Docstoc

IPsec VPN

Document Sample
IPsec VPN Powered By Docstoc
					BÁO CÁO TTTN                                                        IPSec VPN



                              L IM         ð U
Ngày nay v i s bùng n c a ngành công ngh thông tin ñã ñem l i cho chúng ta
nhi u ñi u m i m , t o cho m i quan h công vi c trong xã h i ngày càng ti n l i
hơn, cho phép các nhân viên làm vi c m t cách hi u qu t i nhà và cho phép m t
doanh nghi p k t n i m t cách an toàn t i các ñ i lý c a h cùng các hãng h p tác.
Công ngh không ng ng phát tri n và luôn góp ph n c i thi n cơ s h t ng m ng
c a chúng ta. Góp ph n b o ñ m cho công vi c c a chúng ta ñư c an toàn hơn.
M t trong nh ng công ngh mà hi n nay ñư c các doanh nghi p, các công ty, các
hãng thương m i, … hi n nay ñ u s d ng ph bi n, ñó là công ngh Virtual
Private Network (VPN). Công ngh m ng riêng o ñã m r ng ph m vi c a các
m ng LAN (Local Area Network) mà không c n b t kì ñư ng dây nào. Tài nguyên
   trung tâm có th k t n i ñ n t nhi u ngu n nên ti t ki m ñư c chi phí và th i
gian .
Trong ñó v n ñ b o ñ m an ninh gi a các m ng là v n ñ c n quan tâm nh t hi n
nay. M t trong nh ng gi i pháp ñ m b o tính b o m t c a m ng VPN là IPSec.
Tuy công ngh này không ph i là còn m i nhưng nó ñư c ng d ng r t r ng rãi
trong nhi u doanh nghi p, công ty, …Giao th c IPSec cho phép vi c truy n t i d
li u ñư c mã hoá an toàn qua m ng công c ng.
Trong bài th c t p này, em th o lu n v công ngh IPSec, m t công ngh khá ph
bi n ñê b o ñ m an ninh trong m ng VPN mà nhi u nơi, nhi u công ty ñã tri n
khai.
Vì ki n th c và kinh nghi m còn h n ch , nên không tránh kh i nh ng sai sót
trong bài báo cáo này. R t mong ñư c s ñóng góp ý ki n c a các th y cô và các
b n.




SVTT : Vi Th Mưu                          1
BÁO CÁO TTTN                                                     IPSec VPN




                              L I C M ƠN
            ð hoàn thành t t quá trình th c t p, em ñã nh n ñư c
            nhi u s ñóng góp c a các th y trong VnPro và các b n.
            ð c bi t em mu n g i l i c m ơn ñ n :
            Xin c m ơn th y ð ng Quang Minh – Ban Giám ñ c
            Trung Tâm VnPro . Chính nh s ñ ng ý ti p nh n c a
            th y ñã t o ñi u ki n cho em có cơ h i h c t p ngoài th c
            t . C m ơn th y ñã ch d y cho em phong cách s ng ñ n
            tác phong làm vi c ñ em chu n b cho công vi c sau này.
            C m ơn th y ñã ñ nh hư ng cho em ñ hoàn thành t t trong
            th i gian th c t p.
            Xin c m ơn các anh phòng k thu t ñã h t lòng nhi t tình
            cung c p thi t b ñ em hoàn thành t t các bài Lab trong
            quá trình th c t p.
            Xin c m ơn toàn th công ty VnPro ñã t o cho em môi
            trư ng th c t p t t.
            Cu i cùng xin g i l i c m ơn ñ n các th y cô trong b môn
            ði n T Vi n Thông trư ng ð i h c giao thông V n t i
            Tp.H Chí Minh ñã giúp cho em có cơ h i ñư c th c t p
            trong môi trư ng th c t .

            Trân Tr ng

            Vi Th Mưu




SVTT : Vi Th Mưu                       2
BÁO CÁO TTTN                                                                                                IPSec VPN



                          NH N XÉT C A ðƠN V TH C T P
                                                 ----------o0o--------

H tên sinh viên : VI TH MƯU                                                          MSSV :            DV03035
L p:                            DV03                                                 Khoá h c : 2003 - 2008
Th i gian th c t p : 6 tu n
T :                            03 / 03 / 2008 ñ n 11 / 04 / 2008
ðơn v th c t p : Trung tâm tin h c VNPRO.
                              149/1D, Ung Văn Khiêm, Phư ng 25, Qu n Bình Th nh,
Tp.HCM
ð tài th c t p :              Tìm hi u và Tri n khai IPSec trong Virtual Private Network
GV hư ng d n : Th y ð ng Quang Minh
..........................................................................................................................................
Nh n xét c a ñơn v th c t p : ..........................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................

                                                                       Tp.HCM, ngày… tháng …năm 2008

Ban Giám ð c                                                              Giáo viên hư ng d n




……………………….                                                                  Th y ð ng Quang Minh


SVTT : Vi Th Mưu                                                   3
BÁO CÁO TTTN                                                                                                IPSec VPN

            NH N XÉT C A B                             MÔN ðI N T                      VI N THÔNG
                                                 ----------o0o--------

H tên sinh viên : VI TH MƯU                                                        Mã s sinh viên : DV03035
L p:                            DV03                                               Khoá h c :                 2003 - 2008
Th i gian th c t p : 6 tu n
T :                            03 / 03 / 2008 ñ n 11 / 04 / 2008
ðơn v th c t p : Trung tâm tin h c VNPRO.
                              149/1D, Ung Văn Khiêm, Phư ng 25, Qu n Bình Th nh,
Tp.HCM
ð tài th c t p :              Tìm hi u và Tri n khai IPSec trong Virtual Private Network
GV hư ng d n :                Th y Võ Nguyên Sơn
..........................................................................................................................................
Nh n xét c a b môn ðTVT : ...........................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................


                                                                       Tp.HCM, ngày… tháng …năm 2008
      Giáo viên
                                                                                     Sinh viên




                                                                                     Vi Th Mưu
…………………………….



SVTT : Vi Th Mưu                                                   4
BÁO CÁO TTTN                                                         IPSec VPN




                        NH T KÝ TH C T P

Tu n 1 : Ngày 3/3     8/3/2008
Tìm hi u lý thuy t và th c hành bài lab cơ b n :
   -   Th c hi n c u hình trên 2 Router, t o 1 kênh Private gi a 2 m ng Lan c a 2
       Router qua m t môi trư ng Public
   -   Config a GRE Tunnel to a Remote
Tu n 2 : T 10/03      15/03/2008
   -   vi t báo cáo
   -   Tìm hi u lý thuy t v PKI + th c hành Lab v site-to-site VPN dùng CA
       th c hi n trên 3 Router
Tu n 3 : T 18/03      23/03/2008
   -   19/03    20/03/2008 : b n vi c gia ñình
   -   Th c hành Lab PKI
Tu n 4 : T 24/03      28/03/2008
   -   Th c hành Lab Dynamic Multipoint VPN
   -   vi t báo cáo
Tu n 5 : T 31/03      04/04/2008
   -   Tìm hi u v CA Server
   -   Th c hành Lab dùng windows server 2003 làm CAServer
Tu n 6 : T 07/04      11/04/2008
   -   Tìm hi u lý thuy t
   -   Vi t báo cáo




SVTT : Vi Th Mưu                           5
BÁO CÁO TTTN                                                                                    IPSec VPN


                                             M CL C
PH N 1 : LÝ THUY T ................................................................................................ 8
CHƯƠNG I : GI I THI U V M NG RIÊNG O ....................................................... 8
  I.    Gi i Thi u ...................................................................................................... 8
  II.   Phân Lo i VPN ............................................................................................... 8
                1. Phân lo i ...................................................................................... 8
                2. VPN ñ i v i doanh nghi p ........................................................... 9
                3. công ngh VPN và mô hình OSI ................................................ 14
CHƯƠNG II : CÔNG NGH IP SECURITY ................................................................ 17
  I.    Tìm Hi u V Giao Th c IPSec ...................................................................... 17
                1. Khái v IPSec ............................................................................ 17
                2. Cơ ch ho t ñ ng c a giao th c IPSec ....................................... 17
                3. Cơ ch ho t ñ ng c a IKE ......................................................... 19
  II.   Cơ Ch Ho t ð ng C a Giao th c AH và ESP ............................................. 19
                1. Khái quát ................................................................................... 19
                2. T ng quan v AH và ESP Header .............................................. 20
                3. Authentication Header ............................................................... 20
                4. Encapsulation Security Payload ................................................. 24
                5. Các Mode chính c a giao th c IPSec ......................................... 29
CHƯƠNG III : PUBLIC KEY INFRASTRUCTURE ................................................... 33
  I.    T ng Quan v PKI ........................................................................................ 33
  II.   Các Thành Ph n c a PKI .............................................................................. 33
                      1. Các thành ph n v a PKI ..................................................... 33
                      2. M c ñích và ch c năng c a PKI ......................................... 34
  III.  Cơ S H T ng C a PKI ............................................................................... 35
                      1. Các bư c mã hoá ............................................................... 35
                      2. Các bư c ki m tra .............................................................. 36
CHƯƠNG IV : DYNAMIC MULTIPOINT VIRTUAL PRIVATE NETWORK........... 37
  I.    Khái Quát V DMVPN.................................................................................. 37
                1. DMVPN là gì? ............................................................................ 37
                2. Ưu ñi m c a DMVPN ............................................................... 37
                3. Công ngh s d ng trong DMVPN ............................................. 38
                4. Ho t ñ ng c a DMVPN.............................................................. 38
                5. ð nh tuy n v i DMVPN ............................................................. 38
                6. DMVPN Phase .......................................................................... 39
  II.   C u Hình DMVPN ....................................................................................... 41
                1. C u hình IPSec .......................................................................... 41
                2. C u hình mGRE Hub ................................................................. 41
                3. C u hình mGRE Spoke .............................................................. 42
  III.  Next Hop Resolution Protocol ...................................................................... 42
                1. Tương tác NHRP và NBMA ....................................................... 42
                2. L i ích c a NHRP cho NBMA ................................................... 43
                3. Next Hop Server Resolution ...................................................... 43
                4. NHRP s d ng v i DMVPN....................................................... 44
                5. S ñăng ký NHRP....................................................................... 45



SVTT : Vi Th Mưu                                           6
BÁO CÁO TTTN                                                                             IPSec VPN

PH N II : TH C HÀNH ........................................................................................... 46
  1.    Th c hành bài lab cơ b n .............................................................................. 46
  2.    C u hình Site-to-Site dùng Windows Server 2003 làm CAServer .................. 48
  3.    Th c hành lab c u hình DMVPN .................................................................. 68




SVTT : Vi Th Mưu                                       7
BÁO CÁO TTTN                                                         IPSec VPN


              PH N 1 : LÝ THUY T
   CHƯƠNG I : GI I THI U V M NG RIÊNG O
I. Gi i Thi u :

VPN (Virtual Private Network) là công ngh cung c p m t phương th c giao ti p
an toàn gi a các m ng riêng d a vào k thu t g i là tunneling ñ t o ra m t m ng
riêng trên n n Internet. V b n ch t, ñây là quá trình ñ t toàn b gói tin vào trong
m t l p header ch a thông tin ñ nh tuy n có th truy n qua m ng trung gian.
VPN là m t m ng riêng s d ng m t m ng chung ñ k t n i cùng v i các site (các
m ng riêng l ) hay nhi u ngư i s d ng t xa. Thay cho vi c s d ng m t k t n i
th c, chuyên d ng như ñư ng leased line, m i VPN s d ng các k t n i o ñư c
d n qua ñư ng internet t m ng riêng c a công ty t i các site c a các nhân viên t
xa.
M t phương pháp chung ñư c tìm th y trong VPN ñó là : Generic Routing
Encapsulation (GRE). Giao th c mã hoá ñ nh tuy n GRE cung c p cơ c u ñóng
gói giao th c gói tin (Passenger Protocol) ñ truy n ñi trên giao th c truy n t i
(Carrier Protocol). Nó bao g m thông tin v lo i gói tin ñang mã hóa và thông tin
v k t n i gi a máy ch v i máy khách.

II. Phân lo i VPN:

1. Phân lo i VPN bao g m:
      •      VPN cho các nhà doanh nghi p
      •      VPN ñ i v i các nhà cung c p d ch v
      •      Công ngh VPN và mô hình OSI
      •      IPSec và security associations
      •      IPSec mode và Protocol




   Sau ñây là công ngh VPN và mô hình OSI:




SVTT : Vi Th Mưu                           8
BÁO CÁO TTTN                                                         IPSec VPN

              OSI Model Layer                       VPN Technology



                                                  Secure HTTP (HTTPS),
             Layer 7, Application
                                                      S/MIME , PGP



             Layer 6, Presentaion                          N/A



              Layer 5, Session                             N/A


                                                      SSL and TLS
              Layer 4, Transport
                                                      SOCKS, SSH


                                                   IPSEC Deployment,
              Layer 3, Network
                                                      MPLS VPNs

                                                  VPDN-PPTP, L2TP, L2F
                                                   ATM Cell Encryptors,
              Layer 2, datalink
                                                    Frame-Relay Frame
                                                        Encryptors

                                                  Optical Bulk Encryptors
              Layer 1, physical                    Radio Frequency (RF)
                                                        Encryptors



                   Figure 2-1: công ngh VPN và mô hình OSI

2. VPN ñ i v i các nhà doanh nghiêp:

ð i v i các nhà doanh nghi p, VPN cung c p các k t n i ñư c tri n khai trên h
t ng m ng công c ng.
gi i pháp VPN g m 3 lo i chính:
       -     Remote Access VPN
       -     Site-to-Site VPN
       -     Extranet VPN

   a. Remote Access VPN:
   Remote Access còn ñư c g i là Dial-up riêng o (VPDN) là m t k t n i ngư i
   dùng-ñ n-LAN, thư ng là nhu c u c a m t t ch c có nhi u nhân viên c n liên
   h v i m ng riêng c a mình t r t nhi u ñ a di m xa. Ví d như công ty
   mu n thi t l p m t VPN l n ñ n m t nhà cung c p d ch v doanh nghi p
   (ESP). Doanh nghi p này t o ra m t máy ch truy c p m ng (NAS) và cung
   c p cho nh ng ngư i s d ng xa m t ph n m m máy khách cho máy tính c a
   h . sau ñó, ngư i s d ng có th g i m t s mi n phí ñ liên h v i NAS và
   dùng ph n m m VPN máy khách ñ truy c p vào m ng riêng c a công ty. Lo i
   VPN này cho phép các k t n i an toàn, có m t mã.

SVTT : Vi Th Mưu                        9
BÁO CÁO TTTN                                                   IPSec VPN




                       Figure 2-2: Remote Access VPN

  M t s thành ph n chính:
  - Remote Access Server (RAS): ñư c ñ t t i trung tâm có nhi m v xác nh n
  và ch ng nh n các yêu c u g i t i.
  - Quay s k t n i ñ n trung tâm, ñi u này s làm gi m chi phí cho m t s yêu
  c u khá xa so v i trung tâm.
  - h tr cho nh ng ngư i có nhi m v c u hình, b o trì và qu n lý RAS và h
  tr truy c p t xa b i ngư i dùng.
  - b ng vi c tri n khai Remote Access VPNs, nh ng ngư i dùng t xa ho c các
  chi nhánh văn phòng ch c n ñ t m t k t n i c c b ñ n nhà cung c p d ch v
  ISP ho c ISP’s POP và k t n i ñ n tài nguyên thông qua internet.
  Thông tin Remote Access Setup ñư c mô t b i hình sau:




SVTT : Vi Th Mưu                      10
BÁO CÁO TTTN                                                        IPSec VPN




                     Figure 2-3: Remote Access VPN setup

  Thu n l i c a Remote Access VPN:
  - S c n thi t h tr cho ngư i dùng cá nhân ñư c lo i tr b i vì k t n i t xa
  ñã ñư c t o ñi u ki n thu n l i b i ISP.
  - Vi c quay s nhanh t nh ng kho ng cách xa ñư c lo i tr , thay vào ñó s là
  các k t n i c c b .
  - Gi m giá thành chi phí cho các k t n i v i kho ng cách xa.
  - Do ñây là m t k t n i mang tính c c b , do ñó t c ñ k t n i s cao hơn so
  v i k t n i tr c ti p ñ n nh ng kho ng cách xa.
  - VPNs cung c p kh năng truy c p ñ n trung tâm t t hơn b i vì nó h tr
  d ch v truy c p m c ñ t i thi u nh t cho dù có s tăng nhanh chóng các k t
  n i ñ ng th i ñ n m ng.

