ• H tr các giao th c m n thông d ng nh t hi n nay nh TCP/IPỗ ợ ứ ạ ụ ấ ệ ư• B o m t đ a ch IP: b i vì thông tin đ c g i đi trên VPN đã đ c mã hóa do đó cácả ậ ị ỉ ở ượ ử ượ đi ch bên trong m ng riêng đ c che gi u và ch s d ng các đ a ch bên ngoàiạ ỉ ạ ượ ấ ỉ ử ụ ị ỉ Internet.3. Các thành ph n c n thi t đ t o k t n i VPN:ầ ầ ế ể ạ ế ố- User Authentication: cung c p c ch ch ng th c ng i dùng, ch cho phép ng iấ ơ ế ứ ự ườ ỉ ườ dùng h p l k t n i và truy c p h th ng VPN. ợ ệ ế ố ậ ệ ố- Address Management: cung c p đ a ch IP h p l cho ng i dùng sau khi gia nh pấ ị ỉ ợ ệ ườ ậ h th ng VPN đ có th truy c p tài nguyên trên m ng n i b .ệ ố ể ể ậ ạ ộ ộ- Data Encryption: cung c p gi i pháp mã hoá d li u trong quá trình truy n nh mấ ả ữ ệ ề ằ b o đ m tính riêng t và toàn v n d li u. ả ả ư ẹ ữ ệ- Key Management: cung c p gi i pháp qu n lý các khoá dùng cho quá trình mã hoá vàấ ả ả gi i mã d li u.ả ữ ệ4. Các thành ph n chính t o nên VPN Cisco:ầ ạa. Cisco VPN Router: s d ng ph n m m Cisco IOS, IPSec h tr cho vi c b o m tử ụ ầ ề ỗ ợ ệ ả ậ trong VPN. VPN t I u hóa các router nh là đòn b y đang t n t I s đ u t c aố ư ư ẩ ồ ạ ự ầ ư ủ Cisco. Hi u qu nh t trong các m ng WAN h n h p. ệ ả ấ ạ ỗ ợb. Cisco Secure PIX FIREWALL: đ a ra s l a ch n khác c a c ng k t n I VPN khiư ự ự ọ ủ ổ ế ố b o m t nhóm “riêng t ” trong VPN. ả ậ ưc. Cisco VPN Concentrator series: Đ a ra nh ng tính năng m nh trong vi c đi u khi nư ữ ạ ệ ề ể truy c p t xa và t ng thích v I d ng site-to-site VPN. Có giao di n qu n lý d sậ ừ ươ ớ ạ ệ ả ễ ử d ng và m t VPN client. ụ ộd. Cisco Secure VPN Client : VPN client cho phép b o m t vi c truy c p t xa t Iả ậ ệ ậ ừ ớ router Cisco và Pix Firewalls và nó là m t ch ng trình ch y trên h đi u hànhộ ươ ạ ệ ề Window. e. Cisco Secure Intrusion Detection System(CSIDS) và Cisco Secure Scanner th ngườ đ c s d ng đ giám sát và ki m tra các v n đ b o m t trong VPN. ượ ử ụ ể ể ấ ề ả ậf. Cisco Secure Policy Manager and Cisco Works 2000 cung c p vi c qu n lý h th ngấ ệ ả ệ ố VPN r ng l n.ộ ớ1. Các giao th c VPN:ứ- Các giao th c đ t o nên c ch đ ng ng b o m t cho VPN là L2TP, Cisco GREứ ể ạ ơ ế ườ ố ả ậ và IPSec.1.1 L2TP:- Tr c khi xu t hi n chu n L2TP (tháng 8 năm 1999), Cisco s d ng Layer 2ướ ấ ệ ẩ ử ụ Forwarding (L2F) nh là giao th c chu n đ t o k t n i VPN. L2TP ra đ i sau v iư ứ ẩ ể ạ ế ố ờ ớ nh ng tính năng đ c tích h p t L2F.ữ ượ ợ ừ- L2TP là d ng k t h p c a Cisco L2F và Mircosoft Point-to-Point Tunneling Protocolạ ế ợ ủ (PPTP). Microsoft h tr chu n PPTP và L2TP trong các phiên b n WindowNT vàỗ ợ ẩ ả 2000- L2TP đ c s d ng đ t o k t n i đ c l p, đa giao th c cho m ng riêng o quay sượ ử ụ ể ạ ế ố ộ ậ ứ ạ ả ố (Virtual Private Dail-up Network). L2TP cho phép ng i dùng có th k t n i thông quaườ ể ế ố các chính sách b o m t c a công ty (security policies) đ t o VPN hay VPDN nh làả ậ ủ ể ạ ư s m r ng c a m ng n i b công ty.