Click here to load reader
Upload
quan-quat-mo
View
90
Download
0
Embed Size (px)
DESCRIPTION
Báo cáo thực tập tuần 6
Citation preview
ĐỀ TÀI : NGHIÊN CỨU CÁC CƠ CHẾ ROUTING
CỦA CISCO MÔ PHỎNG TRÊN NỀN GNS3
BÁO CÁO THỰC TẬP TUẦN 6 :MẠNG RIÊNG ẢO
(VIRTUAL PRIVATE NETWORK)
Giảng Viên Hướng Dẫn : Võ Đỗ ThắngSinh Viên Thực Tập : Phạm Tiến Quân
Mục lụcI. Tổng quan mạng riêng ảo (VPN)...................................2
1. Giới thiệu VPN.............................................................2
2. Chức năng của VPN.....................................................3
3. Ưu điểm của VPN........................................................3
4. Phân loại VPN..............................................................4
4.1 VPN truy cập từ xa (Remote-Access)......................4
4.2 VPN điểm nối điểm (site-to-site).............................5
4.2.1 Khái niệm..............................................................5
4.2.2 Các thành phần cần thiết tạo kết nối VPN.............6
II. Mô phỏng VPN site-to-site trên GNS3 (VPN)............6
1. Cấu hinh VPN site to site.............................................7
2. Các lệnh kiểm tra VPN..............................................10
1
I. Tổng quan mạng riêng ảo (VPN)
1. Giới thiệu VPN
Mạng riêng ảo VPN(Virtual Private Network) là một mạng riêng rẽ sử dụng
một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng
lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực,
chuyên dụng như đường Leased Line, mỗi VPN sử dụng các kết nối ảo được dẫn
qua đường Internet từ mạng riêng của công ty tới các site của các nhân viên từ xa.
Một ứng dụng điển hình của VPN là cung cấp một kênh an toàn từ đầu mạng
giúp cho những văn phòng chi nhánh / văn phòng ở xa hoặc những người làm việc
từ xa có thể dùng Internet truy cập tài nguyên công ty một cách bảo mật và thoải
mái như đang sử dụng máy tính cục bộ trong mạng công ty.
Về căn bản, mỗi VPN (Virtual Private Network) là một mạng riêng rẽ sử
dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng
riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối
thực, chuyên dụng như đường Leased Line, mỗi VPN sử dụng các kết nối ảo được
dẫn qua đường Internet từ mạng riêng của công ty tới các site của các nhân viên từ
xa.
Hình 1 Mô hình mạng VPN
2
Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router và
firewall. Những thiết bị này có thể được quản trị bởi công ty hoặc các nhà cung
cấp dịch vụ như ISP.
2. Chức năng của VPN
VPN cung cấp ba chức năng chính :
Sự tin cậy : các thông tin trên VPN được mã hóa trước khi truyền, nên
thông tin được bảo mật cao.
Tính toàn vẹn dữ liệu : người nhận có thể kiểm tra dữ liệu đã được
truyền qua mạng Internet mà không có sự thay đổi nào.
Xác thực nguồn gốc : người nhận có thể xác thực nguồn gốc của gói
dữ liệu, đảm bảo và công nhận nguồn thông tin.
3. Ưu điểm của VPN
VPN có nhiều ưu điểm hơn so với mạng lesed-line truyền thống :
VPN làm giảm chi phí hơn so với mạng cục bộ. Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường trục, và hoạt động của hệ thống. Giá thành cho việc kết nối LAN-to-LAN giảm từ 20-30% so với việc sử dụng đường Leased-line truyền thống. Còn đối với việc truy cập từ xa thì giảm tới từ 60-80%.
VPN tạo ra tính mềm dẻo cho khả năng quản lý Internet. Các VPN đã kết thừa phát huy hơn nữa tính mềm dẻo và khả năng mở rộng kiến trúc mạng hơn là các mạng WAN truyền thống. Điều này giúp các doanh nghiệp có thể nhanh chóng và hiệu quả kinh tế cho việc mở rộng hay huỷ bỏ kết nối của các trụ sở ở xa, các người sử dụng di động…, và mở rộng các đối tác kinh doanh khi có nhu cầu.