  M t s b t l i c a VPNs:
  -   Remote Access VPNs cũng không ñ m b o ñư c ch t lư ng ph c v .
  -   kh năng m t d li u là r t cao, hơn n a các phân ño n c a gói d li u có
      th ñi ra ngoài và b th t thoát.
  -   Do ñ ph c t p c a thu t toán mã hóa, protocol overhead tăng ñáng k
      ñi u này gây khó khăn cho quá trình xác nh n. Thêm vào ñó, vi c nén d
      li u IP x y ra ch m.
  -   Do ph i truy n d li u thông qua internet, nên khi trao ñ i các d li u l n
      thì s r t ch m.

  b. VPN site-to-site
  -   là vi c s d ng m t mã dành riêng cho nhi u ngư i ñ k t n i nhi u ñi m
      c ñ nh v i nhau thông qua m t m ng công c ng như Internet. Lo i này có
      th d a trên Intranet ho c Extranet. Lo i d a trên Intranet: n u m t công ty
      có vài ñ a ñi m t xa mu n tham gia vào m t m ng riêng duy nh t, h có
      th t o ra m t VPN intranet (VPN n i b ) ñ n i LAN v i LAN. Lo i d a


SVTT : Vi Th Mưu                          11
BÁO CÁO TTTN                                                           IPSec VPN

       trên Extranet: khi m t công ty có m i quan h m t thi t v i m t công ty
       khác (ví d như : ñ i tác cung c p, khách hàng …), h có th xây d ng m t
       VPN extranet (VPN m r ng) k t n i LAN v i LAN ñ nhi u t ch c khác
       nhau có th làm vi c trên m t môi trư ng chung.




                                      Site 1




               Site 6                                         Site 2




               Site 5                                         Site 3




                                       Site 4
            Figure 2-4: k t n i các doanh nghi p qua m ng công c ng

   -   LAN-to-LAN VPN là s k t n i hai m ng riêng l thông qua m t ñư ng
       h m b o m t. ñư ng h m b o m t này có th s d ng các giao th c PPTP,
       L2TP, ho c IPsec. M c ñích chính c a LAN-to-LAN là k t n i hai m ng
       không có ñư ng n i l i v i nhau, không có vi c th a hi p tích h p, ch ng
       th c, s c n m t c a d li u
   -   K t n i Lan-to-Lan ñư c thi t k ñ t o m t k t n i m ng tr c ti p, hi u
       qu b t ch p kho ng cách gi a chúng.

c. Extranet:
   -   Extranet cho phép truy c p nh ng tài nguyên m ng c n thi t c a các ñ i tác
       kinh doanh: ch ng h n như khách hàng, nhà cung c p, ñ i tác c a nh ng
       ngư i gi vai trò quan tr ng trong t ch c…




SVTT : Vi Th Mưu                           12
BÁO CÁO TTTN                                                                 IPSec VPN




                                        Corporate
                                         network




                      Supplier            Supplier
                      Network1            Network2         Supplier
                                                           Network3




                supplier1                   supplier2            supplier3




                     Figure 2-5: The traditional Extranet setup

T mô hình trên ta th y: m ng Extranet r t t n kém do có nhi u ño n m ng riêng
bi t trên Intranet k t h p l i v i nhau ñ t o ra m t Extranet khó tri n khai do có
nhi u m ng, ñ ng th i cũng khó khăn cho cá nhân làm công vi c b o trì và qu n
tr .




                            Figure 2-6: The Extranet VPN setup


SVTT : Vi Th Mưu                               13
BÁO CÁO TTTN                                                         IPSec VPN

Thu n l i c a Extranet :
   -   D tri n khai, qu n lý và ch nh s a thông tin.
   -   Gi m chi phí b o trì.
M t s b t l i c a Extranet:
   -   s ñe d a v tính an toàn, như b t n công b ng t ch i d ch v v n còn t n
       t i.
   -   Tăng thêm nguy hi m s xâm nh p ñ i v i t ch c trên Extranet.
   -   Do d a trên Internet nên khi d li u là các lo i high-end data thì vi c trao
       ñ i di n ra ch m ch p.
   -   Quality of Service (QoS) cũng không ñư c ñ m b o thư ng xuyên.

3. Công ngh VPN và mô hình OSI
Giao th c ñ t o nên cơ ch ñư ng ng b o m t cho VPN là: L2TP , cisco GRE và
IPSec.
   a. L2TP:
   - là s k t h p c a PPTP ( Point-to-Point Tunneling Protocol ) và L2F ( giao
       th c Layer 2 Forwarding ) c a cisco. Do ñó r t hi u qu trong k t n i m ng
       dial, ADSL và các m ng truy c p t xa khác. Cũng gi ng như PPP, L2TP
       ñóng gói d li u thành các frame ppp và sau ñó truy n nh ng frame này qua
       m ng tr c backbone. Tuy nhiên, nó cũng khác v i PPTP là L2TP s d ng
       giao th c UDP như là m t phương pháp ñóng gói cho tunnel và user data.
   - L2TP không cung c p mã hóa. Do ñó c n ph i d a vào m t giao th c ñ
       ñ m b o tin c y. Như v y, L2TP b sung s bao g m c IPSec.




   -   L2TP bao g m 2 thành ph n chính: L2TP Access Concentrator và L2TP
       Network Server .
          o L2TP Access Concentrator (LAC): ñ i di n là client side c a h
            th ng m ng và tiêu bi u trên các b ph n c a switch gi a remote
            dial-up nodes và access server ñ gi i h n phiên inbound ppp qua
            chuy n m ch ISDN và PSTN. Khi các host t i ñ u xa b t ñ u và
            hoàn thành k t n i PPP trên NAS thì LAC server ñư c xem như là 1
            proxy kh i ñ u c a L2TP control và tunnel data ñ n LNS t i m ng
            công ty.
          o L2TP Network Server (LNS): ñ i di n là server side c a VPDN. Nó
            ho t ñ ng m ng doanh nghi p nh và hoàn thành ñư ng ng d



SVTT : Vi Th Mưu                           14
BÁO CÁO TTTN                                                        IPSec VPN

            li u t LAC. Khi các user k t n i ñ n LAC , nh ng k t n i này là ña
            k t n i ñư c th a hi p qua tunnel ñ ñi ñ n LNS.




                      Figure 2-7: L2TP tunnel negotiation
  -   Tác d ng c a L2TP trong vi c s d ng control messages và data packets
      như sau:
         o L2TP control messages tho thu n ñ thi t l p và duy trì tunnel.
            Control messages thi t l p tunnel IDs cho các k t n i m i trong
            kho ng th i gian tunnel t n t i. L2TP control messages ñư c b t ñ u
            t port ngu n và ñư c forward ñ n UDP port ñích 1701.
         o L2TP payload packets tunnel data hi n có trong h th ng m ng. khi
            d li u qua ñư ng ng t LAC ñ n NAS v i m t dãy IP, nó s ñóng
            gói theo L2TP header. D ng format c a L2TP có c u trúc như sau:




                      Figure 2-8: D ng c u trúc c a L2TP
b. GRE



                   Figure2- 9: ðóng gói theo giao th c GRE

  -   ðây là giao th c truy n thông ñóng gói IP, CLNP và t t c các gói d li u
      bên trong ñư ng ng IP.
  -   v i GRE tunnel, Cisco router s ñóng gói cho m i v trí m t giao th c ñ c
      trưng ch ñ nh trong gói IP header, t o m t ñư ng k t n i o ( virtual point-
      to-point) t i cisco router c n ñ n. và khi gói d li u ñ n ñích IP header s
      ñư c m ra.



SVTT : Vi Th Mưu                          15
BÁO CÁO TTTN                                                                                                        IPSec VPN

   -   B ng vi c k t n i nhi u m ng con v i các giao th c khác nhau trong môi
       trư ng có m t giao th c chính. GRE tunneling cho phép các giao th c khác
       có th thu n l i trong vi c ñ nh tuy n trong gói IP.
c. IPsec




                                                                          Enterprise network
           Figure 2-10: L2TP/IPsec VPN gi a remote và m ng doanh nghi p
                  remote network




                                                                                               Enterprise network
                                   Figure 2-11: L2TP/IPsec VPN gi a các m ng

   -   là s l a ch n cho vi c b o m t trên VPN. IPsec là m t khung bao g m b o
       m t d li u (data confidentiality), tính toàn v n c a d li u (integrity) và
       vi c ch ng th c d li u.
   -   IPsec cung c p d ch v b o m t s d ng KDE cho phép th a thu n các giao
       th c và thu t toán trên n n chính sách c c b (group policy) và sinh ra các
       khoá b o m t mã hoá và ch ng th c ñư c s d ng trong IPsec.




SVTT : Vi Th Mưu                                         16
BÁO CÁO TTTN                                                        IPSec VPN


        CHƯƠNG II : CÔNG NGH IP SECURITY
I. TÌM HI U V GIAO TH C IPSec
1. khái quát v IPSec

IPSec là s t p h p c a các chu n m ñư c thi t l p ñ ñ m b o s c n m t d
li u, ñ m b o tính toàn v n d li u, và ch ng th c d li u gi a các thi t b tham
gia VPN. Các thi t b này có th là các host ho c là các security gateway (routers,
firewalls, VPN concentrator, ...) ho c là gi a 1 host và gateway như trong trư ng
h p remote access VPNs. IPSec b o v ña lu ng d li u gi a các peers , và 1
gateway có th h tr ñ ng th i nhi u lu ng d li u.
IPSec ho t ñ ng l p m ng và s d ng giao thưc Internet Key Exchange (IKE) ñ
tho thu n các giao th c gi a các bên tham gia và IPSec s phát khoá mã hóa và
xác th c ñ dùng.
Các giao th c chính s d ng trong IPSec:
    - IP Security Protocol (IPSec)
           o Authentication Header (AH)
           o Encapsulation Security Protocol (ESP)
    - Message Encryption
           o Data Encryption Standard (DES)
           o Triple DES (3DES)
    - Message Integrity (Hash) Functions
           o Hash-based Message Authentication Code (HMAC)
           o Message Digest 5 (MD5)
           o Secure Hash Algorithm-1 (SHA-1)
    - Peer Authentication
           o Rivest, Shamir, and Adelman (RSA) Digital Signutures
           o RSA Encrypted Nonces
    - Key Management
           o Diffie-Hellman (D-H)
           o Certificate Authority (CA)
    - Security Association
           o Internet Exchange Key (IKE)
           o Internet Security Association and Key Management Protocol
             (ISAKMP)

2. Cơ Ch Ho t ð ng C a Giao Th c IPSec:

Hi n nay giao th c IPSec ñư c s d ng r t ph bi n và trong nhi u quá trình. Ta
có th thi t l p các VPNs mà không c n bi t nhi u v giao th c này. Nhưng các
k t qu s r t l n x n không ñư c t t. Do ñó, các yêu c u c n thi t ñư c ñưa ra
trư c khi th c hi n c u hình IPSec bao g m các bư c sau:

B1: Thi t l p chính sách IKE



SVTT : Vi Th Mưu                          17
BÁO CÁO TTTN                                                         IPSec VPN

Chính sách này ph i ñư c c u hình gi ng nhau cho c hai bên tham gia VPN. Nó
ñư c gi i h n bao g m các chính sách:
      - Phương pháp phát Key (Key distribution method) : c u hình th công
          ho c c u hình cho CA cung c p
      - Phương pháp xác th c (Authentication method) : ph n l n ñư c xác
          ñ nh b ng phưương pháp phát key . thông thư ng s d ng phương pháp
          pre-share keys
      - ð a ch IP và tên c a các bên tham gia (IP address and hostname of
          peers ) : IP c n ñư c bi t ñ xác ñ nh các bên tham gia, và qu n lý danh
          sách truy c p trên thi t b ñ các bên tham gia bi t ñư c thông tin l n
          nhau. c u hình IPSec trên thi t b ph i ñ y ñ tên mi n (FQDN) như c u
          hình trên ñ a ch IP.
      - Các tham s chính sách IKE (IKE policy parameters) : các tham s ñư c
          thi t l p trên phase 1 c a IKE. Chính sách IKE bao g m các thông s
          sau :
              o Thu t toán mã hoá : DES/3DES
              o Thu t toán hash : MD5/SHA-1
              o Phương pháp xác th c : preshared, RSA encryption, RSA
                  signature
              o Key trao ñ i : D-H Group 1/ D-H Group 2
              o th i gian t n t i IKE SA : m c ñ nh là 86400 giây

B2 : Thi t l p chính sách IPSec :

ð tin c y c a IPSec và kh năng xác th c ñư c ng d ng ñ áp traffic ñã bi t
thông qua gi a các bên. Ta có th g i t t c traffic qua IPSec tunnel, nhưng có th
khó ñ t ñư c h t ch t lư ng, do ñó ta nên ch n nh ng chính sách c n áp qua IPSec
tunnel. Khi ta ch n th c thi IPSec tunnel, c hai ñ u cu i ph i th c hi n các chính
sách gi ng nhau. Các chính sách cho IPSec bao g m :
       - IPSec Protocol : AH ho c ESP
       - Authentication : MD5 ho c SHA-1
       - Encryption : DES ho c 3DES
       - Transform or Transform set : ah-sha-hmac esp-3des esp-md5-hmac ho c
          k t h p m t trong các gi i thu t này.
       - Identify traffic to be protected : giao th c, ngu n, ñích và port
       - SA establishment : c u hình th công ho c ho c c u hình IKE

B3: Ki m tra c u hình hi n hành

Th c hi n ki m tra c u hình IPSec hi n có trên thi t b ñ tránh tình tr ng các
thông s c u hình ñ i l p nhau.
B4 : Ki m tra m ng trư c IPSec : ta th c hi n ki m tra b ng cách : th c hi n ping
ñ n các thi t b ñã ñư c c u hình IPSec.

B5 : Các giao th c và các Port ho t ñ ng trong IPSec :



SVTT : Vi Th Mưu                           18
BÁO CÁO TTTN                                                                       IPSec VPN

     -   UDP port 500 : ISAKMP, ñư c nh n bi t b i t khoá isakmp
     -   Giao th c s 50 : dùng trong giao th c ESP, ñư c nh n bi t b i t khoá
         esp
     -   Giao th c s 51 : dùng trong giao th c AH, ñư c nh n bi t b i t khoá
         ahp.

