ĐỀ TÀI : NGHIÊN CỨU CÁC CƠ CHẾ ROUTING

CỦA CISCO MÔ PHỎNG TRÊN NỀN GNS3

BÁO CÁO THỰC TẬP TUẦN 6 :MẠNG RIÊNG ẢO

(VIRTUAL PRIVATE NETWORK)

Giảng Viên Hướng Dẫn : Võ Đỗ ThắngSinh Viên Thực Tập : Phạm Tiến Quân

Mục lụcI. Tổng quan mạng riêng ảo (VPN)...................................2

1. Giới thiệu VPN.............................................................2

2. Chức năng của VPN.....................................................3

3. Ưu điểm của VPN........................................................3

4. Phân loại VPN..............................................................4

4.1 VPN truy cập từ xa (Remote-Access)......................4

4.2 VPN điểm nối điểm (site-to-site).............................5

4.2.1 Khái niệm..............................................................5

4.2.2 Các thành phần cần thiết tạo kết nối VPN.............6

II. Mô phỏng VPN site-to-site trên GNS3 (VPN)............6

1. Cấu hinh VPN site to site.............................................7

2. Các lệnh kiểm tra VPN..............................................10

1

I. Tổng quan mạng riêng ảo (VPN)

1. Giới thiệu VPN

Mạng riêng ảo VPN(Virtual Private Network) là một mạng riêng rẽ sử dụng

một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng

lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực,

chuyên dụng như đường Leased Line, mỗi VPN sử dụng các kết nối ảo được dẫn

qua đường Internet từ mạng riêng của công ty tới các site của các nhân viên từ xa.

Một ứng dụng điển hình của VPN là cung cấp một kênh an toàn từ đầu mạng

giúp cho những văn phòng chi nhánh / văn phòng ở xa hoặc những người làm việc

từ xa có thể dùng Internet truy cập tài nguyên công ty một cách bảo mật và thoải

mái như đang sử dụng máy tính cục bộ trong mạng công ty.

Về căn bản, mỗi VPN (Virtual Private Network) là một mạng riêng rẽ sử

dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng

riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối

thực, chuyên dụng như đường Leased Line, mỗi VPN sử dụng các kết nối ảo được

dẫn qua đường Internet từ mạng riêng của công ty tới các site của các nhân viên từ

xa.

Hình 1 Mô hình mạng VPN

2

Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router và

firewall. Những thiết bị này có thể được quản trị bởi công ty hoặc các nhà cung

cấp dịch vụ như ISP.

2. Chức năng của VPN

VPN cung cấp ba chức năng chính :

Sự tin cậy : các thông tin trên VPN được mã hóa trước khi truyền, nên

thông tin được bảo mật cao.

Tính toàn vẹn dữ liệu : người nhận có thể kiểm tra dữ liệu đã được

truyền qua mạng Internet mà không có sự thay đổi nào.

Xác thực nguồn gốc : người nhận có thể xác thực nguồn gốc của gói

dữ liệu, đảm bảo và công nhận nguồn thông tin.

3. Ưu điểm của VPN

VPN có nhiều ưu điểm hơn so với mạng lesed-line truyền thống :

VPN làm giảm chi phí hơn so với mạng cục bộ. Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường trục, và hoạt động của hệ thống. Giá thành cho việc kết nối LAN-to-LAN giảm từ 20-30% so với việc sử dụng đường Leased-line truyền thống. Còn đối với việc truy cập từ xa thì giảm tới từ 60-80%.

VPN tạo ra tính mềm dẻo cho khả năng quản lý Internet. Các VPN đã kết thừa phát huy hơn nữa tính mềm dẻo và khả năng mở rộng kiến trúc mạng hơn là các mạng WAN truyền thống. Điều này giúp các doanh nghiệp có thể nhanh chóng và hiệu quả kinh tế cho việc mở rộng hay huỷ bỏ kết nối của các trụ sở ở xa, các người sử dụng di động…, và mở rộng các đối tác kinh doanh khi có nhu cầu.

VPN làm đơn giản hoá cho việc quản lý các công việc so với việc sở hữu và vận hành một mạng cục bộ. Các doanh nghiệp có thể cho phép sử dụng một vài hay tất cả các dịch vụ của mạng WAN, giúp các doanh nghiệp có thể tập chung vào các đối tượng kinh doanh chính, thay vì quản lý một mạng WAN hay mạng quay số từ xa.