VPN làm đơn giản hoá cho việc quản lý các công việc so với việc sở hữu và vận hành một mạng cục bộ. Các doanh nghiệp có thể cho phép sử dụng một vài hay tất cả các dịch vụ của mạng WAN, giúp các doanh nghiệp có thể tập chung vào các đối tượng kinh doanh chính, thay vì quản lý một mạng WAN hay mạng quay số từ xa.
VPN cung cấp các kiểu mạng đường hầm và làm giả thiểu các công việc quản lý. Một Backbone IP sẽ loại bỏ các PVC (Permanent Virtual Circuit) cố định tương ứng với các giao thức kết nối như là Frame Relay và ATM. Điều này tạo ra một kiểu mạng lưới hoàn chỉnh trong khi giảm được độ phức tạp và giá thành.
3
4. Phân loại VPN
VPN đã phát triển và phân chia thành 2 phân loại phổ biến :
VPN truy cập từ xa (Remote-Access)
VPN điểm nối điểm (site-to-site)
4.1 VPN truy cập từ xa (Remote-Access)
Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote,
mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài
nguyên mạng của tổ chức. Ðặc biệt là những người dùng thường xuyên di chuyển
hoặc các chi nhánh văn phòng nhỏ mà không có kết nối thường xuyên đến mạng
Intranet hợp tác.
Các truy cập VPN thường yêu cầu một vài kiểu phần mềm client chạy trên
máy tính của người sử dụng. Kiểu VPN này thường được gọi là VPN truy cập từ
xa.
Hình 4.1 Mô hình mạng VPN truy cập từ xa
Một số thành phần chính :
Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận
và chứng nhận các yêu cầu gửi tới.
Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu
cầu ở khá xa so với trung tâm.
4
Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ
trợ truy cập từ xa bởi người dùng.
Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc
các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch
vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet.
4.2 VPN điểm nối điểm (site-to-site)
4.2.1 Khái niệm
Với dạng VPN này, lưu thông mạng được đóng thành kênh hoặc giữa các CE hoặc giữa các PE (gọi là CE-based hoặc PE-based VPN). Các giao thức thường dùng để tạo kênh VPN dạng này chủ yếu gồm:
IPsec (IP Security): gồm một bộ giao thức thiết kế để bảo vệ lưu thông IP luân chuyển qua mạng chung giữa các thiết bị gateways hoặc các trạm IP. Kênh IPsec thường được dùng để tạo site-to-site VPN giữa các CE.
GRE (Generic Routing Encapsulation): GRE có thể sử dụng để xây dựng kênh và truyền tải các lưu lượng theo nhiều giao thức khác nhau giữa các thiết bị CE trong mạng VPN. GRE gần như không có tính bảo mật, do đó các kênh GRE thường được bảo vệ bằng IPsec khi yêu cầu an ninh cao.
AToM (Any Transport over MPLS): cho phép truyền tải các lưu thông sử dụng các giao thức điểm-điểm (Point-to-Point) như Frame Relay, ATM, Ethernet, Ethernet VLAN (802.1Q), HDLC (High-Level Data Link Control), và PPP trên nền mạng MPLS. Bộ giao thức này ban đầu được phác thảo bởi Luca Martini của Cisco Systems và một số tác giả khác để đóng góp cho nhóm PWE3 (Pseudo Wire Emulation Edge-to-Edge) của IETF, do đó còn thường được gọi là bộ giao thức Martini Draft. Ban đầu chúng gồm hai phần: Martini-TRANS định nghĩa phương thức truyền tải sử dụng giao thức LDP (Label Distribution Protocol) và Martini-ENCAPS định nghĩa phương thức đóng gói các giao thức lớp 2 trước khi truyền tải. Hiện nay, đa phần các định nghĩa đã được chuẩn hóa thành Internet RFC.
L2TPv3 (Layer 2 Tunneling Protocol version 3): cho phép truyền tải các giao thức điểm-điểm như Frame Relay, ATM, Ethernet, Ethernet VLAN, HDLC, và PPP trên nền mạng IP hoặc các mạng trục khác.
Q-in-Q (IEEE 802.1Q tunneling): cho phép nhà cung cấp dịch vụ đóng kênh truyền tải lưu thông Ethernet của khách hàng có đính thẻ 802.1Q qua nền mạng chung. Lưu thông 802.1Q của khách hàng được đóng kênh qua nền mạng của nhà cung cấp bằng cách đính thêm một thẻ 802.1Q khác trước gói tin - do đó gọi là Q-in-Q.