  3. Cơ ch ho t ñ ng c a IKE

  IKE có ch c năng trao ñ i Key gi c các thi t b tham gia VPN và trao ñ i
  chính sách an ninh gi a các thi t b và t ñ ng th a thu n các chính sách an
  ninh gi a các thi t b tham gia.
  Trư c khi trao ñ i kênh truy n key ñ thi t l p kênh truy n o, IPSec s xác
  th c xem mình ñang trao ñ i v i ai.
  Trong quá trình trao ñ i Key IKE dùng thu t toán mã hoá b t ñ i x ng g m:
  Public Key và private Key ñ b o v vi c trao ñ i key gi a các thi t b tham
  gia VPN.
  Và sau ñó trao ñ i chính sách an ninh gi a các thi t b . Nh ng chính sách an
  ninh trên các thi t b g i là Security Association (SA).
  Do ñó, các thi t b trong quá trình IKE s trao ñ i v i nhau t t c nh ng SA mà
  nó có. Và gi a các thi t b này t tìm ra cho mình nh ng SA phù h p v i nh t.
                         1   Router A connects to Router B


              Router A                                          Router B




      Router A Transforms                                    Router B Transforms
                                             2
   1. Encryption = AES – 256                                 1. Encryption = AES – 192
      HMAC = SHA – 1                                            HMAC = MD5
      Authentication = pre-share keys                           Authentication = pre-share keys
      Diffe-Hellman group = 2                    3              Diffe-Hellman group = 2
      Lifetime 86400                                            Lifetime 86400

   2. Encryption = AES – 192                                 2. Encryption = AES – 256
      HMAC = SHA – 1                                            HMAC = SHA – 1
      Authentication = pre-share keys                           Authentication = pre-share keys
      Diffe-Hellman group = 2                                   Diffe-Hellman group = 2
      Lifetime 86400                                            Lifetime 86400



  II. Cơ ch ho t ñ ng c a giao th c AH và ESP
     1. Khái quát :
  Giao th c ESP và giao th c AH là hai giao th c chính trong vi c mã hoá và
  xác th c d li u.
  - ESP s d ng IP Protocol number là 50 (ESP ñư c ñóng gói b i giao th c IP
  và trư ng protocol trong IP là 50)
  - AH s d ng IP Protocol number là 51 ( AH ñư c ñóng gói b i giao th c IP và
  trư ng protocol trong IP là 51)


SVTT : Vi Th Mưu                                  19
BÁO CÁO TTTN                                                       IPSec VPN

   B giao th c IPSec ho t ñ ng trên 2 mode chính : Tunnel Mode và Transports
   Mode.
     - Khi giao th c IPSec ho t ñ ng Tunnel Mode thì sau khi ñóng gói d
         li u, giao th c ESP mã hoá toàn b Payload, frame Header, IP Header
         thì nó s thêm m t IP Header m i vào gói tin trư c khi forward ñi.
     - Khi giao th c IPSec ho t ñ ng Transport Mode thì IP Header v n
         ñư c gi nguyên và lúc này giao th c ESP s chèn vào gi a Payload và
         IP Header c a gói tin.

         2. T ng quan v ESP Header và AH Header




                     FiguFigure 3-1: AH Tunnel Mode Packet




                       FiguFigure 3-2: ESP Tunnel Mode Packet
   - Trong trư ng h p dùng giao th c ESP : thì giao th c này s làm công vi c mã
   hóa (encryption), xác th c (authentication), b o ñ m tính toàn v n d li u (
   integrity protection). Sau khi ñóng gói xong b ng ESP, m i thông tin và mã
   hoá và gi i mã s n m trong ESP Header.
       - Các thu t toán mã hoá s d ng trong giao th c như : DES, 3DES, AES
       - các thu t toán hash như : MD5 ho c SHA-1
   - Trong trư ng h p dùng giao th c AH : thì AH ch làm công vi c xác th c
   (Authentication), và ñ m b o tính toàn v n d li u. Giao th c AH không có
   tính năng mã hoá d li u.

   3. Authentication Header (AH)
AH là m t trong nh ng giao th c b o m t, cung c p tính năng ñ m b o toàn v n
packet headers và data, xác th c ngu n g c d li u. Nó có th tuỳ ch n cung c p
d ch v replay protection và access protection. AH không mã hoá b t kỳ ph n nào
c a các gói tin. Trong phiên b n ñ u c a IPSec, giao th c ESP ch có th cung c p
mã hoá, không xác th c. Do ñó, ngư i ta k t h p giao th c AH và ESP v i nhau
ñ cung c p s c n m t và ñ m b o toàn v n d li u cho thông tin.

   a. AH Mode
   AH có hai mode : Transport và Tunnel.
   Trong Tunnel mode, AH t o 1 IP Header m i cho m i gói tin
   Trong Transport mode, AH không t o IP Header m i
   Trong c u trúc IPSec mà s d ng gateway , ñ a ch th t c a IP ngu n và ñích
   c a các gói tin ph i thay ñ i thành ñ a ch IP c a gateway. Vì trong Transport


SVTT : Vi Th Mưu                         20
BÁO CÁO TTTN                                                     IPSec VPN

  Mode không thay ñ i IP Header ngu n ho c t o m t IP Header m i, Transport
  Mode thư ng s d ng trong c u trúc host-to-host.
  AH cung c p tính năng ñ m b o tính toàn v n cho toàn b gói tin, b t kỳ mode
  nào ñư c s d ng .




                      Figure 3-3: AH Tunnel Mode Packet




                    Figure 3-4: AH Transport Mode Packet

  b. AH xác th c và ñ m b o tính toàn v n d li u




SVTT : Vi Th Mưu                       21
BÁO CÁO TTTN                                                         IPSec VPN

B1: AH s ñem gói d li u (packet ) bao g m : Payload + IP Header + Key cho
ch y qua gi i thu t Hash 1 chi u và cho ra 1 chu i s . và chu i s này s ñư c gán
vào AH Header.
B2: AH Header này s ñư c chèn vào gi a Payload và IP Header và chuy n sang
phía bên kia.
B3: Router ñích sau khi nh n ñư c gói tin này bao g m : IP Header + AH Header
+ Payload s ñư c cho qua gi i thu t Hash m t l n n a ñ cho ra m t chu i s .
B4: so sánh chu i s nó v a t o ra và chu i s c a nó n u gi ng nhau thì nó ch p
nh n gói tin .

C. AH Header




                               Figure 3-5 : AH Header

   -   Next Header : Trư ng này dài 8 bits , ch a ch s giao th c IP. Trong
       Tunnel Mode, Payload là gói tin IP , giá tr Next Header ñư c cài ñ t là 4.
       Trong Transport Mode , Payload luôn là giao th c Transport-Layer. N u
       giao th c l p Transport là TCP thì trư ng giao th c trong IP là 6. N u giao
       th c l p transport là UDP thì trư ng giao th c trong IP là 17.
   -   Payload Length : Trư ng này ch a chi u dài c a AH Header.
   -   Reserved : giá tr này ñư c dành ñ s d ng trong tương lai ( cho ñ n th i
       ñi m này nó ñư c bi u th b ng các ch s 0).
   -   Security parameter Index (SPI) : m i ñ u cu i c a m i k t n i IPSec tuỳ
       ý ch n giá tr SPI. Ho t ñ ng này ch ñư c dùng ñ nh n d ng cho k t n i.
       Bên nh n s d ng giá tr SPI cùng v i ñ a ch IP ñích và lo i giao th c
       IPSec (trư ng h p này là AH) ñ xác ñ nh chính sách SA ñư c dùng cho
       gói tin (Có nghĩa là giao th c IPSec và các thu t toán nào ñư c dùng ñ áp
       cho gói tin).
   -   Sequence Number : ch s này tăng lên 1 cho m i AH datagram khi m t
       host g i có liên quan ñ n chính sách SA. Giá tr b t ñ u c a b ñ m là 1.
       chu i s này không bao gi cho phép ghi ñè lên là 0. vì khi host g i yêu c u
       ki m tra mà nó không b ghi ñè và nó s tho thu n chính sách SA m i n u
       SA này ñư c thi t l p. Host nh n s dùng chu i s ñ phát hi n replayed
       datagrams. N u ki m tra bên phía host nh n, bên nh n có th nói cho bên
       g i bi t r ng bên nh n không ki m tra chu i s , nhưng ñòi h i nó ph i luôn
       có trong bên g i ñ tăng và g i chu i s .
   -   Authentication Data: Trư ng này ch a k t qu c a giá tr Integrity Check
       Value (ICV). Trư ng này luôn là b i c a 32-bit (t ) và ph i ñư c ñ m vào
       n u chi u dài c a ICV trong các bytes chưa ñ y.


SVTT : Vi Th Mưu                           22
BÁO CÁO TTTN                                                       IPSec VPN


d. Ho t ñ ng c a giao th c AH
   -   Hư ng t t nh t ñ hi u AH làm vi c như th nào, ta s xem và phân tích các
       gói tin AH.




                Figure 3-6: Sample AH Transport Mode Packet.

Hình trên cho th y các thành ph n c a gói tin AH th t s . M i section c a AH
Packet g m : Ethernet header , IP header , AH header và Payload. D a trên các
trư ng c a ph n AH mode, ta th y ñây là gói tin Transport Mode vì nó ch ch a
IP Header. Trong trư ng h p này, payload ch a ICMP echo request (hay là Ping).
Ping g c ch a chu i m u t ñư c miêu t trong gói tin tăng d n b i giá tr Hex (
vd : 61, 62, 63). Sau khi giao th c AH ñư c applied, ICMP Payload không thay
ñ i. Vì AH ch cung c p d ch v ñ m b o toàn v n d li u, không mã hoá.




               Figure 3-7 : AH Header Fields from Sample Packet.




SVTT : Vi Th Mưu                         23
BÁO CÁO TTTN                                                       IPSec VPN

Các trư ng trong AH Header t 4 gói tin ñ u tiên trong AH session gi a host A và
host B. Các trư ng trong header ñ u tiên ch là nhãn, ñ ñáp ng trong vi c nh n
d ng AH mode.
   - SPI : host A s d ng giá tr s Hex cdb59934 cho SPI trong c các gói tin
       c a nó. Trong khi ñó host B s d ng giá tr s Hex a6b32c00 cho SPI trong
       c các gói tin. ði u này ph n ánh ñư c r ng k t n i AH th t s g m hai
       thành ph n k t n i m t chi u.
   - Sequence Number : c hai host b t ñ u thi t l p ch s b ng 1, và c hai
       tăng lên là 2 cho gói tin th hai c a chúng.
   - Authentication information : Xác th c (ñ m b o toàn v n ) thông tin , là
       m t keyed hash d a trên h u như t t c các bytes trong gói tin.

e. AH version 3
   M t chu n m i c a AH là Version 3, phiên b n ñư c phát tri n d a trên phiên
   b n phác th o. Tính năng khác nhau gi a Version 2 và Version 3 là m i quan
   h th y u ñ các qu n tr viên IPSec và ngư i dùng - m t vài s thay ñ i ñ n
   SPI, và tuỳ ch n ch s dài hơn.
   chu n phác th o version 3 cũng ch ñ n m t chu n phác th o khác r ng li t kê
   thu t toán mã hoá yêu c u cho AH. B n phác th o u nhi m h tr cho
   HMAC-SHA1-96, gi i thi u thu t toán h tr m nh hơn là AES-XCBC-MAC-
   96, và cũng gi i thi u thu t toán : HMAC-MD5-96.

f. AH Summary
   -   AH cung c p d ch v ñ m b o toàn v n cho t t c các header và data gói
       tin. Ngo i tr m t s trư ng IP Header mà ñ nh tuy n thay ñ i trong chuy n
       ti p.
   -   AH bao g m ñ a ch ngu n và ñ a ch ñích trong d ch v ñ m b o toàn v n.
       AH thư ng không tương thích v i NAT.
   -   Hi n nay, h u h t IPSec b sung h tr phiên b n th hai c a IPSec mà ESP
       có th cung c p d ch các v ñ m b o toàn v n d li u qua s xác th c.
   -   AH cung c p m t l i ích mà ESP không có, ñó là : ñ m b o toàn v n cho
       outermost IP Header.

4. Encapsulaton Secutity Payload (ESP)

ESP là giao th c b o m t chính th hai. Trong phiên b n ñ u c a IPSec , ESP chi
cung c p mã hoá cho packet payload data. Khi c n, giao th c AH cung c p d ch v
ñ m b o toàn v n. Trong phiên b n th hai c a IPSec, ESP tr nên m m d o hơn.
Nó có th th c hi n xác th c ñ cung c p d ch v ñ m b o toàn v n, m c dù không
h tr cho outermost IP header. S mã hoá c a ESP có th b vô hi u hoá qua thu t
toán mã hoá Null ESP algorithm. Do ñó, ESP có th cung c p ch mã hoá; mã hoá
và ñ m b o toàn v n d li u; ho c ch ñ m b o toàn v n d li u.

a. ESP Mode
ESP có hai mode : Transport Mode và Tunnel Mode.


SVTT : Vi Th Mưu                         24
BÁO CÁO TTTN                                                       IPSec VPN

Trong Tunnel Mode : ESP t o m t IP Header m i cho m i gói tin. IP Header m i
li t kêt các ñ u cu i c a ESP Tunnel ( như hai IPSec gateway) ngu n và ñích c a
gói tin. Vì Tunnel mode có th dùng v i t t c 3 mô hình c u trúc VPN.




                     Figure 3-8: ESP Tunnel Mode Packet

ESP Tunnel Mode ñư c s d ng thư ng xuyên nhanh hơn ESP Transport Mode.
Trong Tunnel Mode, ESP dùng IP header g c thay vì t o m t IP header m i.
Trong Transport Mode, ESP có th ch mã hoá và/ho c b o ñ m tính toàn v n n i
dung gói tin và m t s các thành ph n ESP, nhưng không có v i IP header.
Giao th c AH, ESP trong Transport mode thư ng s d ng trong c u trúc host-to-
host. Trong Transport mode không tương thích v i NAT.




                    Figure 3-9: ESP Transport Mode Packet




SVTT : Vi Th Mưu                         25
BÁO CÁO TTTN                                                         IPSec VPN

b. ESP Packet Fields




                       Figure 3-10: ESP Packet Fields

ESP thêm m t header và Trailer vào xung quanh n i dung c a m i gói tin. ESP
Header ñư c c u thành b i hai trư ng : SPI và Sequence Number.
    - SPI (32 bits) : m i ñ u cu i c a m i kêt n i IPSec ñư c tuỳ ch n giá tr
       SPI. Phía nh n s d ng giá tr SPI v i ñ a ch IP ñích và giao th c IPSec ñ
       xác ñ nh chính sách SA duy nh t mà nó ñư c áp cho gói tin.
    - Sequence Number : thưòng ñư c dùng ñ cung c p d ch v anti-replay. Khi
       SA ñư c thi t l p, ch s này ñư c kh i ñ u v 0. Trư c khi m i gói tin
       ñư c g i, ch s này luôn tăng lên 1 và ñư c ñ t trong ESP header. ð ch c
       ch n r ng s không có gói tin nào ñư c công nh n, thì ch s này không
       ñư c phép ghi lên b ng 0. Ngay khi ch s 232-1 ñư c s d ng , m t SA m i
       và khóa xác th c ñư c thi t l p.
Ph n k ti p c a gói tin là Payload, nó ñư c t o b i Payload data (ñư c mã hoá) và
IV không ñư c mã hoá). Giá tr c a IV trong su t quá trình mã hoá là khác nhau
trong m i gói tin.
ph n th ba c a gói tin là ESP Trailer, nó ch a ít nh t là hai trư ng.
    - Padding ( 0-255 bytes) : ñư c thêm vào cho ñ kích thư c c a m i gói tin.
    - Pad length: chi u dài c a Padding
    - Next header : Trong Tunnel mode, Payload là gói tin IP, giá tr Next Header
       ñư c cài ñ t là 4 cho IP-in-IP. Trong Transport mode, Payload luôn là giao
       th c l p 4. N u giao th c l p 4 là TCP thì trư ng giao th c trong IP là 6,
       giao th c l p 4 là UDP thì trư ng giao th c IP là 17. M i ESP Trailer ch a
       m t giá tr Next Header.
    - Authentication data : trư ng này ch a giá tr Integrity Check Value (ICV)
       cho gói tin ESP. ICV ñư c tính lên toàn b gói tin ESP công nh n cho
       trư ng d li u xác th c c a nó. ICV b t ñ u trên ranh gi i 4-byte và ph i là
       b i s c a 32-bit (ñơn v t ).