ự ở ộ ủ ạ ộ ộ- L2TP không cung c p mã hóa.ấ- L2TP là s k t h p c a PPP(giao th c Point-to-Point) v i giao th c L2F(Layer 2ự ế ợ ủ ứ ớ ứ Forwarding) c a Cisco do đó r t hi u qu trong k t n i m ng dial, ADSL, và cácủ ấ ệ ả ế ố ạ m ng truy c p t xa khác. Giao th c m r ng này s d ng PPP đ cho phép truy c pạ ậ ừ ứ ở ộ ử ụ ể ậ VPN b i nh ng ng I s d ng t xa.ở ữ ườ ử ụ ừ1.2 GRE:- Đây là đa giao th c truy n thông đóng gói IP, CLNP và t t c cá gói d li u bên trongứ ề ấ ả ữ ệ đ ng ng IP (IP tunnel)ườ ố- V i GRE Tunnel, Cisco router s đóng gói cho m i v trí m t giao th c đ c tr ng chớ ẽ ỗ ị ộ ứ ặ ư ỉ đ nh trong gói IP header, t o m t đ ng k t n i o (virtual point-to-point) t i Ciscoị ạ ộ ườ ế ố ả ớ router c n đ n. Và khi gói d li u đ n đích IP header s đ c m raầ ế ữ ệ ế ẽ ượ ở- B ng vi c k t n i nhi u m ng con v i các giao th c khác nhau trong môi tr ng cóằ ệ ế ố ề ạ ớ ứ ườ m t giao th c chính. GRE tunneling cho phép các giao th c khác có th thu n l i trongộ ứ ứ ể ậ ợ vi c đ nh tuy n cho gói IP.ệ ị ế1.3 IPSec:- IPSec là s l a ch n cho vi c b o m t trên VPN. IPSec là m t khung bao g m b oự ự ọ ệ ả ậ ộ ồ ả m t d li u (data confidentiality), tính tòan v n c a d li u (integrity) và vi c ch ngậ ữ ệ ẹ ủ ữ ệ ệ ứ th c d li u.ự ữ ệ- IPSec cung c p d ch v b o m t s d ng KDE cho phép th a thu n các giao th c vàấ ị ụ ả ậ ử ụ ỏ ậ ứ thu t tóan trên n n chính sách c c b (group policy) và sinh ra các khóa b o mã hóa vàậ ề ụ ộ ả ch ng th c đ c s d ng trong IPSec.ứ ự ượ ử ụ1.4 Point to Point Tunneling Protocol (PPTP): - Đ c s d ng tr n các máy client ch y HĐH Microsoft for NT4.0 và Windows 95+ .ượ ử ụ ệ ạ Giao th c này đ c s d ng đ mã hóa d li u l u thông trên M ng LAN. Gi ng nhứ ựơ ử ụ ể ữ ệ ư ạ ố ư giao th c NETBEUI và IPX trong m t packet g I lên Internet. PPTP d a trên chu nứ ộ ử ự ẩ RSA RC4 và h tr b I s mã hóa 40-bit ho c 128-bit. ỗ ợ ở ự ặ- Nó không đ c phát tri n trên d ng k t n I LAN-to-LAN và gi i h n 255 k t n iượ ể ạ ế ố ớ ạ ế ố t I 1 server ch có m t đ ng h m VPN trên m t k t n i. Nó không cung c p s mãớ ỉ ộ ườ ầ ộ ế ố ấ ự hóa cho các công vi c l n nh ng nó d cài đ t và tri n khai và là m t gi I pháp truyệ ớ ư ễ ặ ể ộ ả c p t xa ch có th làm đ c trên m ng MS. Giao th c này thì đ c dùng t t trongậ ừ ỉ ể ượ ạ ứ ượ ố Window 2000. Layer 2 Tunneling Protocol thu c v IPSec.