Bài giảng Xây dựng hệ thống Firewall - Bài 5: Triển khai hệ thống VPN trên Cisco IOS

Giới thiệu IPsec và đặc điểm IPsec

Triển khai site – to – site IPsec VPN

Cấu hình IPsec site – to – site VPN sử dụng SDM

Cấu hình cisco Easy VPN và Easy VPN Server với SDM

Triển khai cisco VPN Client

Câu hỏi bài tập

pdf 131 trang yennguyen 6320
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Xây dựng hệ thống Firewall - Bài 5: Triển khai hệ thống VPN trên Cisco IOS", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

Tóm tắt nội dung tài liệu: Bài giảng Xây dựng hệ thống Firewall - Bài 5: Triển khai hệ thống VPN trên Cisco IOS

Bài giảng Xây dựng hệ thống Firewall - Bài 5: Triển khai hệ thống VPN trên Cisco IOS
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
MÔN HỌC: XÂY DỰNG HỆ THỐNG 
FIREWALL
1
Trường Cao đẳng Nghề CNTT iSPACE
Khoa Mạng Và An Ninh Thông Tin
fit@ispace.edu.vn
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG. 
Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL 
Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS
Bài 4: BẢO MẬT LAYER 2
Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS
MÔN HỌC: XÂY DỰNG HỆ THỐNG 
FIREWALL
2
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
BÀI 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN 
CISCO IOS
Giới thiệu IPsec và đặc điểm IPsec
Triển khai site – to – site IPsec VPN
Cấu hình IPsec site – to – site VPN sử dụng SDM
Cấu hình cisco Easy VPN và Easy VPN Server với SDM
Triển khai cisco VPN Client
Câu hỏi bài tập
Triển khai hệ thống Ipsec VPN site- to – site bằng dòng lệnh và sử dụng
giao diện SDM
3
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
MỤC TIÊU BÀI HỌC
Trình bày được các thành phần của IPSec và đặc điểm của 
IPSec VPN.
Triển khai Site-to-Site IPSec VPN.
Cấu hình IPSec Site-to-Site VPN sử dụng SDM.
Cấu hình được Cisco Easy VPN Server với SDM.
Triển khai được Cisco VPN Client.
4
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Tống quan IPSec
Internet Key Exchange
Các chức năng IKE 
ESP và AH
Hàm băm 
Mã hóa 
Môi trường khóa công khai
Tổng quan về giao thức IPSec và cách thức hoạt động của IPSec 
5
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
IPsec là gì ?
IPsec là một chuẩn của IETF sử dụng cơ chế mã hóa trong lớp 
mạng
Chứng thực gói tin IP 
Kiểm tra tính toàn vẹn của mỗi gói tin 
Đảm bảo tính “riêng tư” (Bí mật) với mỗi gói tin 
Chuẩn mở đảm bảo tính bảo mật khi kết nối riêng tư
Ứng dụng trong các mô hình mạng từ nhỏ đế lớn
Hỗ trợ sẳn trong các phiên bản phần mềm Cisco IOS 11.3 T trở 
về sau.
Hỗ trợ trong các phiên bản Firewall PIX 5.0 và sau đó
6
Giới thiệu IPsec và đặc điểm IPsec
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Tính năng bảo mật IPsec:
IPsec là chuẩn duy nhất trong lớp 3 cung cấp tính năng :
Bảo mật 
Chứng thực 
Toàn vẹn dữ liệu 
7
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
IPsec Protocols:
IPsec sử dụng ba giao thức chính để tạo ra một khung bảo mật 
Internet Key Exchange (IKE):
o Cung cấp khung thỏa thuận những thông số bảo mật
o Tạo ra các khóa xác thực
Encapsulating Security Payload (ESP): 
o Cung cấp việc mã hóa , xác thực và bảo mật dữ liệu
Authentication Header (AH): 
o Cung cấp khung cho việc xác thực và bảo mật dữ liệu 
8
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
IPsec Headers :
Ipsec ESP cung cấp những tính năng:
Xác thực và toàn vẹn dữ liệu ( MD5 – SHA 1 – HMAC )
Bảo mật ( DES , 3DES , ASE ) chỉ với ESP
9
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Peer Authentication:
Peer phương pháp xác thực:
Đặt Username – Password
Mật khẩu một lần (OTP)
Sinh trắc học
Khóa biết trước
Chứng chỉ số
10
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Internet Key Exchange:
IKE giúp các bên giao tiếp hòa hợp các 
tham số bảo mật và khóa xác nhận trước 
khi một phiên bảo mật IPSec được triển 
khai.
IKE sửa đổi những tham số khi cần thiết 
trong suốt phiên làm việc
IKE cũng đảm nhiệm việc xoá bỏ những 