SVTT : Vi Th Mưu                           26
BÁO CÁO TTTN                                                       IPSec VPN

C. Quá trình mã hoá và ho t ñ ng c a giao th c ESP




ESP s d ng m t mã ñ i x ng ñ cung c p s m t hoá d li u cho các gói tin
IPSec. Cho nên, ñ k t n i c a c hai ñ u cu i ñ u ñư c b o v b i mã hoá ESP
thì hai bên ph i s d ng key gi ng nhau m i mã hoá và gi i mã ñư c gói tin .
Khi m t ñ u cu i mã hoá d li u, nó s chia d li u thành các block nh , và sau ñó
th c hi n thao tác mã hoá nhi u l n s d ng các block d li u và key. Thu t toán
mã hoá ho t ñ ng trong chi u này ñư c xem như blocks cipher algorithms.
Khi m t ñ u cu i khác nh n ñư c d li u mã hoá, nó th c hi n gi i mã s d ng
key gi ng nhau và quá trình th c hi n tương t , nhưng trong bư c này ngư c v i
thao tác mã hoá.
Ví d : ESP s d ng thu t toán mã hoá là AES-Cipher Block Chaining (AES-
CBC), AES Counter Mode (AES-CTR), và Triple DES ( 3DES).
Khi so sánh v i gói tin AH , gói tin ESP có d ng gi ng v i gói tin AH. chu i m u
t có th xác ñ nh ñư c trong AH-protected Payload nhưng không xác ñ nh ñư c
trong ESP-protected payload, vì trong ESP nó ñã ñư c mã hoá.
Gói tin ESP có ch a 5 ño n : Ethernet Header , IP Header, ESP Header, Encrypted
Data (Payload và ESP Trailer), và (option) authentication information . D li u
ñư c mã hoá không th xác ñ nh ñư c dù gói tin truy n trong Transport Mode hay
Tunnel Mode. Tuy nhiên, vì IP Header không ñư c mã hoá, trư ng giao th c IP
trong Header v n phát hi n ñư c giao th c dùng cho Payload ( trong trư ng h p
này là ESP).




                        Figure 3-11: ESP Packet Capture


SVTT : Vi Th Mưu                         27
BÁO CÁO TTTN                                                       IPSec VPN




              Figure 3-12: ESP Header Fields from Sample Packets

Hình trên cho th y, các trư ng ESP Header t 4 gói tin ñ u trong ESP session gi a
host A và host B . Các trư ng SPI và Sequence Number trong ESP làm vi c m t
chi u như chúng ñã th c hi n trong AH . M i host s d ng m t giá tr SPI khác
nhau cho các gói tin c a nó, tương thích v i k t n i ESP g m hai thành ph n k t
n i m t chi u.
C hai host cũng b t ñ u thi t l p sequence number là 1, và s tăng d n lên là 2
cho gói tin th hai.

d. ESP Version 3
M t chu n m i cho ESP là phiên b n 3, m t phiên b n v a ñư c b sung, ñư c
d a trên chu n phác th o. Tìm ra ñư c ch c năng chính ñ cho th y s khác nhau
gi a version 2 và version 3 , bao g m nh ng ñi u sau :
   - Chu n ESP version 2 ñòi h i ESP b sung ñ h tr ESP ch s d ng cho
       mã hoá (không có tính năng b o v toàn v n d li u). Do ñó, chu n ESP
       version 3 ñư c ñưa ra nh m h tr cho s l a ch n này.
   - ESP có th dùng chu i s dài hơn, gi ng v i chu n AH version 3.
   - ESP version 3 h tr trong vi c s d ng k t h p các thu t toán ( EAS
       Counter v i CBC-MAC [EAS-CMC]. Như v y k t qu mã hoá và tính b o
       v toàn v n d li u ñ t ñư c s nhanh hơn là s d ng tách r i thu t toán.

e. ESP Summary
   -   Trong Tunnel Mode, ESP cung c p s mã hoá và s ñ m b o an toàn cho
       ñóng gói IP Packet, cũng xác th c t t gi ng như c a ESP Header , ESP có
       th tương thích v i NAT.
   -   Trong Transport Mode, ESP cung c p s mã hoá và ñ m b o an toàn cho
       Payload c a gói tin IP , cũng ñ m b o an toàn t t gi ng như c a ESP
       Header. Transport Mode thì không tương thích v i NAT.
   -   ESP Tunnel Mode thư ng s d ng ph bi n trong IPSec , vì nó mã hoá IP
       Header g c, nó có th gi u ñ a ch source và des th t c a gói tin. ESP cũng
       có th thêm v t ñ m vào ñ ñ gói tin.
   -   ESP thư ng ñư c dùng ñ cung c p cho mã hoá ho c ñ m b o an toàn (
       ho c c hai ).




SVTT : Vi Th Mưu                          28
BÁO CÁO TTTN                                                       IPSec VPN

  5. Các mode chính c a giao th c IPSec:
  a. Transport Mode :
  -   Transport mode b o v giao th c t ng trên và các ng d ng. Trong
      transport mode, ph n IPSec header ñư c chèn vào gi a ph n IP header và
      ph n header c a giao th c t ng trên.
  -   vì v y, ch có t i (IP payload) là ñư c mã hóa và IP header ban ñ u là ñư c
      gi nguyên v n. Transport mode có th ñư c dùng khi c hai host h tr
      IPSec.




         Figure 3-13: IPSec Transport-mode – a generic representation

  Transport mode ñư c dùng ñ b o m t k t n i gi a hai host:
  ho t ñ ng c a ESP trong Transport mode ñư c s d ng ñ b o v thông tin
  gi a hai host c ñ nh. B o v các giao th c l p trên c a IP datagram.




                       Figure 3-14: Transport Mode Tunnel

  Trong Transport Mode, AH header ñư c chèn vào trong IP datagram sau IP
  header và các tuỳ ch n.




                       Figure 3-15: Transport Mode Packet

  -   ch ñ transport này có thu n l i là ch thêm vào vài bytes cho m i packets
      và nó cũng cho phép các thi t b trên m ng th y ñư c ñ a ch ñích cu i cùng
      c a gói.


SVTT : Vi Th Mưu                         29
BÁO CÁO TTTN                                                                                    IPSec VPN

  b. Tunnel mode :




                 10.0.1.0/24




                                                                                  10.0.2.0/24
                               Figure 3-16: A Tunne Mode – AH Tunnel

              Host A1                Host A2           Host A3     ...       Host An


                       1                 2                  3                          n


                                                 250             Network A: 10.0.1.0/24


                                               GW A


                                                  1.1.1.1




                                               WAN



                                                 2.2.2.2


                                               GW B

                                                 250
                                                                     Network B: 10.0.2.0/24

                    1                     2                 3                         m


              Host B1                Host B2           Host B3    ...        Host Bm


                               Figure 3-17 : An ESP Tunnel – Mode VPN

  -   không gi ng như transport mode, Tunnel mode b o v toàn b gói d li u.
      Toàn b gói d li u IP ñư c ñóng gói trong m t gói d li u IP khác. Và m t
      IPSec header ñư c chèn vào gi a ph n ñ u nguyên b n và ph n ñ u m i
      c a IP .




SVTT : Vi Th Mưu                                      30
BÁO CÁO TTTN                                                      IPSec VPN




           Figure 3-18: IPSec Tunnel Mode – a generic representation

  -  Toàn b gói IP ban ñ u s b ñóng gói b i AH ho c ESP và m t IP header
     m i s ñư c bao b c xung quanh gói d li u. Toàn b gói IP s ñư c mã
     hoá và tr thành d li u m i c a gói IP m i. ch ñ này cho phép các thi t
     b m ng, ch ng h n như Router, ho t ñ ng như m t IPSec proxy th c hi n
     ch c năng mã hóa thay cho host. Router ngu n s mã hóa các packets và
     truy n chúng d c theo tunnel. Router ñích s gi i mã gói IP ban ñ u và
     chuy n nó v h th ng cu i.
  - v i tunnel ho t ñ ng gi a hai security gateway, ñ a ch ngu n và ñích có th
     ñư c mã hóa.
  Ví d : Lu ng gói tin ñư c g i t host A2 ñ n host B3:




               Figure 3-19: Packet Flow from Host A2 to Host B3

SVTT : Vi Th Mưu                        31
BÁO CÁO TTTN                                                         IPSec VPN

   -   Gi s r ng host A2 g i TCP segment ñ n host B3. IP datagram r i kh i
       host A2 ñi ñ n host B3. khi IP datagram r i kh i host A2, nó có ñ a ch
       ngu n là 10.0.1.2 và ñ a ch ñích là 10.0.2.3. Trư ng giao th c trong IP
       header là 6 (ch r ng giao th c l p dư i là TCP). Host A2 có default route
       ñ n GWA ho c ñ nh tuy n ñ n m ng 10.0.2.0/24 v i GWA là next hop, thì
       datagram ñư c ñ nh tuy n ñ n GWA.
   -   Khi datagram ñ n GWA, gateway ki m tra SPD c a nó và thông báo nó ch
       rõ chính sách ñ b t kỳ datagram t m ng 10.0.1.0/24 ñ n m ng 10.0.2.0/24
       nên ñư c ñóng gói v i mode-tunnel ESP và g i ñ n GWB t i 2.2.2.2. Sau
       khi GWA ñóng gói IP datagram, IP header bên ngoài có ñ a ch ngu n
       1.1.1.1 (GWA) và ñ a ch ñích 2.2.2.2 (GWB). trư ng giao th c c a IP
       header bên ngoài là 50 (ñ ch rõ giao th c ESP ñư c dùng). Trư ng giao
       th c c a gói tin ESP là 4 (ñ ch ra gói tin ESP ñang ñóng gói IP datagram).
       Và IP header bên trong không thay ñ i.
   -   Khi ñóng gói IP datagram ñ n t i GWB, gateway th y r ng nó ch a gói tin
       ESP và xác th c l i và key mã hoá t SA thích h p, th c hi n ki m tra xác
       th c và gi i mã ESP Payload. IP header bên ngoài, ESP header và Trailer,
       và ICV ñã ñư c tách ra kh i, và IP datagram bên trong ñư c forward ñ n
       ñích c a nó (10.0.2.3).

B ng so sánh gi a giao th c AH và ESP

Security                                    AH                 ESP
Layer-3 IP protocol number                  51                 50
Provides for data integrity                 yes                Yes
Provides for data authentication            Yes                yes
Provides for data encryption                No                 Yes
Protects against data replay attacks        yes                yes
Works with NAT                              No                 yes
Works with PAT                              No                 No
Protects the IP packet                      yes                No
Protects only the data                      No                 yes




SVTT : Vi Th Mưu                          32
BÁO CÁO TTTN                                                       IPSec VPN

         CHƯƠNG III: PUBLIC KEY INFRASTRUCTURE

I. T ng quan v PKI

Public Key Infrastructure (PKI) là m t cơ ch ñ cho m t bên th ba (thư ng là
nhà cung c p ch ng th c s ) cung c p và xác th c ñ nh danh các bên tham gia vào
quá trình trao ñ i thông tin. Cơ ch này cũng cho phép gán cho m i ngư i s d ng
trong h th ng m t c p public/private. Các quá trình này thư ng ñư c th c hi n
b i m t ph n m m ñ t t i trung tâm và các ph n m m khác t i các ñ a ñi m c a
ngư i dùng. Khoá công khai thư ng ñư c phân ph i trong ch ng th c khóa công
khai – hay Public Key Infrastructure.
Khái ni m h t ng khoá công khai (PKI) thư ng ñư c dùng ch toàn b h th ng
bao g m c nhà cung c p ch ng th c s (CA) cùng các cơ ch liên quan ñ ng th i
v i toàn b vi c s d ng các thu t toán mã hoá công khai trong trao ñ i thông tin.
Tuy nhiên ph n sau ñư c bao g m không hoàn toàn chính xác b i vì các cơ ch
trong PKI không nh t thi t s d ng các thu t toán mã hoá công khai.

II. Các thành ph n c a PKI
   1. Các thành ph n c a PKI
PKIs d a vào m t thi t b m t mã ñ b o ñ m các khoá công khai ñư c qu n lý an
toàn. Các thi t b này không ho t ñ ng cùng lúc ñư c th c hi n các hàm m ng
r ng có liên quan ñ n vi c qu n lý phân ph i khoá, bao g m các thành ph n sau:
       - ch ng th c và ñăng ký m t mã ñ u cu i
       - ki m tra tính toàn v n c a khoá công khai
       - ch ng th c yêu c u trong quá trình b o qu n các khoá công khai
       - bí m t c p phát khoá công c ng
       - hu b khoá công khai khi nó không có ñ giá tr ñ dài
       - duy trì vi c thu h i các thông tin v khoá công c ng (CRL) và phân b
           thông tin (thông qua CRL c p phát ho c ñáp ng ñ n Online Certificate
           Status Protocol [OCSP] messages).
       - ñ m b o an toàn v ñ l n c a khoá.

   • Public Keys Certificates :
     M c tiêu c a vi c trao ñ i khoá b t ñ i x ng là phát m t cách an toàn khoá
     công khai t ngư i g i (mã hoá) ñ n ngư i nh n (gi i mã). PKI h tr t o
     ñi u ki n cho vi c trao ñ i khoá an toàn ñ ñ m b o xác th c các bên trao
     ñ i v i nhau.
     Public key Certificate ñư c phát b i Certificate Authority(CA ). ð CA
     phát public key certificate cho ñáp ng m t mã ñ u cu i thì ñ u cu i ñ u
     tiên ph i ñăng ký v i CA. Quá trình ñăng ký g m: s ñăng ký, s kích ho t,
     và s ch ng nh n c a m t mã ñ u cu i v i PKI (CAs và RAs). Quá trình
     ñăng ký như sau:
            o m t mã ñ u cu i ñăng ký v i CA ho c RA. Trong quá trình ñăng
                ký, m t mã ñ u cu i ñưa ra cách nh n bi t ñ n CA. CA s xác
                th c ñ u cu i, phát public key ñ n ñ u cu i .


SVTT : Vi Th Mưu                         33
BÁO CÁO TTTN                                                     IPSec VPN

            o các ñ u cu i b t ñ u kh i t o phase b ng cách t o ra m t
                public/private keypair và public key c a keypair ñư c chuy n
                ñ n CA.
            o CA vi t m t hi u lên public key certificate cùng v i private key
                ñ t o m t public key certificate cho m t mã ñ u cu i.
            o Lúc này các m t mã ñ u cu i có th yêu c u public key certificate
                t m t mã ñ u cu i khác. Chúng có th s d ng CAs public key
                ñ gi i mã public key certificate ñ thu ñư c khoá thích h p.
  • Registration Authorities:
    Trong nhi u trư ng h p, CA s cung c p t t c các d ch v c n thi t c a
    PKI ñ qu n lý các public key bên trong m ng. Tuy nhiên có nhi u trư ng
    h p CA có th u nhi m làm công vi c c a RA. m t s ch c năng mà CA
    có th u nhi m thay th cho RA như:
        o ki m tra m t mã ñ u cu i th ñã ñăng ký public key v i CA ñ có
            private key mà ñư c dùng ñ k t h p v i public key.
        o Phát public/private keypairs ñư c dùng ñ kh i t o phase c a quá
            trình ñăng ký.
        o xác nh n các thông s c a public key.
        o phát gián ti p các certificate Revocation List (CRL).
  • Certificate Authorities :
    CA dùng ñ c p phát ch ng nh n, xác th c PKI clients, và khi c n thi t thu
    h i l i ch ng nh n.
    CA ñ i di n cho ngu n tin c y chính c a PKI. Vì CA là y u t duy nh t
    trong PKI mà có th phát Public Key Certificates ñ n các m t mã ñ u cu i.
    CA cũng luôn ñáp ng cho vi c duy trì CRL và ph c v các lo i như: CRL
    Issuer. PKI không ph i ch có 1 CA mà PKI có th thi t l p nhi u CAs.
    CAs giúp thi t l p cho vi c nh n d ng c a các th c th giao ti p v i nhau
    ñư c ñúng ñ n. CAs không ch ch ng cho PKI client mà còn cho nh ng
    CAs khác b ng cách c p phát nh ng ch ng nh n s ñ n chúng. Nh ng CAs
    ñã ch ng nh n l n lư t có th ch ng nh n cho nh ng CAs khác cho ñ n khi
    m i th c th có th u nhi m cho nh ng th c th khác có liên quan trong
    quá trình giao d ch.