ộ ề2. Thi t l p m t k t n i VPN:ế ậ ộ ế ố- Máy VPN c n k t n i (VPN client) t o k t n t VPN (VPN Connection) t i máy chầ ế ố ạ ế ố ớ ủ cung c p d ch v VPN (VPN Server) thông qua k t n i Internet.ấ ị ụ ế ố- Máy ch cung c p d ch v VPN tr l i k t n i t iủ ấ ị ụ ả ờ ế ố ớ- Máy ch cung c p d ch v VPN ch ng th c cho k t n i và c p phép cho k t n iủ ấ ị ụ ứ ự ế ố ấ ế ố- B t đ u trao đ i d li u gi a máy c n k t n i VPN và m ng công tyắ ầ ổ ữ ệ ữ ầ ế ố ạQui Trình C u Hình 4 B c IPSec/VPN Trên Cisco IOSấ ướTa có th c u hình IPSec trên VPN qua 4 b c sau đây:ể ấ ướ1. Chu n b cho IKE và IPSecẩ ị2. C u hình cho IKEấ3. C u hình cho IPSecấ•• C u hình d ng mã hóa cho gói d li uấ ạ ữ ệCrypto ipsec transform-set• C u hình th i gian t n t i c a gói d li u và các tùy ch n b o m t khácấ ờ ồ ạ ủ ữ ệ ọ ả ậCrypto ipsec sercurity-association lifetime• T o crytoACLs b ng danh sách truy c p m r ng (Extended Access List)ạ ằ ậ ở ộCrypto map• C u hình IPSec crypto mapsấ• Áp d ng các crypto maps vào các c ng giao ti p (interfaces)ụ ổ ếCrypto map map-name4. Ki m tra l i vi c th c hi n IPSecể ạ ệ ự ệA. C u hình cho mã hóa d li u:ấ ữ ệ- Sau đây b n s c u hình Cisco IOS IPSec b ng cách s d ng chính sách b o m tạ ẽ ấ ằ ử ụ ả ậ IPSec (IPSec Security Policy) đ đ nh nghĩa các các chính sách b o m t IPSecể ị ả ậ (transform set).- Chính sách b o m t IPSec (transform set) là s k t h p các c u hình IPSec transformả ậ ự ế ợ ấ riêng r đ c đ nh nghĩa và thi t k cho các chính sách b o m t l u thông trên m ng.ẽ ượ ị ế ế ả ậ ư ạ Trong su t quá trình trao đ i ISAKMP IPSec SA n u x y ra l i trong quá trình IKEố ổ ế ả ỗ Phase 2 quick mode, thì hai bên s s d ng transform set riêng cho vi c b o v d li uẽ ử ụ ệ ả ệ ữ ệ riêng c a mình trên đ ng truy n. Transform set là s k t h p c a các nhân t sau:ủ ườ ề ự ế ợ ủ ố • C ch cho vi c ch ng th c: chính sách AHơ ế ệ ứ ự• C ch cho vi c mã hóa: chính sách ESPơ ế ệ• Ch đ IPSec (ph ng ti n truy n thông cùng v i đ ng h m b o m t)ế ộ ươ ệ ề ớ ườ ầ ả ậ- Transform set b ng v i vi c k t h p các AH transform, ESP transform và ch đằ ớ ệ ế ợ ế ộ IPSec (ho c c ch đ ng h m b o m t ho c ch đ ph ng ti n truy n thông).ặ ơ ế ườ ầ ả ậ ặ ế ộ ươ ệ ề Transform set gi i h n t m t cho t i hai ESP transform và m t AH transform. Đ nhớ ạ ừ ộ ớ ộ ị nghĩa Transform set b ng câu l nh cryto ipsec transform-set ch đ gobal mode. Vàằ ệ ở ế ộ đ xoá các cài đ t transform set dùng l nh d ng no.