SA và các khóa sau khi một phiên giao 
dịch hoàn thành
11
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
IKE Phases:
Giai đoạn 1:
Xác thực các thông điệp
Thiết lập kênh đàm phán giữa SA
Thông tin thỏa thuận các thuật toán
Giai đoạn 1.5:
Chứng thực VPN client
Bật chế độ cấu hình
Giai đoạn 2: 
Thiết lập SAs cho Ipsec
Giao dịch nhanh
12
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
IKE Modes :
4 chế độ IKE phổ biến thường được triển khai :
Chế độ chính (Main mode)
Chế độ linh hoạt (Aggressive mode)
Chế độ nhanh (Quick mode)
Chế độ nhóm mới (New Group mode)
13
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
IKE Modes:
14
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Tính năng khác IKE :
Phát hiện mất kết nối tới PER ( DPD ) :
Chức năng mang tính 2 chiều 
Gửi những thông điệp định kỳ
PEER thực hiện gửi lại nếu không coi là mất kết nối
IKE Keepalives được gửi đi sau khoảng thời gian 10s
NAT Traversal :
Được định nghĩa trong RFC 3947
Đóng gói trong gói tin thông qua giao thức UDP
15
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
IPsec NAT Traversal :
Cần NAT Traversal với IPsec qua TCP/UDP : 
NAT Traversal phát hiện 
NAT Traversal quyết định
Đóng gói các gói tin thông qua UDP
Các thông tin : IP và PORT nằm trong gói UDP
16
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Mode cấu hình :
17
Các Mode sử dụng để 
đẩy các thông số cấu hình 
cho IPsec VPN Client 
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Easy VPN:
18
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
User Authentication:
19
Cho phép phương thức 
AAA hoạt động đối với việc
xác thực user 
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
ESP và AH:
IP protocol :
ESP và AH 
ESP sử dụng port 50
AH sử dụng port 51
Ipsec modes :
Sử dụng 2 mode : Tunnel hoặc Transport
Tunnel mode : Tạo ra header mới cho IP 
20
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
ESP và AH Header:
ESP cho phép mã hóa và xác thực gói tin ban đầu
AH xác thực toàn bộ gói tin và không cho mã hóa 
21
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
AH Authentication and Integrity:
22
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
ESP Protocol:
Cung cấp bảo mật và mã hóa
Cung cấp tính toàn vẹn và có xác thực 
23
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Tunnel and Transport Mode:
24
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Xác thực thông tin và kiểm tra tính toàn vẹn dùng Hash:
MAC dùng để xác thực thông báo và kiểm tra tính toàn vẹn 
Phương pháp dùm hàm băm rất thông dụng và hầu hết được 
dùng kiểm tra toàn vẹn của dữ liệu
25
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Hàm băm:
MD5: được sử dụng phổ biến với giá trị băm dài 128bit 
SHA-1: cho giá trị băm dài 160 bit nhưng với Ipsec chỉ sử dụng 96 
bit đầu tiên 
SHA-1 có thời gian tính toán lâu hơn MD5 nhưng nó bảo mật hơn 
26
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Mã hóa đối xứng và bất đối xứng:
Thuật toán đối xứng :
Mã hóa bằng key bí mật 
Mã hóa và giải mã sử dụng
chung 1 key 
Thông thường được dùng 
mã hóa thông tin 
VD : DES, 3DES , AES
Thuật toán bất đối xứng
Mã hóa bằng key công cộng 
Mã hóa và giải mã sử dụng 
2 key khác nhau.
Được sử dụng trong chữ ký số .
VD : RSA
27
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Kích thước khóa:
Kích thước khóa đối xứng so với khóa bất đối xứng : 
28
Symmetric Key Length Asymmetric Key Length
80 1024
112 2048
128 3072
192 7680
256 15,360
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Cấp độ bảo mật với các thuật toán mã hóa:
29
Security Level Work Factor Algorithms
Weak O(240) DES, MD5
Legacy O(264) RC4, SHA-1
Baseline O(280) 3DES
Standard O(2128) AES-128, SHA-256
High O(2192) AES-192, SHA-384
Ultra O(2256) AES-256, SHA-512
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Symmetric Encryption: DES
DES là thuật toán mã hóa đối xứng 
Block cipher : kích thước khối 64 bit , chiều dài khóa 56 bit 