VPN cung cấp các kiểu mạng đường hầm và làm giả thiểu các công việc quản lý. Một Backbone IP sẽ loại bỏ các PVC (Permanent Virtual Circuit) cố định tương ứng với các giao thức kết nối như là Frame Relay và ATM. Điều này tạo ra một kiểu mạng lưới hoàn chỉnh trong khi giảm được độ phức tạp và giá thành.

3

4. Phân loại VPN

VPN đã phát triển và phân chia thành 2 phân loại phổ biến :

VPN truy cập từ xa (Remote-Access)

VPN điểm nối điểm (site-to-site)

4.1 VPN truy cập từ xa (Remote-Access)

Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote,

mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài

nguyên mạng của tổ chức. Ðặc biệt là những người dùng thường xuyên di chuyển

hoặc các chi nhánh văn phòng nhỏ mà không có kết nối thường xuyên đến mạng

Intranet hợp tác.

Các truy cập VPN thường yêu cầu một vài kiểu phần mềm client chạy trên

máy tính của người sử dụng. Kiểu VPN này thường được gọi là VPN truy cập từ

xa.

Hình 4.1 Mô hình mạng VPN truy cập từ xa

Một số thành phần chính :

Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận

và chứng nhận các yêu cầu gửi tới.

Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu

cầu ở khá xa so với trung tâm.

4

Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ

trợ truy cập từ xa bởi người dùng.

Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc

các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch

vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet.

4.2 VPN điểm nối điểm (site-to-site)

4.2.1 Khái niệm

Với dạng VPN này, lưu thông mạng được đóng thành kênh hoặc giữa các CE hoặc giữa các PE (gọi là CE-based hoặc PE-based VPN). Các giao thức thường dùng để tạo kênh VPN dạng này chủ yếu gồm:

IPsec (IP Security): gồm một bộ giao thức thiết kế để bảo vệ lưu thông IP luân chuyển qua mạng chung giữa các thiết bị gateways hoặc các trạm IP. Kênh IPsec thường được dùng để tạo site-to-site VPN giữa các CE.

GRE (Generic Routing Encapsulation): GRE có thể sử dụng để xây dựng kênh và truyền tải các lưu lượng theo nhiều giao thức khác nhau giữa các thiết bị CE trong mạng VPN. GRE gần như không có tính bảo mật, do đó các kênh GRE thường được bảo vệ bằng IPsec khi yêu cầu an ninh cao.

AToM (Any Transport over MPLS): cho phép truyền tải các lưu thông sử dụng các giao thức điểm-điểm (Point-to-Point) như Frame Relay, ATM, Ethernet, Ethernet VLAN (802.1Q), HDLC (High-Level Data Link Control), và PPP trên nền mạng MPLS. Bộ giao thức này ban đầu được phác thảo bởi Luca Martini của Cisco Systems và một số tác giả khác để đóng góp cho nhóm PWE3 (Pseudo Wire Emulation Edge-to-Edge) của IETF, do đó còn thường được gọi là bộ giao thức Martini Draft. Ban đầu chúng gồm hai phần: Martini-TRANS định nghĩa phương thức truyền tải sử dụng giao thức LDP (Label Distribution Protocol) và Martini-ENCAPS định nghĩa phương thức đóng gói các giao thức lớp 2 trước khi truyền tải. Hiện nay, đa phần các định nghĩa đã được chuẩn hóa thành Internet RFC.

L2TPv3 (Layer 2 Tunneling Protocol version 3): cho phép truyền tải các giao thức điểm-điểm như Frame Relay, ATM, Ethernet, Ethernet VLAN, HDLC, và PPP trên nền mạng IP hoặc các mạng trục khác.

Q-in-Q (IEEE 802.1Q tunneling): cho phép nhà cung cấp dịch vụ đóng kênh truyền tải lưu thông Ethernet của khách hàng có đính thẻ 802.1Q qua nền mạng chung. Lưu thông 802.1Q của khách hàng được đóng kênh qua nền mạng của nhà cung cấp bằng cách đính thêm một thẻ 802.1Q khác trước gói tin - do đó gọi là Q-in-Q.