  2. M c tiêu và các ch c năng c a PKI
  PKI cho phép nh ng ngư i tham gia xác th c l n nhau và s d ng các thông
  tin t các ch ng th c khoá công khai ñ m t mã hoá và gi i mã thông tin trong
  quá trình trao ñ i.
  PKI cho phép các giao d ch ñi n t ñư c di n ra ñ m b o tính bí m t, toàn v
  và xác th c l n nhau mà không c n trao ñ i các thông tin b o m t t trư c.
  M c tiêu chính c a PKI là cung c p khoá công khai và xác ñ nh m i liên h
  gi a khoá và ñ nh d ng ngư i dùng. Nh v y, ngư i dùng có th s d ng trong
  m t s ng d ng như :
      - Mã hoá Email ho c xác th c ngư i g i Email
      - Mã hoá ho c ch ng th c văn b n
      - Xác th c ngư i dùng ng d ng



SVTT : Vi Th Mưu                        34
BÁO CÁO TTTN                                                      IPSec VPN

      -  Các giao th c truy n thông an toàn : trao ñ i b ng khoá b t ñ i x ng,
         mã hoá b ng khoá ñ i x ng.
PKI bao g m các thành ph n sau ñây:
      - Phát sinh m t c p khoá riêng và khoá chung cho PKI client
      - T o và xác nh n ch ký ñi n t
      - c p phát ch ng nh o ngư i dùng
      - ðánh d u nh ng khoá ñã c p phát và b o trì quá trình s d ng c a m i
         khoá
      - H y b nh ng ñăng ký sai và h t h n
      - Xác nh n PKI client

   3. M c ñích c a PKI
   PKI ñư c s d ng v i các m c ñích :
     - Mã hoá: gi bí m t thông tin và ch có ngư i có khoá bí m t m i gi i mã
        ñư c.
     - T o ch ký s : cho phép ki m tra m t văn b n có ph i ñã ñư c t o v i
        m t khoá bí m t nào ñó hay không.
     - Tho thu n khoá: cho phép thi t l p khoá dùng ñ trao ñ i thông tin b o
        m t gi a 2 bên.

III. Cơ s h t ng c a PKI
   1. Các bư c mã hoá:
          Bư c 1:

                           dùng gi i thu t băm ñ thay ñ i thông ñi p c n
          truy n ñi. k t qu ta ñư c m t message digest. Dùng gi i thu t
          MD5 (message digest 5) ta ñư c digest có chi u dài 128 bit, dùng
          gi i thu t SHA (Secure Hash Algorithm) ta có chi u dài 160 bit.
          Bư c 2:

                                 s d ng khóa private key c a ngư i g i ñ
          mã hóa message digest thu ñư c bư c 1. Thông thư ng bư c
          này dùng gi i thu t RSA ( hay DSA, RC2, 3DES, …). K t qu thu
          ñư c g i là digital signature c a thông ñi p ban ñ u.
          Bư c 3:

                                s d ng public key c a ngư i nh n ñ mã
          hoá nh ng thông tin c n g i ñi.
          Bư c 4:
          G p digital signature vào message ñã ñư c mã hoá và g i ñi. Như
          v y sau khi ñã kí nh n digital signature vào message ñã ñư c mã
          hoá, m i s thay ñ i trên message s b phát hi n trong giai ño n


SVTT : Vi Th Mưu                        35
BÁO CÁO TTTN                                                IPSec VPN

        ki m tra. Ngoài ra, vi c kí nh n này ñ m b o ngư i nh tin tư ng
        message này xu t phát t ngư i g i ch không ph i là ai khác.

     2. Các bư c ki m tra:
     Bư c 1:

                         ngư i nh n dùng private key c a mình ñ gi i
     mã thông tin nh n ñư c g m 2 ph n: ph n message và ph n ch ký
     ngư i g i.
     Bư c 2:

                         dùng public key c a ngư i g i (khoá này ñư c
     thông báo ñ n m i ngư i ) ñ gi i mã ch ký s c a message, ta ñư c
     message digest.
     Bư c 3:

                  dùng gi i thu t MD5 ( ho c SHA) băm message ñính
     kèm ta có message digest.
     Bư c 4:

                   So sánh k t qu thu ñư c bư c 2 và 3 n u trùng nhau,
     ta k t lu n message này không b thay ñ i trong quá trình truy n và
     message này là c a ngư i g i.




SVTT : Vi Th Mưu                    36
BÁO CÁO TTTN                                                      IPSec VPN

CHƯƠNG IV:          DYNAMIC        MULTIPOINT         VIRTUAL       PRIVATE
NETWORK

I. KHÁI QUÁT V DMVPN
   1. DMVPN là gì ?
Dynamic Multipoint Virtual Private Network (DMVPN) là s k t h p c a các
công ngh : IPSec, mGRE, và NHRP. các công ngh này k t h p l i cho phép ñư c
tri n khai IPSec trong m ng riêng o m t cách d dàng.

   2. Ưu ñi m c a DMVPN

      Khi ta có c u trúc m ng v i nhi u site và t o mã hoá tunnel gi a m i site
      v i nhau, ta thi t l p ñư c: [n(n-1)] /2 tunnels
      ví d : như hình dư i ta có 3 tunnel




        ta có [n(n-1)/2] = 6 tunnels




SVTT : Vi Th Mưu                         37
BÁO CÁO TTTN                                                         IPSec VPN

   3. Các công ngh s d ng
      • IPSec (Internet Protocol SECurity)
         Giao th c cho phép b o v s thay ñ i c a các gói tin t i l p IP. D a
        trên khoá công khai trên mode Tunnel , n i dung và tiêu ñ c a gói tin
        ñư c mã hoá. c hai ñ u ñư c b o v
      • mGRE (Generic Routing Encapsulation)
        Giao th c truy n trên tunnel, ñóng gói các lo i gói tin thành 1 lo i l n
        trong IP tunnels. Sau ñó t o Point-to-Point virtual k t n i v i các Router
           xa trong c u trúc m ng IP.
      • NHRP (Next Hop Resolution Protocol)
        Giao th c ñư c s d ng b i các Router phát hi n MAC address c a các
        Router khác và host khác.

4. Ho t ñ ng c a DMVPN

DMVPN là gi i pháp ph n m m c a h ñi u hành cisco.
DMVPN d a vào 2 công ngh c a cisco ñã th nghi m :
    - Next Hop Resolution Protocol (NHRP)
           o HUB duy trì cơ sơ d li u c a ñ a ch th c c a t t c spoke
                     m i spoke ñăng ký ñ a ch th c c a nó khi nó kh i ñ ng.
                     Sau ñó các spoke yêu c u cơ s d li u trong NHRP cho
                     ñ a ch th c c a các spoke ñích mà xây d ng tunnel tr c
                     ti p.
           o Multipoint GRE Tunnel Interface
                     Cho phép 1 interface GRE h tr nhi u IPSec tunnels
                     Kích thư c ñơn gi n và c u hình ph c t p
    - DMVPN không làm thay ñ i các chu n c a IPSec VPN tunnel, nhưng
       nó thay ñ i c u hình c a chúng.
    - Các spoke có 1 IPSec tunnel c ñ nh ñ n Hub, nhưng không có ñ n các
       spoke. Các spoke ñư c xem như là client c a NHRP server.
    - Khi 1 spoke c n g i gói tin ñ n ñích (private) m ng c p dư i trên spoke
       khác, nó yêu c u NHRP c p các ñ a ch th c c a spoke ñích.
    - ñ n ñây spoke ngu n có th kh i t o 1 dynamic IPSec tunnel ñ n spoke
       ñích.
    - Tunnel t spoke-to-spoke ñư c xây d ng qua mGRE tunnel

5. ð nh tuy n v i DMVPN

      -   ð nh tuy n ñ ng ñư c yêu c u qua tunnel Hub-to-spoke.
      -   Spoke h c t t c các m ng riêng trên các spoke khác và Hub thông qua
          c p nh t t b ng ñ nh tuy n ñư c g i b i Hub.
      -   IP next-hop cho 1 m ng spoke là interface tunnel cho spoke.
      -   Các giao th c ñ nh tuy n ñư c dùng:
             o Enhanced Interior Gateway Routing Protocol (EIGRP)
             o Open Shortest Path First (OSPF)
             o Border Gateway Protocol (BGP)


SVTT : Vi Th Mưu                          38
BÁO CÁO TTTN                                                      IPSec VPN

            o Routing Information Protocol (RIP)

6. DMVPN Phase
             o Phase 1 : Tính năng c a Hub và Spoke
             o Phase 2 : Tính năng c a spoke-to-spoke
             o Phase 3 : Kh năng thay ñ i spoke-to-spoke ñ quy mô các m ng
                ñư c m r ng .
       IPSec + GRE ñ i v i DMVPN phase 1
      Hub-to-Spoke
      Tính năng :
      - T t c lưu lư ng ñi qua ph i thông qua Hub
      - Tri n khai d dàng
      - Files c u hình Hub nh

      Ưu ñi m c a DMVPN phase 1
      - Hub và spoke c u hình ñơn gi n và nh g n
      - H tr Multicast traffic t Hub ñ n các spoke
      - H tr ñ a ch cho các spoke m t cách linh ñ ng

      phase 2:
  -   Trong phase 2 NHRP kh i ñ ng NHC-to-NHS tunnel và giao th c ñ nh
      tuy n ñ ng thư ng ñư c s d ng ñ phát thông tin ñ nh tuy n t t c các
      m ng mà Hub có và t t c các spoke. Các thông tin này là : ip next hop c a
      spoke ñích và h tr riêng m ng ñích.
  -   Khi 1 gói tin ñư c forward nó s t i outbound interface và ip next hop t
      b ng ñ nh tuy n m u . N u interface NHRP là interface outbound nó s tìm
      NHRP mapping vào IP next hop . N u không có s trùng kh p c a b ng
      NHRP mapping, thì NHRP ñư c kích kh i ñ g i NHRP resolution request
      ñ n thông tin mapping (ñ a ch IP next hop ñ n ñ a ch v t lý layer). NHRP
      registration reply packet ch a thông tin mapping này và khi thông tin này
      ñư c nh n các spoke s cung c p ñ y ñ thông tin ñ ñóng gói d li u chính
      xác g i tr c ti p ñ n spoke ñ u xa qua cơ s h t ng m ng.

      Phase 3:
  -   NHRP kh i ñ ng NHC và NHS tunnel và giao th c ñ nh tuy n ñ ng ñư c
      dùng ñ phát thông tin ñ nh tuy n c a t t c các m ng mà t t c các spoke
      có ñ n Hub. Sau ñó hub s g i l i b ng thông tin ñ nh tuy n này ñ n các
      spoke, nhưng trong trư ng h p này hub có th t ng k t l i thông tin ñ nh
      tuy n . Nó s ñ t IP next hop c a t t c các m ng ñích ñ n NHS (hub). ði u
      này làm gi m lư ng thông tin trong b ng giao th c ñ nh tuy n c n ñ phân
      ph i t Hub ñ n các spoke, gi m vi c c p nh t giao th c ñ nh tuy n ñang
      ch y trên hub.
  -   Khi data packet ñư c forward, nó s t i outbound interface và ip next hop
      t b ng ñ nh tuy n m u nh p vào. N u interface NHRP là interface
      outbound thì nó s tìm mapping NHRP vào IP next hop . Trong trư ng h p


SVTT : Vi Th Mưu                         39
BÁO CÁO TTTN                                                       IPSec VPN

      này IP next hop s ñư c hub coi như là NHRP mapping (nó ñã cài 1 tunnel
      v i hub) , các spoke s ch g i data packet ñ n Hub.
  -   Hub nh n ñư c data packet và nó ki m tra b ng ñ nh tuy n. Vì data packet
      này ñã ñư c trù ñ nh t trư c cho m ng bên c nh các spoke khác nó s
      forward ra kh i interface NHRP ñ n next hop v hư ng spoke. T i ñây, hub
      phát hi n packet ñ n và g i nó ra kh i interface NHRP. Có nghĩa là data
      packet chi m ít nh t 2 hop trong m ng NHRP và do ñó ñư ng này thông
      qua hub không ph i là 1 ñư ng t i ưu . Cho nên hub g i tr c ti p l i thông
      ñi p NHRP ñ n spoke. Thông ñi p phát l i tr c ti p này là thông tin g i
      ñ n spoke v IP gói tin ñích mà thông ñi p phát l i này kích kh i NHRP.
  -   Khi spoke nh n ñư c NHRP ñư c phát l i, nó s t o và g i NHRP
      resolution request cho d li u IP ñích t thông ñi p NHRP ñư c g i l i .
      NHRP resolution request s forward ñ n spoke ñ u xa các d ch v m ng
      cho IP ñích.
  -   Spoke ñ u xa s phát NHRP resolution reply v i ñ a ch NBMA c a nó và
      toàn b subnet (t b ng ñ nh tuy n c a nó) phù h p v i ñ a ch IP d li u
      ñích t gói tin NHRP resolution request. Spoke ñ u xa sau ñó s g i NHRP
      resolution reply tr c ti p tr l i spoke n i b . ð n th i ñi m này ñã ñ y ñ
      thông tin cho data traffic ñư c g i tr c ti p qua spoke-to-spoke mà ñư ng
      d n v a ñư c t o.
  -    B ng ñ nh tuy n IP và ñ nh tuy n ñư c h c b i hư ng c a hub là quan
      tr ng khi xây d ng tunnel spoke-to-spoke. Do ñó kh năng c a NHS (các
      hub) là t i h n cho tính năng c a m ng NHRP . khi ch có 1 hub mà hub ñó
      b down, spoke xoá ñư ng ñi mà nó h c ñư c t b ng ñ nh tuy n c a hub.
      b i vì nó b m t hub gi ng như m t ñi routing neighbor. Tuy nhiên, spoke
      không xoá b t kỳ tunnels spoke-to-spoke (NHRP mapping) mà v n còn
      ho t ñ ng. M c dù tunnel spoke-to-spoke v n còn nhưng nó không ñư c s
      d ng vì trong b ng ñ nh tuy n không còn ñư ng ñi nào ñ n m ng ñích n a.
  -   Trong quá trình b sung thêm , Khi b ng ñ nh tuy n ñưa vào b xoá không
      ñư c kích ho t ñ n NHRP. k t qu là NHRP s timeout, khi ñó hub s b
      down.
  -   Trong phase 2 n u x y ra v n ñ ñ nh tuy n trong b ng ñ nh tuy n (có th là
      ñ nh tuy n tĩnh) v i chính xác IP next hop thì spoke v n có th dùng
      spoke-to-spoke tunnel ngay c khi hub b down. NHRP s khó có th làm
      tươi NHRP mapping ñưa vào vì NHRP resolution yêu c u ho c c n ñáp ng
      ñ ñi qua hub.
  -   Trong phase 3, ta ch c n ñ nh tuy n ra interface tunnel, không c n ph i
      chính xác IP next hop ( NHRP b qua IP next-hop trong phase 3). NHRP có
      kh năng làm tươi NHRP mapping . Vì NHRP resolution yêu c u ho c ñáp
        ng s ñi qua tr c ti p spoke-to-spoke tunnel.
  -   N u ta có 2 (ho c nhi u hơn) NHS Hub trong 1 m ng NBMA (1 mGRE,
      frame-relay , ho c ATM interface) , sau khi hub ñ u tiên b down, spoke
      Router s lo i b ñư ng ñi t b ng ñ nh tuy n mà nó h c ñư c t hub này,
      nhưng nó s h c t các router tương t (có metric cao hơn) t hub th hai.
      Lúc này ñ nh tuy n s ñư c thi t l p ngay. Do ñó lưu lư ng spoke-to-spoke



SVTT : Vi Th Mưu                         40
BÁO CÁO TTTN                                                         IPSec VPN

     s ti p t c ñi qua spoke-spoke tunnel, và nó không b       nh hư ng b i hub
     ñ u tiên.
II. C u hình DMVPN
  1. C u hình IPSec :

  B1: c u hình crypto ipsec profiel name       ch ra tên c a IPSec profile
      Router(config)# crypto ipsec profile vpnprof
  B2: set transform-set transform-set-name         ch ra lo i transform set nào
  ñư c dùng v i IPSec.
      Router(config-crypto-map)#set transform-set trans2
  B3: set identity                              xác ñ nh transform-set
     Router(config-crypto-map)# set identity
  B4: set security association lifetime {seconds second /kilobytes kilobytes}
  xác ñ nh th i gian c a t n t i c a SA.
     Router(config-crypto-map)# set security lifetime seconds 1800
  B5: set pfs [group 1/ group 2]
     Router(config-crypto-map)# set pfs group 2 cài ñ t h s mã hoá

  2. C u hình mGRE HUB

   B1: interface tunnel number                    c u hình tunnel interface
       Router(config)# interface tunnel 5
  B2: ip address ip-address mask [secondary] t o ñ a ch c a tunnel
       Router(config-if) ip address 10.0.0.2 255.255.255.0
  B3: ip mtu bytes        xác ñ nh s bytes t i ña truy n trong m t frame
       Router(config-if)# ip mtu 1416
  B4: ip nhrp authentication string    c u hình chu i xác th c cho interface dùng
  NHRP
       Router(config-if)# ip nhrp authentication donttell
  B5: ip nhrp map hub-tunnel-ip-address hub physical-ip-address map gi a
  ñ a ch tunnel và ñ a chi v t lý c a Hub
       Router(config-if)# ip nhrp 10.0.0.1 172.17.0.1
  B6: ip nhrp map multicast hub-physical-ip-address kích ho t giao th c ñ nh
  tuy n gi a spoke và hub, g i gói tin multicast ñ n hub.
       Router(config-if)# ip nhrp map multicast 172.17.0.1
  B7: ip nhrp nhs hub-ip-tunnel-ip-address c u hình hub như là NHRP next-
  hop server
       Router(config-if)# ip nhrp nhs 10.0.0.1
  B8: tunnel key key-number kích ho t ID key cho tunnel interface
       Router(config-if)# tunnel key 1000
  B9: tunnel mode gre multipoint        thi t l p ch ñ ñóng gói t i mGRE cho
  tunnel interface
       Router(config-if)# tunntel mode gre multipoint
  B10: tunnel protection ipsec profile name         gán tunnel interface vào IPSec
  profile.


