Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Công nghệ ipsec_vpn trên thiết bị cisco (Demo)

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Công nghệ ipsec_vpn trên thiết bị cisco (Demo)

    CHƯƠNG 4: XÂY DỰNG MÔ HÌNH TRÊN THIẾT BỊ CISCO
    4.1 Mô hình mạng
    • Thiết bị bao gồm 3 router Cisco 2800 và 2 PC


    Hình 4.1: Router Cisco 2800
    • Mô hình:


    Hình 4.2 Mô hình IPSec hai Site A và B
    Quy hoạch địa chỉ Ip và kết nối vật lý
    Router 1 192.168.12.1/24 ( f1/0) và 172.16.1.1/24 (f1/1)
    Router 2 192.168.12.2/24 (f1/0) và 192.168.23.2/24 (f1/1)
    Router 3 192.168.23.3/24 (f1/0) và 172.16.3.3/24 (f1/1)
    PC1 172.16.1.3/24
    PC2 172.16.3.1/24

    4.2 Yêu cầu
    Thực hiện IPSec- VPN giữa hai chi nhánh (hai site) đảm bảo hai site phải giao tiếp được với nhau qua IPSec Tunnel.

    4.3 Các bước cấu hình IPSec site-to-site VPN
    Cấu hình chính sách ISAKMP/IKE phase 1
    Cấu hình IPSec Transform-set( ISAKMP/IKE phase 2)
    Tạo Access control list ACL
    Cấu hình crypto map
    Đưa crypto map lên interface

    4.4 Triển khai chi tiết:

    Bước 1 Cấu hình địa chỉ Ip trên từng router theo mô hình quy hoạch IP
    Định tuyến theo EIGRP để đảm bảo mạng thông nhau
    R1(config)# router eigrp 1
    R1(config-router)# network 172.16.0.0
    R1(config-router)# network 192.168.12.0
    R1(config-router)# no auto-summary

    R2(config)#router eigrp 1
    R2(config-router)#net 192.168.12.0
    R2(config-router)#net 192.168.23.0
    R2(config-router)#no auto-summary

    R3(config)#router eigrp 1
    R3(config-router)#net 192.168.23.0
    R3(config-router)#network 172.16.0.0
    R3(config-router)#no auto-summary
    Kết quả định tuyến



    Kết quả mạng thông nhau:



    Bước 2 Cấu hình ISAKMP/IKE phase 1
    R1(config)# crypto isakmp enable------------- bật chức năng IKE
    R1(config)#crypto isakmp policy 10
    R1(config-isakmp)#encryption 3des
    R1(config-isakmp)#authentication pre-share
    R1(config-isakmp)#hash sha
    R1(config-isakmp)#group 5
    R1(config-isakmp)#lifetime 3600
    R1(config-isakmp)#exit
    R1(config)# crypto isakmp key cisco123 add 192.168.23.3
    R3(config)#crypto isakmp enable
    R3(config)#crypto isakmp policy 10
    R3(config-isakmp)#authentication pre-share
    R3(config-isakmp)#encryption 3des
    R3(config-isakmp)#hash sha
    R3(config-isakmp)#group 5
    R3(config-isakmp)#lifetime 3600
    R3(config)# crypto isakmp key cisco123 add 192.168.12.1

    Kết quả khi “ show crypto isakmp policy”



    Bước 3 Cấu hình Transform-set
    R1(config)#crypto ipsec transform-set TSET esp-3des esp-sha-hmac ah-sha-hmac
    R1(config)#crypto ipsec security-association lifetime seconds 1800

    R3(config)#crypto ipsec transform-set TSET esp-3des esp-sha-hmac ah-sha-hmac
    R3(config)#crypto ipsec security-association lifetime seconds 1800

    Bước 4 Tạo ACL
    R1(config)#access-list 120 permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255
    R3(config)#access-list 120 permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255