DES được ứng dụng mã hóa khối dữ liệu
30
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Symmetric Encryption: 3DES
Tổng độ dài khóa 168 bit 
3DES sử dụng 2 khóa khác nhau làm chiều dài khóa tăng lên 
Thông thường: mã hóa , giải mã , mã hóa 
31
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Symmetric Encryption: AES
Trước đây được gọi là : ‘Rijndael’
Là thuật toán sau DES và 3DES 
AES làm việc với khối dữ liệu 128 bit và chiều dài khóa có thể là 
128 192 hoặc 256 bit 
AES dùng 2 thuật toán khác nhau cho mã hóa và giải mã 
32
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Asymmetric Encryption: RSA 
Trên cơ sở trao đổi khóa Diffie- Hellman 
Khóa công khai để mã hóa dữ liệu và xác minh chữ ký số
Khóa bí mật dùng để giải mã dữ liệu và tạo ký với chữ ký điện tử 
Là thuật toán tốt cho việc truyền dữ liệu
33
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Trao đổi key Diffie-Hellman:
Deffie – Hellman: khởi tạo và trao đổi khóa an toàn giữa hai thành 
phần qua một kênh không an toàn.
34
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Trao đổi key Diffie-Hellman:
35
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Certificate Authority :
Tạo ra sự an toàn và tin tưởng trong quá trình trao đổi dữ liệu 
trong phạm vi cá nhân và công cộng 
Thẩm tra danh tính người dùng , các thông tin liên quan đến 
người sử dụng chứng chỉ số 
Cấp phát và thu hồi các chứng chỉ số hết hạn 
36
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
X.509 v3 Certificate:
37
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
PKI Credentials :
Sơ sở hạ tầng khóa công khai PKI :
Tạo ra chứng chỉ khóa công khai 
Phân phối chứng chỉ 
Thu hồi chứng chỉ 
Quản lý chứng chỉ
38
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Tổng quan
Các bước hoạt động
Cấu hình IPSec
Cấu hình site – to – site IPSec áp dụng cấu hình VPN
Cấu hình site – to – site IPSec interface ACL
39
Các bước hoạt động và triển khai, cấu hình mô hình site–to– site IPSec 
VPN 
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Tổng quan IPSec:
Đây là giao thức chuẩn của IETF để phục vụ cho việc mã hóa 
trong VPN
Lợi điểm lớn nhất của IPSec là giao thức này có thể thiết lập VPN
một cách tự động và thích hợp với các chính sách bảo mật tập
trung
IPSec có thể thiết lập một VPN dựa trên cơ sở các máy tính mà 
không phải là các người dùng
40
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Tống quan:
IPSec cung cấp dịch vụ bảo mật sử dụng IKE cho phép thỏa thuận
các giao thức và thuật tóan trên nền chính sách cục bộ (group
policy) và sinh ra các khóa bảo mã hóa và chứng thực được sử
dụng trong IPSec
IPSec chưa phải là giao thức bảo mật đường hầm mang tính chất 
tuyệt đối vì còn tồn tại nhiều nhược điểm.
41
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Diễn ra qua 5 bước:
42
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Bước 1 :
A và B hình thành tuyến lưu thông dữ liệu lý tưởng dựa trên các 
cấu hình định tuyến trước đó
Tuyến lưu thông này sẽ được tạo đường hầm IPSec trong suốt 
quá trình kết nối về sau này.
43
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Bước 2:
Router A và B khởi tạo phiên IKE Phase 1
44
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Bước 2 (tt ):
Thực hiện trao đổi khóa theo thuật toán Diffie-Hellman
45
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Bước 2 (tt ):
Cuối cùng xác thực Peer, cách xác thực có thể là dùng Preshared 
keys, thuật toán RSA hay dùng RSA mã hóa Nonces
46
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Bước 3 :
Router khởi tạo phiên IKE Phase 2 áp dụng IPSec cho các SA
Định kỳ thảo luận lại IPSec SAs để đảm bảo tính an toàn 
47
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Thiết lập transform set:
48
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Bước 4 :
Phiên IPSec được hình thành, lúc này các SA đã tạo ra ở bước 3 
sẽ được trao đổi giữa 2 bên, và sau đó chế độ bảo mật sẽ được 
áp dụng cho các dữ liệu truyền trong đường hầm IPSec