SVTT : Vi Th Mưu                          41
BÁO CÁO TTTN                                                         IPSec VPN

       Router(config-if)# tunnel protection ipsec profile vpnprof


   3. C u hình mGRE Spoke

   B1: interface tunnel number
       Router(config)# interface tunnel 5
   B2: ip address ip-address mask [secondary]
       Router(config-if) ip address 10.0.0.2 255.255.255.0
   B3: ip mtu bytes
      Router(config-if)# ip mtu 1416
   B4: ip nhrp authentication string
        Router(config-if)# ip nhrp authentication donttell
   B5: ip nhrp map hub-tunnel-ip-address hub physical-ip-address
        Router(config-if)# ip nhrp 10.0.0.1 172.17.0.1
   B6: ip nhrp map multicast hub-physical-ip-address
        Router(config-if)# ip nhrp map multicast 172.17.0.1
   B7: ip nhrp nhs hub-tunnel-ip-address
       Router(config-if)# ip nhrp nhs 10.0.0.1
   B8: ip nhrp network-id number kích ho t NHRP trên interface
       Router(config- if)# ip nhrp network-id 99
   B9 : tunnel source { ip-address/type number }
        Router(config- if)# tunnel source ethernet 0
   B10: tunnel key key-number
        Router(config-if)# tunnel key 1000
   B11: tunnel mode gre multipoint
        Router(config-if)# tunntel mode gre multipoint
   or
   tunnel destination hub-physical-ip-address
       Router(config-if)# tunnel destination 172.17.0.1
   B12: tunnel protection ipsec profile name
        Router(config-if)# tunnel protection ipsec profile vpnprof

III. Next Hop Resolution Protocol

    1. Tương tác NHRP và m ng NBMA
    NHRP là giao th c gi ng giao th c ARP (giao th c phân gi i ñ a ch ) mà làm
    gi m nh ng v n ñ m ng NBMA. V i NHRP, các h th ng h c ñ a ch
    NBMA c a các h th ng khác ñư c c ñ nh ñ n m ng NBMA m t cách linh
    ñ ng. Cho phép các m ng này thông tr c ti p v i nhau mà traffic ñư c dùng
    không c n qua hop trung gian.
    Hai ch c năng c a NHRP h tr cho các m ng NBMA :
   - Giao th c NHRP gi ng như giao th c phân gi i ñ a ch cho phép Next Hop
      Clients (NHCs) ñư c ñăng ký m t cách linh ñ ng v i Next Hop Servers
      (NHSs). ði u này cho phép NHCs ñư c n i ñ n m ng NBMA mà không
      c n thay ñ i c u hình trên NHSs, ñ c bi t là trong trư ng h p NHCs có ñ a


SVTT : Vi Th Mưu                          42
BÁO CÁO TTTN                                                         IPSec VPN

       ch IP v t lý ñ ng ho c là Router có Network Address Translation (NAT) s
       làm thay ñ i ñ a ch IP v t lý. Trong các trư ng h p này nó không th c u
       hình l i ñư c logical Virtual Private Network (VPN IP) ñ n physical
       (NBMA IP) mapping cho NHC trên NHS. Ch c năng này ñư c g i là s
       ñăng ký NHRP.
  -    NHRP là m t giao th c phân gi i cho phép m t NHC client (Spoke) ñ ñ nh
       v logical VPN IP ñ n NBMA IP mapping cho NHC client khác (spoke)
       trong cùng m ng NBMA. N u không có s ñ nh v này, các gói tin IP ñang
       ñi t các host c a m t spoke này ñ n các host c a m t spoke khác s ñi qua
       hư ng c a NHS (hub). ði u này s làm tăng s s d ng băng thông c a hub
       và CPU cho vi c x lý các gói tin này. ðây thư ng ñư c g i là hair-
       pinning. V i NHRP, các h th ng h c ñ a ch NBMA c a các h th ng khác
       ñư c c ñ nh ñ n m ng NBMA m t cách linh ñ ng , cho phép các m ng
       thông tr c ti p v i nhau mà traffic ñư c dùng không c n qua hop trung
       gian. ði u này làm gi m t i trên hop trung gian (NHS) và có th tăng băng
       thông t ng c a m ng NBMA ñư c l n hơn băng thông c a hub.

      2. L i ích c a NHRP cho NBMA.

  -    Router, Access Server, và các host có th s d ng NHRP ñ tìm ñ a ch c a
       các Router và các host khác k t n i ñ n m ng NBMA. Riêng m ng NBMA
       lư i là ñư c c u hình v i nhi u m ng h p l i ñ cung c p ñ y ñ các k t
       n i cho các l p m ng. Như trong các c u hình, các gói tin có th t o m t vài
       hops qua m ng NBMA trư c khi ñ n t i ñ u ra Router (m ng ñích g n nh t
       Router).
  -    m ng NBMA ñư c coi là NonBroadcast vì nó không h tr Broadcasting
       (vd: m t m ng IP mGRE tunnel) ho c Broadcasting quá t n kém (vd:
       SMDS Broadcast group quá l n).
  -    NRP cung c p gi ng như giao th c ARP ñ gi m các v n ñ m ng NBMA.
       V i NHRP, các h th ng h c ñ a ch c a các h th ng khác ñư c c ñ nh
       ñ n m ng NBMA m t cách linh ñ ng, cho phép các h th ng này thông
       tr c ti p v i nhau mà traffic ñư c dùng không c n qua hop trung gian.

  3. Next Hop Server Selection
  NHRP resolution request ñi qua m t ho c nhi u hop (hubs) trong m ng con
  NBMA hub-to-spoke trư c khi phát ñáp ng ñ n tr m c n ñ n. M i tr m (g m
  tr m ngu n l a ch n NHS lân c n ñ nó forward request. NHS ch n phương
  pháp ñi n hình ñ th c hi n ñ nh tuy n d a trên ñ a ch ñích l p m ng c a
  NHRP request. NHRP resolution request cu i cùng ñ n tr m nơi mà phát
  NHRP resolution reply. Tr m ñáp ng này ñưa ra tr l i s d ng ñ a ch ñích t
  trong gói tin NHRP ñ xác ñ nh nơi c n g i reply.
  Hinh dư i ñây minh h a cho 4 Router k t n i ñ n m ng NBMA




SVTT : Vi Th Mưu                           43
BÁO CÁO TTTN                                                       IPSec VPN




  -   Trong m ng là IP c a các Router c n thi t ñ cho các Router thông l n
      nhau b ng cách t o IP các gói tin tunneling trong IP các gói tin tunnels
      GRE. Các router h tr k t n i IP tunnel (xem hop 1, hop 2 và hop 3 trong
      hình). Khi router A th forward IP gói tin t host ngu n ñ n host ñích,
      NHRP ñư c kích kh i. Thay cho host ngu n, router A g i NHRP resolution
      request packet ñư c ñóng gói trong GRE IP packet, mà theo trên hình thì 3
      hop qua m ng ñ n Router D ñ k t n i ñ n host ñích . sau khi router A nh n
      NHRP resolution reply, Router A xác ñ nh r ng router D là NBMA IP next
      hop, và router A s g i subsequence data IP packet cu i ñ n router D trong
      GRE IP next hop.
  -   v i NHRP, NBMA next hop ñư c xác ñ nh, host ngu n cũng b t ñ u g i d
      li u gói tin ñ n ñích (không k t n i qua NBMA như IP GRE và SMDS)
      ho c thi t l p 1 VC o k t n i ñ n ñích. k t n i này ñư c c u hình v i ñáp
        ng băng thông và ch t lư ng d ch v cho k t n i ñ nh hư ng m ng NBMA
      như : frame relay, ATM, ho c DMVPN mà IPSec mã hoá ngang hàng ph i
      ñư c thi t l p.

  4. NHRP s d ng v i DMVPN (NHRP Used with a DMVPN )

  -   NHRP thư ng thu n ti n cho vi c xây d ng VPN. VPN bao g m : m ng o
      layer 3 ñư c xây d ng trên n n layer 3 m ng th c t . c u trúc mà ta s d ng
      qua VPN là ñ c l p ñ i v i m ng l p trên và các giao th c mà ta ch y qua
      hoàn toàn ñ c l p v i nó. m ng VPN (DMVPN) d a trên GRE logical
      tunnel mà có th ñư c b o v b ng cách thêm vào IPSec ñ mã hoá GRE IP
      tunnels.
  -   k t n i ñ n m ng NBMA là m t hay nhi u tr m mà NHRP th c hi n và
      ñư c xem như là NHSs và NHCs. t t c các Router ch y h ñi u hành cisco


SVTT : Vi Th Mưu                         44
BÁO CÁO TTTN                                                            IPSec VPN

      phiên b n 10.3 ho c phiên b n sau này có th ñư c NHRP th c hi n, vì v y
      các router có th ho t ñ ng như NHSs ho c NHCs. N n t ng c a DMVPN
      (GRE IP + IPSec ) mà NHRP s d ng c n ch y phiên b n 12.3 (9), 12.3 (8),
      ho c là phiên b n v sau này.

  5. S    ñăng ký NHRP (NHRP Registration)

  -   Quá trình ñăng ký NHRP ñư c g i t NHCs ñ n NHSs m i l n 1/3 kho ng
      th i gian holdtime (ip nhrp holdtime value), trong trư ng h p ñăng ký có
      g i th i gian timeout thì l nh ip nhrp registration timeout value ñư c c u
      hình. N u quá trình NHRP ñăng ký không nh n ñư c b i NHRP
      registration request, thì NHRP registration request s truy n l i t i 1, 2, 4, 8,
      16, 32, và 64 giây. Sau ñó chu i s này b t ñ u phát qua 1 l n n a.
  -   NHSs ñư c công khai n u quá trình ñăng ký NHRP reply không nh n ñư c
      sau 3 l n truy n l i (7 giây), và NHRP resolution packets s không ñư c g i
      n a. Quá trình ñăng ký s ti p t c ñư c g i trong các kho ng th i gian 0, 1,
      2, 4, 8, 16, 32, 64 nh m thăm dò NHS ñ n khi NHRP registration reply
      ñư c nh n. Quá trình NHRP registration reply ñư c nh n càng s m, NHS
      ñư c công khai càng nhanh. NHRP registration reply b t ñ u l i vi c g i
      m i l n 1/3 kho ng th i gian holdtime ho c c u hình giá tr trong l nh ip
      nhrp registration timeout, và NHRP registration request ñư c g i l i .
  -   Dùng l nh show ip nhrp nhs { detail } ñ ki m tra tr ng thái c a NHRP
      NHSs.




SVTT : Vi Th Mưu                            45
BÁO CÁO TTTN                                        IPSec VPN

                          PH N II : TH C HÀNH

1. Bài th c hành lab cơ b n :
C u hình GRE Tunnel to a Remote Site




Các bư c ti n hành c u hình GRE Tunnel:
Bư c 1 :
c u hình cho các Router ping ñư c thông nhau:

ð i v i Router P:

Router#config terminal
Router(config)#hostname RP
RP(config)#interface f0/1
RP(config-if)#ip address 172.30.1.2 255.255.255.0
RP(config-if)#no shut
RP(config-if)#exit
RP(config)#int f0/0
RP(config-if)#ip address 10.0.1.2 255.255.255.0
RP(config-if)#no shut
RP(config-if)#exit
RP(config)#ip route 0.0.0.0 0.0.0.0 172.30.1.1

ð i v i Router Q

Router#config terminal
Router(config)hostname RQ
RQ(config)# int f0/1


SVTT : Vi Th Mưu                         46
BÁO CÁO TTTN                                                   IPSec VPN

RQ(config-if)#ip address 172.30.6.2 255.255.255.0
RQ(config-if)#no shut
RQ(config-if)#exit
RQ(config)int f0/0
RQ(config-if)#ip add 10.0.6.2 255.255.255.0
RQ(config-if)#no shut
RQ(config-if)#exit
RQ(config) ip route 0.0.0.0 0.0.0.0 172.30.6.1

Bư c 2:
c u hình interface tunnel

ð i v i Router P

RP(config)# interface tunnel 0
RP(config-if)# ip address 172.16.1.1 255.255.255.0
RP(config-if)# tunnel source 172.30.1.2
RP(config-if)# tunnel destination 172.30.6.2
RP(config-if)# no shut
RP(config-if)#exit

ð i v i Router Q
RQ(config)#interface tunnel 0
RQ(config-if)# ip address 172.61.1.6 255.255.255.0
RQ(config-if)# tunnel source 172.30.6.2
RQ(config-if)#tunnel destination 172.30.1.2
RQ(config-if)#no shut
RQ(config-if)#exit
Bư c 3: c u hình static route
RP(config)# ip route 10.0.6.0 255.255.255.0 tunnel 0
RQ(config)# ip route 10.0.1.0 255.255.255.0 tunnel 0
RP(config)#exit
th c hi n ki m tra
ñ t ñ a ch PC c a RP là 10.0.1.12 v à PC c a RQ là 10.0.6.12
Th c hi n ping ñ n 10.0.6.12 t 10.0.1.12

k t qu ping thành công




SVTT : Vi Th Mưu                          47
BÁO CÁO TTTN                                   IPSec VPN




ki m tra ho t ñ ng
RP#show run
hostname RP
interface Tunnel0
 ip address 172.16.1.1 255.255.255.0
 tunnel source 172.30.1.2
 tunnel destination 172.30.6.2
!
interface FastEthernet0/0
 ip address 10.0.1.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 172.30.1.2 255.255.255.0
 duplex auto
 speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.30.1.1
ip route 10.0.6.0 255.255.255.0 Tunnel0
!
RQ#show run
hostname RQ
!
interface Tunnel0
 ip address 172.61.1.6 255.255.255.0
 tunnel source 172.30.6.2
 tunnel destination 172.30.1.2
!
interface FastEthernet0/0