    Bước 5 Cấu hình crypto map
    R1(config)#crypto map CMAP 10 ipsec-isakmp
    % NOTE: This new crypto map will remain disabled until a peer
    and a valid access list have been configured.
    R1(config-crypto-map)#match add 120
    R1(config-crypto-map)#set peer 192.168.23.3
    R1(config-crypto-map)#set pfs group5
    R1(config-crypto-map)#set transform-set TSET
    R1(config-crypto-map)#set security-association lifetime seconds 900

    R3(config)#crypto map CMAP 10 ipsec-isakmp
    % NOTE: This new crypto map will remain disabled until a peer
    and a valid access list have been configured.
    R3(config-crypto-map)#match address 120
    R3(config-crypto-map)#set peer 192.168.12.1
    R3(config-crypto-map)#set pfs group5
    R3(config-crypto-map)#set transform-set TSET
    R3(config-crypto-map)#set security-association lifetime seconds 900

    Bước 6 Đưa crypto map vào interface
    R1(config)#int f1/0
    R1(config-if)#crypto map CMAP
    R3(config)#int f1/0
    R3(config-if)#crypto map CMAP

    4.5 Kiểm tra cách cấu hình

    • Kiểm tra cấu hình IPSec





    • Kiểm tra SAR1#show crypto isakmp sa

    Ipv4 Crypto ISAKMP SA
    dst src state conn-id slot status
    192.168.12.1 192.168.23.3 QM_IDLE 1001 0 ACTIVE

    R1#show crypto ipsec sa
    interface: FastEthernet1/0
    Crypto map tag: CMAP, local addr 192.168.12.1
    protected vrf: (none)
    local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)
    remote ident (addr/mask/prot/port): (172.16.3.0/255.255.255.0/0/0)
    current_peer 192.168.23.3 port 500
    PERMIT, flags={origin_is_acl,}
    #pkts encaps: 38, #pkts encrypt: 38, #pkts digest: 38
    #pkts decaps: 38, #pkts decrypt: 38, #pkts verify: 38
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. Failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
    local crypto endpt.: 192.168.12.1, remote crypto endpt.: 192.168.23.3
    path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
    current outbound spi: 0xF568212D(4117242157)
    inbound esp sas:
    spi: 0xF4E7C9B9(4108831161)
    transform: esp-3des esp-sha-hmac ,
    in use settings ={Tunnel, }
    conn id: 2001, flow_id: NETGX:1, crypto map: CMAP
    sa timing: remaining key lifetime (k/sec): (4439653/217)
    IV size: 8 bytes
    replay detection support: Y
    Status: ACTIVE
    inbound ah sas:
    spi: 0x7ED12E4C(2127638092)
    transform: ah-sha-hmac ,
    in use settings ={Tunnel, }
    conn id: 2001, flow_id: NETGX:1, crypto map: CMAP
    sa timing: remaining key lifetime (k/sec): (4439653/214)
    replay detection support: Y
    Status: ACTIVE
    inbound pcp sas:
    outbound esp sas:
    spi: 0xF568212D(4117242157)
    transform: esp-3des esp-sha-hmac ,
    in use settings ={Tunnel, }
    conn id: 2002, flow_id: NETGX:2, crypto map: CMAP
    sa timing: remaining key lifetime (k/sec): (4439653/214)
    IV size: 8 bytes
    replay detection support: Y
    Status: ACTIVE
    outbound ah sas:
    spi: 0xD6B597F6(3602225142)
    transform: ah-sha-hmac ,
    in use settings ={Tunnel, }
    conn id: 2002, flow_id: NETGX:2, crypto map: CMAP
    sa timing: remaining key lifetime (k/sec): (4439653/213)
    replay detection support: Y
    Status: ACTIVE
    outbound pcp sas:
    • Kiểm tra thuật toán

    R1#show crypto engine connections active
    Crypto Engine Connections
    ID Interface Type Algorithm Encrypt Decrypt IP-Address
    1001 Fa1/0 IKE SHA+3DES 0 0 192.168.12.1
    2003 Fa1/0 IPsec SHA+3DES+SHA 0 19 192.168.12.1
    2004 Fa1/0 IPsec SHA+3DES+SHA 19 0 192.168.12.1
    • Kiểm tra hoạt động trao đổi khóa IKE


    Đầu tiên gói tin ICMP kích hoạt quá trình ISAKMP vì đây là những traffic khớp với việc tạo ACL. Trước khi quá tình này thực sự bắt đầu gửi IKE đến các router peer thì phải kiểm tra SA cho khớp với traffic đó.Việc kiểm tra này chống lại IPSec SA mà không có IKE SA.Vì vậy, SA không có nghĩa là gói tin IKE phải gửi đi.