49
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Bước 5 :
Giải phóng đường hầm IPSec
SA hết thời gian sống
Gói truyền dữ liệu vượt quá ngưỡng.
Việc giải phóng này mang tính chất là việc hủy đi các SA
50
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Cấu hình Site-to-Site IPsec Phase 1:
51
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Cấu hình Site-to-Site IPsec Phase 2:
52
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Cấu hình Site-to-Site Ipsec VPN:
53
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Cấu hình Site-to-Site IPsec : Interface ACL
IKE : sử dụng UDP port 500
ESP và AH : sử dụng port 50 và 51 
NAT cho phép :
UDP cổng 4500
TCP ( đã được cấu hình )
54
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Site-to-Site IPSec VPN
Cấu hình Site-to-Site IPsec : Interface ACL
Bảo đảm các port 50 , 51 và UDP 500 không bị cấm tại các 
interface sử dụng IPSec
55
Router1#show access-lists
access-list 102 permit ahp host 172.16.172.10 host 172.16.171.20
a ... sco SDM
Step-by-Step Setup:
Nhiều bước được sử dụng để cấu hình VPN:
Xác định các cài đặt: interface, địa chỉ IP, các thông tin xác 
thực.
Xác định các đề xuất IKE: ưu tiên, thuật toán mã hóa, HMAC, 
chứng thực, Diffie-Hellman
Xác định biến đổi IPSec: thuật toán mã hóa, HMAC, phương 
thức hoạt động 
Xác định lưu lượng truy cập: nguồn đơn và mạng con đích, 
ACL 
Kiểm tra lại và hoàn thành việc cấu hình.
67
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Connection settings:
68
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
IKE Proposals
69
1.
2.
3.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Transform Set:
70
1.
2.
3.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Option 1: Single source and Destination subnet
71
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Option 2: Using an ACL
72
1.
2.
3.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Option 2: Using an ACL (tt)
73
1.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Option 2: Using an ACL (tt)
74
2.
3.
1.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Kiểm tra cấu hình đã generate:
75
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Kiểm tra cấu hình đã generate (tt):
76
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Kiểm tra cấu hình Tunnel Operation:
77
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Theo dõi Tunnel Operation:
78
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Site-to-Site IPSec VPN
dùng Cisco SDM
Advanced Monitoring:
79
show crypto isakmp sa
show crypto ipsec sa
router#
router#
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Giới thiệu Cisco Easy VPN
Các bước hoạt động của Cisco Easy VPN Server
Cấu hình Cisco Easy VPN
80
Các bước hoạt động và cấu hình Cisco Easy VPN và Easy VPN server với
Cisco SDM
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Giới thiệu Cisco Easy VPN:
Cisco Easy VPN có hai chứ năng chính:
Đơn giản hóa cấu hình phía Client 
Tập trung cấu hình Server và tự động đẩy cấu hình cho Client 
Để có thể đạt được hai mục tiêu trên:
Chế độ IKE có chức năng tải một số thông số cấu hình cho 
phía client 
Client được cấu hình sẵn với một tập hợp các chính sách IKE 
và IPSec
81
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Tổng quan Cisco Easy VPN:
Easy VPN Server: Cho phép các thiết bị định tuyến Cisco IOS,
Cisco PIX Pirewall, Cisco VPN hoạt động như VPN thiết bị đầu cuối
trong mạng VPN site - to - site hoặc truy cập từ xa trong đó các
văn phòng từ xa có thể sử dụng Cisco Easy VPN Remote
Easy VPN Remote: Cho phép các thiết bị định tuyến Cisco IOS, 
Cisco PIX Pirewall, Cisco VPN, phần cứng client hoặc phần mềm 
Client hoạt động từ xa thông qua VPN client.
82
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Truy cập từ xa dùng Cisco Easy VPN:
83
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Các bước kết nối Cisco Easy VPN :
Kết nối thông qua 7 bước :
Bước 1 : VPN Client khởi tạo IKE Phase 1