SVTT : Vi Th Mưu                          48
BÁO CÁO TTTN                                   IPSec VPN

 ip address 10.0.6.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 172.30.6.2 255.255.255.0
 duplex auto
 speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.30.6.1
ip route 10.0.1.0 255.255.255.0 Tunnel0
!
ki m tra interface tunnel:
RP#show interface tunnel 0




SVTT : Vi Th Mưu                          49
BÁO CÁO TTTN                                                          IPSec VPN

2. Th c hành bài Lab c u hình Windows server 2003 làm CA Server
Mô hình như sau:




Các thi t b bao g m: 2 Router 2800, 1 Switch 3550, 1 Windows server 2003
Client 1:

Router#config terminal
Router(config)#hostname client1
Client1(config)# interface f0/1
Client1(config-if)# ip address 172.30.2.2 255.255.255.0
Client1(config-if)# no shut
Client1(config-if)# exit
Client1(config)# interface f0/1
Client1(config-if)# ip address 192.168.1.2 255.255.255.0
Client1(config-if)# no shut
Client1(config-if)# exit
# c u hình domain name cho Router
Client1(config)# ip domain-name cisco.com
Client1(config)# ip host caserver 172.30.1.2
# c u hình trustpoint
Client1(config)# crypto ca trustpoint CA
Client1(ca-trustpoint)# enrollment url http://172.30.1.2/certsrv/mscep/mscep.dll
Client1(ca-trustpoint)# subject-name cn=client1@vnpro.org
Client1(ca-trustpoint)# exit
Client1(config)# crypto ca authenticate CA

#c u hình VPN
Client1(config)# crypto isakmp policy 10


SVTT : Vi Th Mưu                           50
BÁO CÁO TTTN                                                          IPSec VPN

Client1(config-isakmp)# hash md5
Client1(config-isakmp)# exit
Client1(config)# crypto ipsec transform-set myset esp-des esp-md5-hmac
Client1(config-crypto-trans)# exit
Client1(config)# crypto map mymap 10 ipsec-isakmp
Client1(config-crypto-map)# set peer 172.30.3.2
Client1(config-crypto-map)# set transform-set myset
Client1(config-crypto-map)# match address 101
Client1(config-crypto-map)# exit
Client1(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0
0.0.0.255
# áp crypto map vào c ng
Client1(config)# interface f0/1
Client1(config-if)# crypto map mymap
Client1(config-if)# exit
Client1(config)#

Client 2:
Router#config terminal
Router(config)#hostname client1
Client2(config)# interface f0/1
Client2(config-if)# ip address 172.30.3.2 255.255.255.0
Client2(config-if)# no shut
Client2(config-if)# exit
Client2(config)# interface f0/1
Client2(config-if)# ip address 192.168.2.2 255.255.255.0
Client2(config-if)# no shut
Client2(config-if)# exit
# c u hình domain name cho Router
Client2(config)# ip domain-name cisco.com
Client2(config)# ip host caserver 172.30.1.2
# c u hình trustpoint
Client2(config)# crypto ca trustpoint CA
Client2(ca-trustpoint)# enrollment url http://172.30.1.2/certsrv/mscep/mscep.dll
Client2(ca-trustpoint)# subject-name cn=client1@vnpro.org
Client2(ca-trustpoint)# exit
Client2(config)# crypto ca authenticate CA
#c u hình VPN
Client2(config)# crypto isakmp policy 10
Client2(config-isakmp)# hash md5
Client2(config-isakmp)# exit
Client2(config)# crypto ipsec transform-set myset esp-des esp-md5-hmac
Client2(config-crypto-trans)# exit
Client2(config)# crypto map mymap 10 ipsec-isakmp
Client2(config-crypto-map)# set peer 172.30.2.2
Client2(config-crypto-map)# set transform-set myset


SVTT : Vi Th Mưu                           51
BÁO CÁO TTTN                                                    IPSec VPN

Client2(config-crypto-map)# match address 101
Client2(config-crypto-map)# exit
Client2(config)# access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0
0.0.0.255
# áp crypto map vào c ng
Client2(config)# interface f0/1
Client2(config-if)# crypto map mymap
Client2(config-if)# exit
Client2(config)#

C u hình CAServer :
Các bư c c u hình Windows server 2003 làm CA
 ñ xây d ng 1 CA ta làm như sau:
Bư c1: cài ñ t d ch v IIS
ð cài ñư c d ch v CA tr ên windowns server 2003 ta c n có IIS :
1. vào start--> control panel-->add or remove programs
2. Trong add or remove programs, nh n add/remove windowns components
3. nh n vào application server (nhưng không tích vào ô ch n)




   ch n detail

4. Tích vào Internet Information Service (IIS)




SVTT : Vi Th Mưu                           52
BÁO CÁO TTTN                                                   IPSec VPN




5. Nh n Next   finish ñ hoàn thành cài ñ t




Bư c 2: cài ñ t d ch v CA
1. vào start-->control panel--> add or remove program
2. trong m c add or remove program, nh n add/remove windowns components
3. Tích vào o certificates services




SVTT : Vi Th Mưu                         53
BÁO CÁO TTTN                                                        IPSec VPN




4. lúc này nh n ñư c thong báo v vi c không thay ñ i tên máy tính
    ch n yes




5. Trong CA type --> ch n Stand-alone root CA -->next




SVTT : Vi Th Mưu                         54
BÁO CÁO TTTN                                                       IPSec VPN




6. Trong m c Common name for this CA, nh p vào tên máy tính ñang cài ñ t
gi s ñang cài trên máy C0111




7. ð m c ñ nh nơi lưu tr database và log file c a CA   nh n Next



SVTT : Vi Th Mưu                         55
BÁO CÁO TTTN                                                        IPSec VPN




8. sau khi nh n Next ta nh n ñư c thông báo ph i d ng Internet Information
Service ch n Yes




9. sau khi nh n Yes xu t hi n yêu c u File I386   ch n thư m c có ch a file I386
    OK




SVTT : Vi Th Mưu                          56
BÁO CÁO TTTN                                                       IPSec VPN




10. Trong quá trình hoàn thành cài ñ t, nh n ñư c thông báo   ch n Yes




11. Nh n finish ñ hoàn thành cài ñ t




SVTT : Vi Th Mưu                          57
BÁO CÁO TTTN                                                  IPSec VPN




Bư c 3: ñ hoàn thành ñư c CA, ta cài thêm ph n SCEP
11. Nh n finish ñ hoàn thành cài ñ t




   2. sau ñó click Next   ch n use the local system account


SVTT : Vi Th Mưu                        58
BÁO CÁO TTTN                                                   IPSec VPN




  3. Nh n Next     và b ch n require SCEP challenge Phrase to enroll




  4. Nh n Next     ch n Yes và ñi n thông tin




SVTT : Vi Th Mưu                        59
BÁO CÁO TTTN                                                   IPSec VPN




  5. Nh n Next     finish ñ hoàn thành

  KI m tra ho t ñ ng:

  Th c hi n ñ i v i client1 :
  Client1# show run
  Building configuration...
  Current configuration : 3484 bytes
  !
  ! Last configuration change at 17:39:57 UTC Tue Apr 1 2008
  !
  version 12.4
  service timestamps debug datetime msec
  service timestamps log datetime msec
  no service password-encryption
  !
  hostname client1
  !
  boot-start-marker
  boot-end-marker
  !
  no aaa new-model
  !
  ip cef
  !
  ip domain name cisco.com


SVTT : Vi Th Mưu                         60
BÁO CÁO TTTN                                                     IPSec VPN

  ip host caserver 172.30.1.2
  !
  multilink bundle-name authenticated
  !
  !
  voice-card 0
   no dspfarm
  !
  crypto pki trustpoint CA
   enrollment mode ra
   enrollment url http://172.30.1.2:80/certsrv/mscep/mscep.dll
   subject-name cn=client2@vnpro.org
   revocation-check none
  !
  crypto pki certificate chain CA
   certificate ca 2AE3AB73C8740484449E6747E831C315
  3082035E 30820246 A0030201 0202102A E3AB73C8 74048444 9E6747E8
  31C31530
  0D06092A 864886F7 0D010105 0500300D 310B3009 06035504 03130243
  41301E17
  0D303830 34303131 30303733 305A170D 31333034 30313130 31373039
  5A300D31
  0B300906 03550403 13024341 30820122 300D0609 2A864886 F70D0101
  01050003
  82010F00 3082010A 02820101 00CBA99B 66BE2E13 686D17E1 78F65707
  ED7FC5BB
  8B185DFC ACB0528C 98E34EA1 D8740992 3BCA5499 0F4560D0 FC812612
  86F32EE4
  BE2C9F25 8B1E1559 48105CF4 2BA982F1 25796414 F2B0C807 6E674F3C
  26570EE5
  6F3B8050 8A9F2B04 950053E5 F5E89D83 3F845E55 B8FC417A 7E928666
  93DE60C0
  16B17729 AF9D47C2 B2F38BC9 5A0A9BDC 8F082F5D 9E1A1C52 F38E527C
  D3675A51
  172C6B22 8D50D782 CD7DFF60 0894C803 D4E383E1 59512FFD A94B6A1B
  0E20D5FF
  19AFDBBA 19557ECE BD6AD9C7 3A291286 6BB769E2 732C4077 4DC8C494
  03EC5B28
  BD54E9F7 A99FBD6F 1C16D9F5 250F6130 3E84A20A A3DDBB0F 047B83E8
  3FE45FE8
  088B6F2E 61846DBE 97DD7FAA 73020301 0001A381 B93081B6 300B0603
  551D0F04
  04030201 86300F06 03551D13 0101FF04 05300301 01FF301D 0603551D
  0E041604
  14ED3F97 C57AB992 26BAFC48 4E7BD3C9 E85BF544 0A306506 03551D1F
  045E305C
  305AA058 A0568628 68747470 3A2F2F74 6F2D7A6E 6A6E346F 36726F30
  34682F43



SVTT : Vi Th Mưu                          61
BÁO CÁO TTTN                                              IPSec VPN

  65727445 6E726F6C 6C2F4341 2E63726C 862A6669 6C653A2F 2F5C5C74
  6F2D7A6E
  6A6E346F 36726F30 34685C43 65727445 6E726F6C 6C5C4341 2E63726C
  30100609
  2B060104 01823715 01040302 0100300D 06092A86 4886F70D 01010505
  00038201
  01001E07 FB20C734 7FD7D5F4 C2164304 CCBC2F51 3F3D7DBA DBAD3574
  C2825357
  942BD488 4B83150F 434DC673 164E5819 F508E271 EBF9F4CC 57775094
  7C9A1D60
  44CE7B0B EC0498CD 96487BF9 8611577C F82DAE85 9FFC14B6 825706BA
  0B3B0A9E
  C9DA0A44 F02C2657 D3299546 46F9B79B 24005242 23177BA1 B368EA26
  9FF33103
  5C25436D 89439014 41158A39 D527AEF0 327EDA5B 2D58179B C4845291
  7346E26B
  D15CEEE0 54FEC609 E6AC91A1 81391F7F C1C89D2A 62DDFFE5 A160B233
  ED3AC12D
  109FF62E 6A753A64 821EDE52 CB4CEBE2 EBCC9E76 1C67E1E2 771EACBA
  1588B9CF
  FFD5FEBA 12336A71 8A8FD10C 4FA62140 31476CD7 AAFF8529 E76E9AE8
  A0BA5E50 0112
  quit
  !
  !
  crypto isakmp policy 10
   hash md5
  !
  crypto ipsec transform-set myset esp-des esp-md5-hmac
  !
  crypto map mymap 10 ipsec-isakmp
   set peer 172.30.3.2
   set transform-set myset
   match address 150
  !
  interface FastEthernet0/0
   ip address 192.168.1.2 255.255.255.0
   duplex auto
   speed auto
  !
  interface FastEthernet0/1
   ip address 172.30.2.2 255.255.255.0
   duplex auto
   speed auto
   crypto map mymap
  !
  interface Serial0/1/0
  no ip address


SVTT : Vi Th Mưu                       62
BÁO CÁO TTTN                                                         IPSec VPN

    shutdown
    clock rate 2000000
   !
   ip route 0.0.0.0 0.0.0.0 172.30.2.1
   !
   ip http server
   no ip http secure-server
   !
   access-list 150 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
   !
   control-plane
   !
   !
   line con 0
    logging synchronous
   line aux 0
   line vty 0 4
    privilege level 15
    no login
   !
   scheduler allocate 20000 1000
   !
   end

Th c hi n ñ i v i client2
   Client2# show run
   Building configuration...

   Current configuration : 5774 bytes
   !
   ! Last configuration change at 17:23:41 UTC Tue Apr 1 2008
   !
   version 12.4
   service timestamps debug datetime msec
   service timestamps log datetime msec
   no service password-encryption
   !
   hostname client2
   !
   boot-start-marker
   boot-end-marker
   !
   !
   no aaa new-model
   ip cef
   !


SVTT : Vi Th Mưu                           63
BÁO CÁO TTTN                                                     IPSec VPN

  ip domain name cisco.com
  ip host caserver 172.30.1.2
  !
  !
  voice-card 0
  !
  crypto pki trustpoint CA
   enrollment mode ra
   enrollment url http://172.30.1.2:80/certsrv/mscep/mscep.dll
   subject-name cn=client1@vnpro.org
   revocation-check none
  !
  crypto pki certificate chain CA
   certificate 618FFBFC000000000004
  308203C4 308202AC A0030201 02020A61 8FFBFC00 00000000 04300D06
  092A8648
  86F70D01 01050500 300D310B 30090603 55040313 02434130 1E170D30
  38303430
  31313031 3031335A 170D3039 30343031 31303230 31335A30 3E312030
  1E06092A
  864886F7 0D010902 1311636C 69656E74 322E6369 73636F2E 636F6D31
  1A301806
  03550403 1411636C 69656E74 3140766E 70726F2E 6F726730 5C300D06
  092A8648
  86F70D01 01010500 034B0030 48024100 A480B3CC 2C27F772 EB3411DB
  2E7A8330
  F4FBF6BE 235F7BEC AFD201A0 CD47A95F 7F12D3F1 0BF60369 02F58108
  2A5EFB2F
  6BD89DF6 45ADF27D AE5D40B9 6D53A193 02030100 01A38201 BB308201
  B7300B06
  03551D0F 04040302 05A0301D 0603551D 0E041604 14CF2761 D9851558
  F31FF702
  235D9E31 5CEF87CF 71301F06 03551D23 04183016 8014ED3F 97C57AB9
  9226BAFC
  484E7BD3 C9E85BF5 440A3065 0603551D 1F045E30 5C305AA0 58A05686
  28687474
  703A2F2F 746F2D7A 6E6A6E34 6F36726F 3034682F 43657274 456E726F
  6C6C2F43
  412E6372 6C862A66 696C653A 2F2F5C5C 746F2D7A 6E6A6E34 6F36726F
  3034685C
  43657274 456E726F 6C6C5C43 412E6372 6C30819E 06082B06 01050507
  01010481
  9130818E 30440608 2B060105 05073002 86386874 74703A2F 2F746F2D
  7A6E6A6E
  346F3672 6F303468 2F436572 74456E72 6F6C6C2F 746F2D7A 6E6A6E34
  6F36726F
  3034685F 43412E63 72743046 06082B06 01050507 3002863A 66696C65
  3A2F2F5C



SVTT : Vi Th Mưu                          64
BÁO CÁO TTTN                                                 IPSec VPN