    Các router đã cố gắng tìm thấy bất kỳ SA IPSec kết hợp kết nối gửi đi nhưng không có giá trị SA nào được tìm thấy trong cơ sở dữ liệu Hiệp hội An ninh(SADB) trên router.


    IKE phase 1( Main mode) message1
    Theo mặc định, chế độ chính IKE được sử dụng vì vậy có 6 message cho phase 1. Trong message 1 Aggressive mode nói rằng không thể bắt đầu, tuy nhiên nó không có nghĩa là có một số lỗi, nó chỉ có nghĩa là chế độ này không được cấu hình trên router local (R1). Vì thế, router sẽ kiểm tra chính sách ISAKMP đã được cấu hình và thấy rằng có PSK (khóa chia sẻ trước) cấu hình xác thực. Nó phải kiểm tra nếu có một key cho các peer cấu hình là tốt. Sau đó các gói tin IKE 1 là gửi đến địa chỉ IP của các peer trên cổng UDP 50 ( mặc định). Gói chứa chính sách ISAKMP được cấu hình sẽ được lựa chọn bởi các peer


    ->Các Router đã tìm thấy preshare-key. ISAKMP sẽ sử dụng key này sử dụng xác thực các peer ,một trong giai đoạn cuối của phase 1

    ->Các router bắt đầu trao đổi IKE được gọi là “initiator” (người khởi xướng). Các router đáp ứng yêu cầu IKE được gọi là “ responder”(trả lời). Việc initiator (R1) đã gửi cùng với chính sách ISAKMP nhà cung cấp cụ thể ID đó là một phần của gói tải trọng IKE. MM_NO_STATE chỉ ra ISAKMP SA đã được tạo ra, nhưng không có gì khác đã xảy ra.

    IKA phase ( Quick mode ) message 2
    Phase 1 này đã có một gói tin phản hồi từ peer. Đây là lần đầu tiên nơi mà traffic có thể đi sai và đây là vấn đề thường gặp nhất khi cấu hình VPN. Các gói tin nhận được có chứa SA được lựa chọn bởi các peer và một số thông tin hữu ích như nhà cung cấp ID ( vendor ID) .Những nhà cung cấp trọng tải cụ thể được sử dụng NAT và duy trì keepalives (DPD). Nếu trên router cấu hình ISAKMP khớp với nhau thì quá trình thiết lập đường hầm vấn tiếp tục. Ngược lại sẽ bị rớt gói.

    Các trả lời (R2) đã phản ứng với gói tin có chứa IKE đàm phán ISAKMP chính sách cùng với các ID nhà cung cấp cụ thể của nó. Lưu ý rằng trạng thái IKE Main mode vẫn là MM_NO_STATE.

    ->Các router xử lý các thông số ISAKMP đã được gửi như trả lời. Nhà cung cấp ID ( vendor ID) xử lý để xác định xem peer hỗ trợ ví dụ như NAT-Traversal, Dead
    Peer Detection.
    “ Att are acceptable” chỉ ra các peer khớp ISAKMP


    IKE phase 1 ( Quick mode) message 3
    Message 3 gửi gói tin có chứa KE (Key Exchange) thông tin cho DH (DiffieHellman) quá trình trao đổi khóa an toàn.



    IKE phase 1 (Quick mode) message 4

    Message 4 thông báo đã nhận được từ các peer. Thông báo này chứa tải trọng KE và căn cứ vào đó thông tin cả hai peer có thể tạo ra một ky phiên thường được sử dụng trong việc đảm bảo hơn nữa truyền thông. Preshare-key được cấu hình cho peer được sử dụng trong tính toán này.