5
MPLS LSPs (MPLS Label Switched Paths): một tuyến LSP là tuyến đi qua các LSR (Label Switch Routers) trong mạng MPLS. Các gói tin được chuyển mạch dựa trên nhãn được đính vào đầu gói. Các tuyến LSP có thể được ký hiệu với TDP (Tag Distribution Protocol), LDP (Label Distribution Protocol), hoặc RSVP (Resource Reservation Protocol).
4.2.2 Các thành phần cần thiết tạo kết nối VPN - User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho
phép người dùng hợp lệ kết nối và truy cập hệ thống VPN.
- Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi
gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.
- Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình
truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.
- Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá
trình mã hoá và giải mã dữ liệu.
II. Mô phỏng VPN site-to-site trên GNS3 (VPN)
Cho mô hình như bên dưới :
6
Cấu hình VPN cho phép 2 LAN ở router R1 và router R3 liên lạc được với nhau.
1. Cấu hinh VPN site to site
Router R1 và R3, cấu hình hostname và ip theo mô hình, sau đó cấu hình default
route.
R1 (config)# interface s0/0
R1 (config-if)# ip address 2.1.0.1 255.255.255.252
R1 (config-if)# clockrate 64000
R1 (config-if)# no shutdown
R1 (config-if)# interface fastethernet 1/0
R1 (config-if)# ip address 192.168.1.254 255.255.255.0
R1 (config-if)# no shutdown
R1 (config)#ip route 0.0.0.0 0.0.0.0 s0/0
R3 (config)# interface s0/0
R3 (config-if)# ip address 3.2.0.2 255.255.255.252
R3 (config-if)# no shutdown
R3 (config-if)# clockrate 64000
R3 (config-if)# interface fastethernet1/0
R3 (config-if)# ip address 192.168.2.254 255.255.255.0
R3 (config-if)# no shutdown
R3 (config)#ip route 0.0.0.0 0.0.0.0 s0/0
R2(config)#interface serial 0/1
R2(config-if)# ip address 2.1.0.2 255.255.255.252
R2(config-if)# no shutdown
7
R2(config-if)# clockrate 64000
R2(config-if)# interface serial 0/2
R2(config-if)# ip address 3.2.0.1 255.255.255.252
R2(config-if)# clockrate 64000
R2(config-if)# no shutdown
Các bước cấu hình VPN site to site
Bước 1: Tạo internet key exchange (IKE) key policy
R1 (config)#crypto isakmp policy 9
R1 (config-isakmp)#hash md5
R1 (config-isakmp)#authentication pre-share
R3 (config)#crypto isakmp policy 9
R3 (config-isakmp)#hash md5
R3 (config-isakmp)#authentication pre-share
Bước 2: Tạo share key để sử dụng cho kết nối VPN
R1 (config)#crypto isakmp key 0 VPNKEY address 3.2.0.2
R3 (config)#crypto isakmp key 0 VPNKEY address 2.1.0.1
Bước 3: Quy định lifetime
R1 (config)#crypto ipsec security-association lifetime seconds 86400
R3 (config)# crypto ipsec security-association lifetime seconds 86400
Bước 4: Cấu hình ACL dãy IP có thể VPN
R1 (config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0
0.0.0.255
R3 (config)# access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0
0.0.0.255
8
Bước 5: Cấu hình tranform-set Ipsec
R1 (config)# crypto ipsec transform-set LAN1 esp-md5-hmac esp-3des
R3 (config)# crypto ipsec transform-set LAN2 esp-md5-hmac esp-3des
Bước 6: Tạo crypto-map cho các transform, setname
R1 (config)#crypto map mapvpn1 10 ipsec-isakmp
R1 (config-crypto-map)#set peer 3.0.0.2
R1 (config-crypto-map)#set transform-set LAN1
R1 (config-crypto-map)#match address 100
R3 (config)#crypto map mapvpn1 10 ipsec-isakmp
R3 (config-crypto-map)#set peer 2.1.0.1
R3 (config-crypto-map)#set transform-set LAN2
R3 (config-crypto-map)#match address 100
Bước 7: Gán vào interface
R1 (config)#interface s0/0
R1 (config-if)#crypto map mapvpn1
R3 (config)#interface s0/0
R3 (config-if)#crypto map mapvpn2
2. Các lệnh kiểm tra VPN
show crypto isakmp sa
show crypto map
show crypto ipsec sa
9