Bước 2 : VPN Client thiết lập ISAKMP SA
Bước 3 : Easy VPN Server chấp nhận đề nghị SA
Bước 4 : Easy VPN Server khởi tạo một username và password
Bước 5 : Mode cấu hình được bắt đầu
Bước 6 : Quá trình RRI được bắt đầu 
Bước 7 : IPSec nhanh chóng hoàn thiện kết nối
84
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Bước 1:
Chia sẻ key, hoạt động ở mức tích cực.
Sử dụng chứng chỉ số, tiến hành chính thức.
85
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Bước 2:
VPN client nỗ lực để thiết lập một SA giữa những địa chỉ IP bằng
cách gửi nhiều ISAKMP đến Easy VPN Server 
Để giảm cấu hình bằng tay tại máy VPN Client, có sự kết hợp giữa
ISAKMP với một số điều sau đây:
Các thuật toàn mã hóa và hàm băm
Phương pháp xác thực
Diffie-Hellman
86
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Bước 3:
Easy VPN Server tìm kiếm cho phù hợp:
Xét đề nghị đầu tiên phù hợp với danh sách máy chủ được 
chấp nhận 
Xét đề nghị an toàn nhất là luôn luôn được liệt kê trên cùng 
một danh sách cùa Easy VPN Server
Các SA ISAKMP thiết lập thành công 
Thiết bị kết thúc xác thực và bắt đầu xác thực user
87
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Bước 4:
Nếu Easy VPN Server cấu hình cho Xauth, VPN Client chờ đợi 
thách thức cho Username / Password:
Người dùng nhập vào Username / Password
Thông tin User/ Password được đối tượng kiểm tra và xác thực 
bằng AAA
Tất cả Easy VPN Server được cấu hình để thực thi xác thực 
User
88
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Bước 5:
Nếu Easy VPN cho biết xác thực thành công, VPN Client sẽ yêu 
cầu những tham số còn lại từ Easy VPN Server:
Khởi động chế độ cấu hình 
Các thông số hệ thống còn lại (địa chỉ IP, DNS, Tunnel .) 
được tải về cho VPN Client.
Nhớ rằng địa chỉ IP chỉ cần thiết cho 1 nhóm, còn các thông số 
khác là tùy chọn.
89
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Bước 6 :
RRI nên được sử dụng khi các điều kiện sau xảy ra :
Nhiều hơn một máy VPN Server 
Địa chỉ IP tĩnh được sử dụng với một số Client 
RRI đảm bảo việc tạo ra Static Router
Phân phối lại các tuyến đường tĩnh vào một IGP cho phép các 
máy chủ tìm thấy Easy VPN Server thích hợp cho việc kết nối 
với Client.
90
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Bước 7 :
Sau khi các thông số được cấu hình đã được công nhận bởi VPN 
Client
IPSec quick mode nhanh chóng được bắt đầu đàm phán thành lập 
IPSec SA
Sau khi thành lập IPSec SA kết nối VPN đã hoàn tất.
91
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Cấu hình Easy VPN sử dụng SDM:
Cấu hình Easy VPN Server đòi hỏi những việc sau:
Cấu hình 1 user đặc quyền 
Cấu hình cho phép bí mật 
AAA cho phép sử dụng dữ liệu Local 
Cấu hình Ease VPN Server sử dụngWizard
Easy VPN Server Wizard bao gồm:
Lựa chọn interface để chấm dứt Ipsec
Các chính sách IKE
Sử dụng: local, RADIUS, TACACS+ 
User xác thực dùng Radius
92
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
VPN Wizards:
93
1.
2.
3.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Enabling AAA:
94
2.
1.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Local User Management:
95
1.
2.
3.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Enable AAA Messagebox:
96
1.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Starting the Easy VPN Server:
97
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Select Interface for Terminating IPSec:
98
1.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
IKE Proposals:
99
1.
2.
3.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Transform Set:
100
3.
2.
1.
4.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Option 1: Local Router Configuration:
101
1.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Option 2: External Location via RADIUS
102
1.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Option 2: External Location via RADIUS (tt)
103
3.
1.
2.
4.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Option 1: Local User Database
104
2.
3.