ể ặ ệ ạ- Cú pháp c a l nh và các tham s truy n vào nh sau:ủ ệ ố ề ưcrypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]- Các tham s c a l nh crypto ipsec transform-set:ố ủ ệ- B n có th c u hình nhi u transform set và ch rõ m t hay nhi u transform set trongạ ể ấ ề ỉ ộ ề m c crypto map. Đ nh nghĩa các transform set trong m c crypto map đ c s d ngụ ị ụ ượ ử ụ trong trao đ i IPSec SA đ b o v d li u đ c đinh nghĩa b i ACL c a m c cryptoổ ể ả ệ ữ ệ ượ ở ủ ụ map. Trong su t quá trình trao đ i, c hai bên s tìm ki m các transform set gi ng nhauố ổ ả ẽ ế ố c hai phiá. Khi mà các transform set đ c tìm th y, nó s đ c s d ng đ b o vở ả ượ ấ ẽ ượ ử ụ ể ả ệ d li u trên đ ng truy n nh là m t ph n c a các IPSec Sa c 2 phía.ữ ệ ườ ề ư ộ ầ ủ ở ả- Khi mà ISAKMP không đ c s d ng đ thi t l p các Sa, m t transform set riêng rượ ử ụ ể ế ậ ộ ẽ s đ c s d ng. Transform set đó s không đ c trao đ i.ẽ ượ ử ụ ẽ ượ ổ- Thay đ i c u hình Transform set:ổ ấB1: Xóa các tranform set t crypto mapừB2: Xóa các transform set trong ch đ c u hình gobal modeế ộ ấB3: C u hình l i transform set v i nh ng thay đ iấ ạ ớ ữ ổB4: Gán transform set v i crypto mapớB5: Xóa c s d li u SA (SA database)ơ ở ữ ệB6: Theo dõi các trao đ i SA và ch c ch n nó h at đ ng t tổ ắ ắ ọ ộ ố- C u hình cho vi c trao đ i transform:ấ ệ ổ- Tranform set đ c trao đ i trong su t ch đ quick mode trong IKE Phase 2 là nh ngượ ổ ố ế ộ ữ các transform set mà b n c u hình u tiên s d ng. B n có th c u hình nhi uạ ấ ư ử ụ ạ ể ấ ề transform set và có th ch ra m t hay nhi u transform set trong m c crypto map. C uể ỉ ộ ề ụ ấ hình transform set t nh ng b o m t thông th ng nh nh t gi ng nh trong chínhừ ữ ả ậ ườ ỏ ấ ố ư sách b o m t c a b n. Nh ng transform set đ c đ nh nghĩa trong m c crypto mapả ậ ủ ạ ữ ượ ị ụ đ c s d ng trong trao đ i IPSec SA đ b o v d li u đ c đ nh nghĩa b i ACLượ ử ụ ổ ể ả ệ ữ ệ ượ ị ở c a m c crypto map.ủ ụ- Trong su t quá trình trao đ i m i bên s tìm ki m các transform set gi ng nhau cố ổ ỗ ẽ ế ố ở ả hai bên nh minh h a hình trên. Các transform set c a Router A đ c so sánh v iư ọ ở ủ ượ ớ m t transform set c a Router B và c ti p t c nh th . Router A transform set 10, 20,ộ ủ ứ ế ụ ư ế 30 đ c so sánh v i transform set 40 c a Router B. N u mà không tr v k t qu đúngượ ớ ủ ế ả ể ế ả thì t t c các transform set c a Router A sau đó s đ c so sánh v i transform set ti pấ ả ủ ẽ ượ ớ ế theo c a Router B. Cu i cùng transform set 30 c a Router A gi ng v i transform set 60ủ ố ủ ố ớ c a Router B. Khi mà transform set đ c tìm th y, nó s đ c ch n và áp d ng choủ ượ ấ ẽ ượ ọ ụ vi c b o v đ ng truy n nh là m t ph n c a IPSec SA c a c hai phía. IPSec ệ ả ệ ườ ề ư ộ ầ ủ ủ ả ở m i bên s ch p nh n m t transform duy nh t đ c ch n cho m i SA.