5

MPLS LSPs (MPLS Label Switched Paths): một tuyến LSP là tuyến đi qua các LSR (Label Switch Routers) trong mạng MPLS. Các gói tin được chuyển mạch dựa trên nhãn được đính vào đầu gói. Các tuyến LSP có thể được ký hiệu với TDP (Tag Distribution Protocol), LDP (Label Distribution Protocol), hoặc RSVP (Resource Reservation Protocol).

4.2.2 Các thành phần cần thiết tạo kết nối VPN - User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho

phép người dùng hợp lệ kết nối và truy cập hệ thống VPN.

- Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi

gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.

- Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình

truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.

- Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá

trình mã hoá và giải mã dữ liệu.

II. Mô phỏng VPN site-to-site trên GNS3 (VPN)

Cho mô hình như bên dưới :

6

Cấu hình VPN cho phép 2 LAN ở router R1 và router R3 liên lạc được với nhau.

1. Cấu hinh VPN site to site

Router R1 và R3, cấu hình hostname và ip theo mô hình, sau đó cấu hình default

route. 

R1 (config)# interface s0/0

R1 (config-if)# ip address 2.1.0.1 255.255.255.252

R1 (config-if)# clockrate 64000

R1 (config-if)# no shutdown

R1 (config-if)# interface fastethernet 1/0

R1 (config-if)# ip address 192.168.1.254 255.255.255.0

R1 (config-if)# no shutdown

R1 (config)#ip route 0.0.0.0 0.0.0.0 s0/0

R3 (config)# interface s0/0

R3 (config-if)# ip address 3.2.0.2 255.255.255.252

R3 (config-if)# no shutdown

R3 (config-if)# clockrate 64000

R3 (config-if)# interface fastethernet1/0

R3 (config-if)# ip address 192.168.2.254 255.255.255.0

R3 (config-if)# no shutdown

R3 (config)#ip route 0.0.0.0 0.0.0.0 s0/0

R2(config)#interface serial 0/1

R2(config-if)# ip address 2.1.0.2 255.255.255.252

R2(config-if)# no shutdown

7

R2(config-if)# clockrate 64000

R2(config-if)# interface serial 0/2

R2(config-if)# ip address 3.2.0.1 255.255.255.252

R2(config-if)# clockrate 64000

R2(config-if)# no shutdown

Các bước cấu hình VPN site to site

Bước 1: Tạo internet key exchange (IKE) key policy

R1 (config)#crypto isakmp policy 9

R1 (config-isakmp)#hash md5

R1 (config-isakmp)#authentication pre-share

R3 (config)#crypto isakmp policy 9

R3 (config-isakmp)#hash md5

R3 (config-isakmp)#authentication pre-share

Bước 2: Tạo share key để sử dụng cho kết nối VPN

R1 (config)#crypto isakmp key 0 VPNKEY address 3.2.0.2

R3 (config)#crypto isakmp key 0 VPNKEY address 2.1.0.1

Bước 3: Quy định lifetime

R1 (config)#crypto ipsec security-association lifetime seconds 86400

R3 (config)# crypto ipsec security-association lifetime seconds 86400

Bước 4: Cấu hình ACL dãy IP có thể VPN

R1 (config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0

0.0.0.255

R3 (config)# access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0

0.0.0.255

8

Bước 5: Cấu hình tranform-set Ipsec

R1 (config)# crypto ipsec transform-set LAN1 esp-md5-hmac esp-3des

R3 (config)# crypto ipsec transform-set LAN2 esp-md5-hmac esp-3des

Bước 6: Tạo crypto-map cho các transform, setname

R1 (config)#crypto map mapvpn1 10 ipsec-isakmp 

R1 (config-crypto-map)#set peer 3.0.0.2

R1 (config-crypto-map)#set transform-set LAN1

R1 (config-crypto-map)#match address 100

R3 (config)#crypto map mapvpn1 10 ipsec-isakmp 

R3 (config-crypto-map)#set peer 2.1.0.1

R3 (config-crypto-map)#set transform-set LAN2

R3 (config-crypto-map)#match address 100

Bước 7: Gán vào interface

R1 (config)#interface s0/0

R1 (config-if)#crypto map mapvpn1  

R3 (config)#interface s0/0

R3 (config-if)#crypto map mapvpn2 

2. Các lệnh kiểm tra VPN

show crypto isakmp sa

show crypto map

show crypto ipsec sa

9