1.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Option 1: Local User Database – Adding Users
105
1.
2.
3.
4.
5.
6.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Option 2: External User Database via RADIUS
106
2.
3.
1.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Local Group Policies:
107
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
General Parameters:
108
1.
2.
3A. 3B.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Domain Name System:
109
1.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Split Tunneling:
110
1.
3.
4.
2.
5.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Advanced Options:
111
1.
2.
3.
4.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Xauth Options:
112
1.
2.
3.
4.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Review Generated Configuration:
113
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Review Generated Configuration (tt):
114
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Verify Easy VPN Server Configuration:
115
1.
3.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Verify Easy VPN Server Configuration (tt):
116
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Monitoring Easy VPN Server:
117
1.
2.
3.
5.
4.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Cấu hình Easy VPN và 
Easy VPN Server với Cisco SDM 
Advanced Monitoring:
118
show crypto isakmp sa
show crypto ipsec sa
router#
router#
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Tổng quan
Cài đặt Cisco VPN Client
Tạo một kết nối với User
Cấu hình và chứng thực tài khoản người dùng
Cấu hình Tunnel
Kích hoạt chức năng sao lưu máy chủ
Cấu hình kết nối với Internet thông qua mạng dial-up
Các tác vụ cấu hình Cisco VPN Client
Sử dụng Cisco VPN Client để thiết lập kết nối VPN và kiểm 
tra trạng thái hoạt động.
119
Các bước cấu hình và triển khai Cisco VPN Client 
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Sử dụng Cisco VPN Client để thiết lập kết nối VPN và kiểm 
tra trạng thái kết nối :
Quá trình cài đặt :
Tải phiên bản mới nhất của Cisco VPN Client CCO
Hủy bỏ tất cả những phiên bản trước của Cisco VPN Client 
Quá trình cài đặt :
Bật VPN Client 
Tạo và cấu hình kết nối VPN
Kiểm tra các kết nối VPN
120
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Cài đặt Cisco VPN Client:
121
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Tạo kết nối:
122
2.
1.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Tạo kết nối (tt):
123
4.
6.
3.
5.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Tạo kết nối (tt):
Chứng thực:
Tạo nhóm 
Mutual chứng thực 
Đăng ký CA
124
1.
2.
3.
4.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Mutual Group Authentication:
125
1.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Cấu hình Transparent Tunneling :
Sử dụng cấu hình mặc định 
NAT- T cho phép IPSec và IKE qua cổng UDP 4500
126
1.
2.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Bật chức năng backup:
Danh sách được sử dụng khi máy chủ VPN không hoạt động 
được 
127
1.
2.
3.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Triển khai Cisco VPN Client
Kết nối dial-up:
128
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
Câu hỏi ôn tập
Trình bày các thành phần của IPSec và đặc điểm của IPSec 
VPN.
Triển khai Site-to-Site IPSec VPN.
Các bước cấu hình IPSec Site-to-Site VPN sử dụng SDM.
Các bước cấu hình được Cisco Easy VPN Server với SDM.
Trình bày cách triển khai Cisco VPN Client.
129
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
TÓM LƯỢC BÀI HỌC
Sử dụng giao thức bảo mật cho Tunnel VPN: IPSec
Cấu hình Site-to-Site IPSec VPN
Cấu hình Cisco Easy VPN.
Kết luận:
Bài học này rất hay giúp triển khai một hệ thống VPN với cơ chế bảo 
mật thông qua giao thức IPSec.
Ứng dụng bài học vào thực tiễn xây dựng hệ thống VPN an toàn cho 
DN.
130
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website:  
@Email: fit@ispace.edu.vn
HỎI - ĐÁP
131

File đính kèm:

  • pdfbai_giang_xay_dung_he_thong_firewall_bai_5_trien_khai_he_tho.pdf