  5C746F2D 7A6E6A6E 346F3672 6F303468 5C436572 74456E72 6F6C6C5C
  746F2D7A
  6E6A6E34 6F36726F 3034685F 43412E63 7274301F 0603551D 110101FF
  04153013
  8211636C 69656E74 322E6369 73636F2E 636F6D30 3F06092B 06010401
  82371402
  04321E30 00490050 00530045 00430049 006E0074 00650072 006D0065 00640069
  00610074 0065004F 00660066 006C0069 006E0065 300D0609 2A864886
  F70D0101
  05050003 82010100 31B97667 A8E4D0D6 B4F5083D C552F2DD 1E7E08B3
  FBC46B10
  8D4C4F96 04C77623 BF17A57B 5AE15975 234A64FF 1FBD376B 2D39D4B0
  7C2F2187
  F4F545AB E8ED233B CA13AB1E 23025DF7 98CD8222 E82E0FB8 72EEA354
  FB841224
  4A954CC6 598A15B6 45BB7AF6 2B88279F 0F18C771 E18D5C39 AEF719FC
  036B19B3
  0ADFFEE5 E896497C 520A7D64 B3FFD626 3C54AABD 523459B1 47E59401
  AF4415E2
  37A80E47 BE957700 392EAD42 EBE82BF2 B03F1875 33D91B6C 5C40FF8E
  4C606499
  A4B8B173 47CE6653 DA897A58 1C5A8514 699A793F 95147CE5 E4036BC3
  FCF0E795
  6B758C4D EC6FB390 60AE43B1 393B6CF9 B9D959AB 09B94067 102991D6
  69640739
  2AEEF189 780A64DF
  quit
  certificate ca 2AE3AB73C8740484449E6747E831C315
  3082035E 30820246 A0030201 0202102A E3AB73C8 74048444 9E6747E8
  31C31530
  0D06092A 864886F7 0D010105 0500300D 310B3009 06035504 03130243
  41301E17
  0D303830 34303131 30303733 305A170D 31333034 30313130 31373039
  5A300D31
  0B300906 03550403 13024341 30820122 300D0609 2A864886 F70D0101
  01050003
  82010F00 3082010A 02820101 00CBA99B 66BE2E13 686D17E1 78F65707
  ED7FC5BB
  8B185DFC ACB0528C 98E34EA1 D8740992 3BCA5499 0F4560D0 FC812612
  86F32EE4
  BE2C9F25 8B1E1559 48105CF4 2BA982F1 25796414 F2B0C807 6E674F3C
  26570EE5
  6F3B8050 8A9F2B04 950053E5 F5E89D83 3F845E55 B8FC417A 7E928666
  93DE60C0
  16B17729 AF9D47C2 B2F38BC9 5A0A9BDC 8F082F5D 9E1A1C52 F38E527C
  D3675A51
  172C6B22 8D50D782 CD7DFF60 0894C803 D4E383E1 59512FFD A94B6A1B
  0E20D5FF
  19AFDBBA 19557ECE BD6AD9C7 3A291286 6BB769E2 732C4077 4DC8C494
  03EC5B28


SVTT : Vi Th Mưu                     65
BÁO CÁO TTTN                                              IPSec VPN

  BD54E9F7 A99FBD6F 1C16D9F5 250F6130 3E84A20A A3DDBB0F 047B83E8
  3FE45FE8
  088B6F2E 61846DBE 97DD7FAA 73020301 0001A381 B93081B6 300B0603
  551D0F04
  04030201 86300F06 03551D13 0101FF04 05300301 01FF301D 0603551D
  0E041604
  14ED3F97 C57AB992 26BAFC48 4E7BD3C9 E85BF544 0A306506 03551D1F
  045E305C
  305AA058 A0568628 68747470 3A2F2F74 6F2D7A6E 6A6E346F 36726F30
  34682F43
  65727445 6E726F6C 6C2F4341 2E63726C 862A6669 6C653A2F 2F5C5C74
  6F2D7A6E
  6A6E346F 36726F30 34685C43 65727445 6E726F6C 6C5C4341 2E63726C
  30100609
  2B060104 01823715 01040302 0100300D 06092A86 4886F70D 01010505
  00038201
  01001E07 FB20C734 7FD7D5F4 C2164304 CCBC2F51 3F3D7DBA DBAD3574
  C2825357
  942BD488 4B83150F 434DC673 164E5819 F508E271 EBF9F4CC 57775094
  7C9A1D60
  44CE7B0B EC0498CD 96487BF9 8611577C F82DAE85 9FFC14B6 825706BA
  0B3B0A9E
  C9DA0A44 F02C2657 D3299546 46F9B79B 24005242 23177BA1 B368EA26
  9FF33103
  5C25436D 89439014 41158A39 D527AEF0 327EDA5B 2D58179B C4845291
  7346E26B
  D15CEEE0 54FEC609 E6AC91A1 81391F7F C1C89D2A 62DDFFE5 A160B233
  ED3AC12D
  109FF62E 6A753A64 821EDE52 CB4CEBE2 EBCC9E76 1C67E1E2 771EACBA
  1588B9CF
  FFD5FEBA 12336A71 8A8FD10C 4FA62140 31476CD7 AAFF8529 E76E9AE8
  A0BA5E50 0112
  quit
  !
  !
  crypto isakmp policy 10
   hash md5
  !
  crypto ipsec transform-set myset esp-des esp-md5-hmac
  !
  crypto map mymap 10 ipsec-isakmp
   set peer 172.30.2.2
   set transform-set myset
   match address 150
  !
  !
  interface FastEthernet0/0
   ip address 192.168.2.2 255.255.255.0
   duplex auto

SVTT : Vi Th Mưu                       66
BÁO CÁO TTTN                                                         IPSec VPN

    speed auto
   !
   interface FastEthernet0/1
    ip address 172.30.3.2 255.255.255.0
    duplex auto
    speed auto
    crypto map mymap
   !
   interface Serial0/1/0
    no ip address
    shutdown
    no fair-queue
    clock rate 2000000
   !
   ip route 0.0.0.0 0.0.0.0 172.30.3.1
   !
   !
   ip http server
   no ip http secure-server
   !
   access-list 150 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
   !
   !
   control-plane
   !
   !
   line con 0
    logging synchronous
   line aux 0
   line vty 0 4
    privilege level 15
    no login
   !
   scheduler allocate 20000 1000
   end

client2# show crypto ca certificates
Certificate
 Status: Available
 Certificate Serial Number: 618FFBFC000000000004
 Certificate Usage: General Purpose
 Issuer:
   cn=CA
 Subject:
   Name: client2.cisco.com
   cn=client1@vnpro.org


SVTT : Vi Th Mưu                           67
BÁO CÁO TTTN                                               IPSec VPN

  hostname=client2.cisco.com
 CRL Distribution Points:
  http://to-znjn4o6ro04h/CertEnroll/CA.crl
 Validity Date:
  start date: 10:10:13 UTC Apr 1 2008
  end date: 10:20:13 UTC Apr 1 2009
 Associated Trustpoints: CA

CA Certificate
 Status: Available
 Certificate Serial Number: 2AE3AB73C8740484449E6747E831C315
 Certificate Usage: Signature
 Issuer:
  cn=CA
Subject:
  cn=CA
 CRL Distribution Points:
  http://to-znjn4o6ro04h/CertEnroll/CA.crl
 Validity Date:
  start date: 10:07:30 UTC Apr 1 2008
  end date: 10:17:09 UTC Apr 1 2013
 Associated Trustpoints: CA

Th c hi n Ping t PC 2 ñ n PC 1 ki m tra k t n i:




  k t qu là 2 PC ñã k t n i ñư c v i nhau.




SVTT : Vi Th Mưu                         68
BÁO CÁO TTTN                                              IPSec VPN

3. Th c hành bài Lab v DMVPN




Các bư c th c hi n cho c u hình:

Bư c 1 : C u hình cho các Router th y nhau

Spoke 1:
Router#config terminal
Router(config)# hostname Spoke1
Spoke1(config)# interface f0/0
Spoke1(config-if)# ip address 172.30.1.1 255.255.255.0
Spoke1(config-if)# no shutdown
Spoke1(config-if)# exit
Spoke1(config)# interface f0/1
Spoke1(config-if)# ip address 192.168.1.1 255.255.255.0
Spoke1(config-if)# no shutdown
Spoke1(config-if)# exit
Spoke1(config)# ip route 0.0.0.0 0.0.0.0 172.30.1.2

Spoke 2:
Router# config terminal
Router(config)# hostname Spoke2
Spoke2(config)# interface f0/0
Spoke2(config-if)# ip address 172.30.3.1 255.255.255.0
Spoke2(config-if)# no shutdown
Spoke2(config-if)# exit

SVTT : Vi Th Mưu                          69
BÁO CÁO TTTN                                                        IPSec VPN

Spoke2(config)# interface f0/1
Spoke2(config-if)# ip address 192.168.2.1 255.255.255.0
Spoke2(config-if)# no shutdown
Spoke2(config-if)# exit
Spoke2(config)# ip route 0.0.0.0 0.0.0.0 172.30.3.2

HUB

Router#config terminal
Router(config)# hostname Hub
Hub(config)# interface f0/0
Hub(config-if)# ip address 172.30.2.1 255.255.255.0
Hub(config-if)# no shutdown
Hub(config-if)# exit
Hub(config)# interface loop back 0
Hub(config-if)# ip address 192.168.0.1 255.255.255.0
Hub(config-if)# no shutdown
Hub(config-if)# exit
Hub(config)# ip route 0.0.0.0 0.0.0.0 172.30.2.2

Th c hi n c u hình ñ i v i Spoke1
Bư c 2: c u hình phase 1 cho Spoke1
Spoke1(config)# crypto isakmp enable
Spoke1(config)# crypto isakmp policy 1
Spoke1(config-isakmp)# authentication pre-share
Spoke1(config-isakmp)# hash md5
Spoke1(config-isakmp)# exit
Spoke1(config)# crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0

Bư c 3: c u hình dmvpn cho Spoke1

Spoke1(config)# interface tunnel 0
Spoke1(config-if)# ip address 10.0.0.2 255.255.255.0
Spoke1(config-if)# ip mtu 1400
Spoke1(config-if)# ip nhrp authentication cisco47
Spoke1(config-if)# ip nhrp map 10.0.0.1 172.30.2.1
Spoke1(config-if)# ip nhrp hold-time 600
Spoke1(config-if)# ip nhs 10.0.0.1
Spoke1(config-if)# no ip next-hop-self eigrp 1
Spoke1(config-if)# ip map multicast 172.30.2.1
Spoke1(config-if)# ip nhrp network-id 100
Spoke1(config-if)# tunnel source f0/0
Spoke1(config-if)# tunnel key 1000
Spoke1(config-if)# tunnel mode gre multipoint
Spoke1(config-if)# tunnel protection ipsec profile dmvpn


SVTT : Vi Th Mưu                          70
BÁO CÁO TTTN                                                         IPSec VPN


Bư c 4: c u hình phase 2 cho Spoke1

Spoke1(config)# crypto ipsec transform-set myset esp-des esp-md5-hmac
Spoke1(config)# crypto map dmvpn local-address f0/0
Spoke1(config)# crypto map dmvpn 10 ipsec-isakmp
Spoke1(config-crypto-map)# set peer 172.30.2.1
Spoke1(config-crypto-map)# set security-association level per-host
Spoke1(config-crypto-map)# set transform-set myset
Spoke1(config-crypto-map)# match address 101
Spoke1(config-crypto-map)# exit
Spoke1(config)# access-list 101 permit gre 172.30.1.0 0.0.0.255 host 172.30.2.1

Bư c 5: ñ nh tuy n dùng giao th c EIGRP

Spoke1(config)# router eigrp 1
Spoke1(config-router)# network 10.0.0.0 0.0.0.255
Spoke1(config-router)# network 192.168.1.0 0.0.0.255
Spoke1(config-router)# no auto-summary

Th c hi n c u hình ñ i v i Spoke2

Bư c 2: c u hình phase 1 cho Spoke2
Spoke2(config)# crypto isakmp enable
Spoke2(config)# crypto isakmp policy 1
Spoke2(config-isakmp)# authentication pre-share
Spoke2(config-isakmp)# hash md5
Spoke2(config-isakmp)# exit
Spoke2(config)# crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0

Bư c 3: c u hình dmvpn cho Spoke2

Spoke2(config)# interface tunnel 0
Spoke2(config-if)# ip address 10.0.0.3 255.255.255.0
Spoke2(config-if)# ip mtu 1400
Spoke2(config-if)# ip nhrp authentication cisco47
Spoke2(config-if)# ip nhrp map 10.0.0.1 172.30.2.1
Spoke2(config-if)# ip nhrp hold-time 600
Spoke2(config-if)# ip nhs 10.0.0.1
Spoke2(config-if)# no ip next-hop-self eigrp 1
Spoke2(config-if)# ip map multicast 172.30.2.1
Spoke2(config-if)# ip nhrp network-id 100
Spoke2(config-if)# tunnel source f0/0
Spoke2(config-if)# tunnel key 1000
Spoke2(config-if)# tunnel mode gre multipoint
Spoke2(config-if)# tunnel protection ipsec profile dmvpn


SVTT : Vi Th Mưu                           71
BÁO CÁO TTTN                                                         IPSec VPN


Bư c 4: c u hình phase 2 cho spoke2

Spoke2(config)# crypto ipsec transform-set myset esp-des esp-md5-hmac
Spoke2(config)# crypto map dmvpn local-address f0/0
Spoke2(config)# crypto map dmvpn 10 ipsec-isakmp
Spoke2(config-crypto-map)# set peer 172.30.2.1
Spoke2(config-crypto-map)# set security-association level per-host
Spoke2(config-crypto-map)# set transform-set myset
Spoke2(config-crypto-map)# match address 101
Spoke2(config-crypto-map)# exit
Spoke2(config)# access-list 101 permit gre 172.30.3.0 0.0.0.255 host 172.30.2.1

Bư c 5: ñ nh tuy n dùng giao th c EIGRP

Spoke2(config)# router eigrp 1
Spoke2(config-router)# network 10.0.0.0 0.0.0.255
Spoke2(config-router)# network 192.168.2.0 0.0.0.255
Spoke2(config-router)# no auto-summary

Th c hi n c u hình cho HUB

Router(config)# hostname Hub
Hub(config)# crypto isakmp enable
Hub(config)# crypto isakmp policy 1
Hub(config-isakmp)# authentication pre-share
Hub(config-isakmp)# hash md5
Hub(config-isakmp)# exit
Hub(config)# crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0
Hub(config)# crypto ipsec transform-set myset esp-des esp-md5-hmac

# t o IPSec profile
Hub(config)# crypto ipsec profile dmvpn
Hub(config-profile)# set transform-set myset
Hub(config)# interface tunnel 0

# c u hình dmvpn
Hub(config-if)# ip address 10.0.0.1 255.255.255.0
Hub(config-if)# ip mtu 1400
Hub(config-if)# ip nhrp authentication cisco47
Hub(config-if)# ip nhrp multicast dynamic
Hub(config-if)# ip nhrp hold-time 600
Hub(config-if)# tunnel source f0/0
Hub(config-if)# tunnel mode gre multipoint
Hub(config-if)# tunnel key 1000
Hub(config-if)# tunnel protection ipsec profile dmvpn


SVTT : Vi Th Mưu                           72
BÁO CÁO TTTN                                           IPSec VPN

Hub(config-if)# exit
Hub(config)# interface f0/1
Hub(config-if)# ip address 192.168.0.1 255.255.255.0
Hub(config-if)# no shutdown
Hub(config-if)# exit
Hub(config)# interface f0/0
Hub(config-if)# ip address 172.30.2.1 255.255.255.0
Hub(config-if)# no shutdown
Hub(config-if)# exit

# ñ nh tuy n dùng giao th c EIGRP
Hub(config)# router eigrp 1
Hub(config-router)# network 10.0.0.0 0.0.0.255
Hub(config-router)# network 192.168.0.0 0.0.0.255
Hub(config-router)# no auto-summary

Ki m tra k t qu
Th c hi n ping t PC1 ñ n PC2




Th c hi n Ping t PC1 ñ n 192.168.0.1




SVTT : Vi Th Mưu                         73
BÁO CÁO TTTN            IPSec VPN




SVTT : Vi Th Mưu   74

				
DOCUMENT INFO
Shared By:
Stats:
views:384
posted:4/21/2011
language:Vietnamese
pages:74
Description: MCSA training kit