    IKE phase 1 ( Quick mode) message 5
    Message được sử dụng để gửi đi thông tin xác thực các peer. Thông tin này được truyền đi dưới sự bảo vệ của các bí mật chia sẻ chung



    “MM_KEY_EXCH” chỉ ra rằng các peer đã trao đổi các phím Diffie-Hellman công cộng và đã tạo ra một bí mật chia sẻ. ISAKMP SA vẫn không được thẩm định. Lưu ý quá trình xác thực đã được chỉ mới bắt đầu.



    IKE phase 1 ( Quick mode) message 6
    Message 6 này kết thúc ISAKMP phase 1 và thay đổi thành IKE_P1_COMPLETE



    Lưu ý rằng quá trình xác thực peer vẫn còn trong sự tiến độ (MM_KEY_EXCH).Hãy nhớ rằng có cũng là một chế độ chính IKE mà không nhìn thấy được trong
    debug output. Đó là “MM_KEY_AUTH” mà chỉ ra rằng các ISAKMP SA đã đượcchứng thực. Nếu router bắt đầu trao đổi này, điều này chuyển trạng tháingay lập tức để QM_IDLE và một chế độ QM bắt đầu.


    IKE phase 2 ( Quick mode) message 1
    Router sẽ gửi ra các gói tin có chứa Proxy ID (mạng / máy chủ địa chỉ được bảo vệ bởi các đường hầm IPSec) và chính sách bảo mật đươc định rõ bởi Transform Set.

    IKE phase 2 ( Quick mode) message 2

    Message QM được thông báo từ các peer. Messsage chứa chính sách IPSec được chọn từ các peer và ID proxy của các peer đó. Nếu ID proxy khác nhau trên cả hai site của đường hầm thì traffic sẽ đi lạc hướng

    Trạng thái của IKE là “QM_IDLE”. Điều này cho thấy rằng ISAKMP SA là “ idle”. Trạng thái này vẫn chứng thực với peer của nó và có thể được trao đổi QM tiếp theo
    Nó ở trong trạng thái tĩnh.


    Router đang thương lượng thông số của đường hầm IPSec để sử dụng trong việc truyền traffic đi. Các thông số này được xác định bởi “crypto ipsec transformset”
    lệnh. Giá trị lifetime của IPSec SA có thể nhìn thấy tại thời điểm này.
    “Atts are acceptable” chỉ ra rằng các tham số IPSec đã biến đổi thiết lập phù hợp ở cả hai bên.


    Các proxy local (R1) và proxy remote (R2) được xác định. Điều này cho thấy nguồn và thiết lập các điểm đến trong crypto ACL trong đó xác định lưu lượng cho đi trên đường hầm IPSec


    Các IPSec SA đã được tạo ra và đưa vào SADB của router. Giá trị SPI cũng được sử dụng để chấm dứt phân biệt nhiều đường hầm trên cùng một router. Lưu ý rằng hai SPI giá trị tạo ra một đường hầm: một SPI cho SA inbound và một SPI cho SA outbound .Giá trị này được lắp vào phần đầu của gói tin ESP để định tuyến lại. Ở lần thứ hai bên của đường hầm, SPI giá trị đưa vào tiêu đề ESP cho phép các bộ định tuyến để tiếp cận các thông số và các khóa đã được đồng ý trong các cuộc đàm phán IKE .Giá trị SPI là một chỉ số của thực thể trong SADB của router.

    IKE phase 2 ( Quick mode) message 3
    Thông điệp cuối cùng kết thúc QM Sau khi hoàn thành phase 2 khóa phiên Ipsec có nguồn gốc từ chia sẻ bí mật DH. Điều này khóa phiên sẽ được sử dụng để mã hóa IPSec cho đến khi thời gian hết hạn.


    Quá trình thương lượng đã hoàn thành. Đường hầm đã được bật lên và traffic từ Site A có thể qua đường hầm đến Site B.
    Lâm Văn Tú
    Email :
    cntt08520610@gmail.com
    Viet Professionals Co. Ltd. (VnPro)
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 35124257 (5 lines)
    Fax (08) 35124314
    Tập tành bước đi....


Working...
X