ỗ ẽ ấ ậ ộ ấ ượ ọ ỗB. C u hình th i gian t n t i c a IPSec trong quá trình trao đ i:ấ ờ ồ ạ ủ ổ- IPSec SA đ c đ nh nghĩa là th i gian t n t i c a IPSec SA tr c khi th c hi n l iượ ị ờ ồ ạ ủ ướ ự ệ ạ quá trình trao đ i ti p theo. Cisco IOS h tr giá tr th i gian t n t i có th áp d ng lênổ ế ỗ ợ ị ờ ồ ạ ể ụ t t c các crypto map. Giá tr c a global lifetime có th đ c ghi đè v i nh ng m cấ ả ị ủ ể ượ ớ ữ ụ trong crypto map. - B n có th thay đ i giá tr th i gian t n t i c a IPSec SA b ng câu l nh ạ ể ổ ị ờ ồ ạ ủ ằ ệ crypto ipsec security-association lifetime ch đ global configuration mode. Đ tr v giá trở ế ộ ể ả ề ị m c đ nh ban đ u s d ng d ng câu l nh no. C u trúc và các tham s c a câu l nhặ ị ầ ử ụ ạ ệ ấ ố ủ ệ đ c đ nh nghĩa nh sau:ượ ị ưcryto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes}- Cisco khuy n cáo b n nên s d ng các giá tr m c đ nh. B n thân th i gian t n t iế ạ ử ụ ị ặ ị ả ờ ồ ạ c a m i IPSec SA có th đ c c u hình b ng cách s d ng crypto map.ủ ỗ ể ượ ấ ằ ử ụ- Đ nh nghĩa Crypto Access Lists:ị-Crypto access list (Crypto ACLs) đ c s d ng đ đ nh nghĩa nh ng l u thôngượ ử ụ ể ị ữ ư (traffic) nào đ c s d ng hay kho s d ng IPSec.ượ ử ụ ử ụ- Crypto ACLs th c hi n các ch c năng sau:ự ệ ứ• Outbound: Ch n nh ng traffic đ c b o v b i IPSec. Nh ng traffic còn l i s đ cọ ữ ượ ả ệ ở ữ ạ ẽ ượ g i d ng không mã hóa.ử ở ạ• Inbound: N u có yêu c u thì inbound access list có th t o đ l c ra và l ai b nh ngế ầ ể ạ ể ọ ọ ỏ ữ traffic kho đ c b o v b i IPSec.ượ ả ệ ởC. T o cryto ACLs b ng danh sách truy c p m r ng (Extends access list):ạ ằ ậ ở ộ- Cryto ACLs đ c đ nh nghĩa đ b o v nh ng d li u đ c truy n t i trên m ng.ượ ị ể ả ệ ữ ữ ệ ượ ề ả ạ Danh sach truy c p m r ng (Extended IP ACLs) s ch n nh ng lu ng d li u (IPậ ở ộ ẽ ọ ữ ồ ữ ệ traffic) đ mã hóa b ng cách s d ng các giao th c truy n t i (protocol), đ a ch IP (IPể ằ ử ụ ứ ề ả ị ỉ address), m ng (network), m ng con (subnet) và c ng d ch v (port). M c dù cú phápạ ạ ổ ị ụ ặ ACL và extended IP ACLs là gi ng nhau, nghĩa là ch có s khác bi t chút ít trongố ỉ ự ệ crypto ACLs. Đó là cho phép (permit) ch nh ng gói d li u đánh d u m i đ c mãỉ ữ ữ ệ ấ ớ ượ hóa và t ch i (deny) v i nh ng gói d li u đ c đánh d u m i không đ c mã hóa.ừ ố ớ ữ ữ ệ ượ ấ ớ ượ Crypto ACLs h at đ ng t ng t nh extendeds IP ACL đó là ch áp d ng trên nh ngọ ộ ươ ự ư ỉ ụ ữ lu ng d li u đi ra (outbound traffic) trên m t interface.ồ ữ ệ ộD. C u hình IPSec crypto maps:ấE. Áp d ng các crypto maps vào các c ng giao ti p (interfaces):ụ ổ ế . m t k t n i VPN: ế ậ ộ ế ố- Máy VPN c n k t n i (VPN client) t o k t n t VPN (VPN Connection) t i máy chầ ế ố ạ ế ố ớ ủ cung c p d ch v VPN (VPN Server). là k t n i VPN. Các đ ngế ớ ữ ệ ượ ượ ọ ế ố ườ k t n i VPN th ng đ c g i là đ ng ng VPN (VPN Tunnel).ế ố ườ ượ ọ ườ ố 2. L i ích c a VPN: ợ VPN cung c