Tweet
5.1. Mô hình mạng:
- Thiết bị bao gồm 3 router Cisco 2800 và 2 PC
Hình 5.1 -Router Cisco 2800
- Mô hình:
5.2. Yêu cầu:
Thực hiện IPSec- VPN giữa hai chi nhánh (hai site) đảm bảo hai site phải giao tiếp được với nhau qua IPSec Tunnel.
5.3. Các bước cấu hình:
- Cấu hình chính sách ISAKMP/IKE phase 1
- Cấu hình IPSec Transform-set( ISAKMP/IKE phase 2)
- Tạo Access control list ACL
- Cấu hình crypto map
- Đưa crypto map lên interface
5.4. Triển khai chi tiết:
Bước 1: Cấu hình cơ bản trên từng Router:
-Router ISP: chỉ cấu hình hostname và IP của các interface như mô hình trên
R2(config)#hostname ISP
ISP(config)#interface s0/0
ISP(config-if)#ip address 150.1.1.2 255.255.255.0
ISP(config-if)#no shutdown
ISP(config)#interface s0/1
ISP(config-if)#ip address 151.1.1.2 255.255.255.0
ISP(config-if)#no shutdown
Hình 5.3 – Cấu hình các interface trên router ISP
-Router SAIGON và VUNGTAU, cấu hình hostname và ip theo mô hình, sau đó cấu hình default route.
R1(config)#hostname SAIGON
SAIGON(config)#interface s0/0
SAIGON(config-if)#ip address 150.1.1.1 255.255.255.0
SAIGON(config-if)#no shutdown
SAIGON(config)#interface loopback 1
SAIGON(config-if)#ip address 192.168.1.1 255.255.255.0
SAIGON(config)#ip route 0.0.0.0 0.0.0.0 150.1.1.2
Hình 5.4 – Cấu hình các interface trên router SAIGON
R3(config)#hostname VUNGTAU
VUNGTAU(config)#interface s0/0
VUNGTAU(config-if)#ip address 151.1.1.1 255.255.255.0
VUNGTAU(config-if)#no shutdown
VUNGTAU(config)#interface loopback 2
VUNGTAU(config-if)#ip address 192.168.2.1 255.255.255.0
VUNGTAU(config)#ip route 0.0.0.0 0.0.0.0 151.1.1.2
Hình 5.5 – Cấu hình Các interface trên router VUNGTAU
Bước 2: Cấu hình ISAKMP/IKE phase 1
Ở bước này ta quy định các thông số bảo mật của ISAKMP SA gồm:
- Phương pháp chứng thực
- Thuật toán hash
- Thuật toán mã hóa
- Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
Trên router SAIGON:
SAIGON(config)#crypto isakmp policy 10
SAIGON(config-isakmp)#hash md5 // thuật toán hash
SAIGON(config-isakmp)#encryption des // thuật toán mã hoá
SAIGON(config-isakmp)#group 2 // số nhóm (version) Diffie-Hellman
SAIGON(config-isakmp)#authentication pre-share // Phương thức chứng thực
SAIGON(config)#crypto isakmp key 0 VPN123 address 151.1.1.1 // Xác định thông tin key và peer
Kết quả khi “ show crypto isakmp policy”:
Hình 5.6 – Cấu hình IKE policy trên router SAIGON
Trên router VUNGTAU:
VUNGTAU(config)#crypto isakmp policy 10
VUNGTAU(config-isakmp)#hash md5
VUNGTAU(config-isakmp)#encryption des
VUNGTAU(config-isakmp)#group 2
VUNGTAU(config-isakmp)#authentication pre-share
VUNGTAU(config)#crypto isakmp key 0 VPN123 address 150.1.1.1
Kết quả khi “ show crypto isakmp policy”:
Hình 5.7- Cấu hình IKE policy trên router VUNGTAU
Bước 3: Cấu hình chính sách IPSec (IKE phase 2)
Thiết lập IPSec SA dựa trên những thông số của phase 1
SAIGON(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des //chọn giao thức ESP để đóng gói dữ liệu
SAIGON(config)#crypto ipsec security-association lifetime seconds 1800 //thời gian tồn tại của IPSec SA
VUNGTAU(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des
VUNGTAU(config)#crypto ipsec security-association lifetime seconds 1800
Bước 4: Tạo Access control list ACL
Xác định luồng dữ liệu nào sẽ được mã hoá bảo vệ
SAIGON(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
VUNGTAU(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Bước 5: Cấu hình Crypto map
SAIGON(config)#crypto map MYMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
SAIGON(config-crypto-map)#set peer 151.1.1.1
SAIGON(config-crypto-map)#set transform-set MYSET
SAIGON(config-crypto-map)#match address 100
VUNGTAU(config)#crypto map MYMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
VUNGTAU(config-crypto-map)#set peer 150.1.1.1
VUNGTAU(config-crypto-map)#set transform-set MYSET
VUNGTAU(config-crypto-map)#match address 100
Bước 6: Đưa crypto map vào interface
SAIGON(config)#interface s0/0
SAIGON(config-if)#crypto map MYMAP
VUNGTAU(config)#interface s0/0
VUNGTAU(config-if)#crypto map MYMAP
Cấu hình đầy đủ của Router SAIGON:
Hình 5.8 - Cấu hình đầy đủ của Router SAIGON 1/4
Hình 5.9 - Cấu hình đầy đủ của Router SAIGON 2/4
Hình 5.10 - Cấu hình đầy đủ của Router SAIGON 3/4
Hình 5.11 - Cấu hình đầy đủ của Router SAIGON 4/4
Cấu hình đầy đủ của Router VUNGTAU:
Hình 5.12 -Cấu hình đầy đủ của Router VUNGTAU 1/4
Hình 5.13 -Cấu hình đầy đủ của Router VUNGTAU 2/4
Hình 5.14 -Cấu hình đầy đủ của Router VUNGTAU 3/4
Hình 5.15 -Cấu hình đầy đủ của Router VUNGTAU 4/4
5.5. Kiểm tra:
1. Kiểm tra kết nối giữa 2 LAN 192.168.1.0/24 và 192.168.2.0/24
Hình 5.16- Kiểm tra kết nối giữa 2 LAN thành công 1/2
Như vậy 2 LAN .168.1.0/24 và 192.168.2.0/24 đã có thể giao tiếp được với nhau.
Hình 5.17 - Kiểm tra kết nối giữa 2 LAN thành công 2/2
2. Kiểm tra crypto map:
Hình 5.18 – Kiểm tra crypto map
3. Kiểm tra ISAKMP SA:
Hình 5.19 – Kiểm tra ISAKMP SA
4. Kiểm tra IPSec SA:
Hình 5.20 – Kiểm tra IPSec SA 1/2
Hình 5.21 – Kiểm tra IPSec SA 2/2
- Thiết bị bao gồm 3 router Cisco 2800 và 2 PC
- Mô hình:
5.2. Yêu cầu:
Thực hiện IPSec- VPN giữa hai chi nhánh (hai site) đảm bảo hai site phải giao tiếp được với nhau qua IPSec Tunnel.
5.3. Các bước cấu hình:
- Cấu hình chính sách ISAKMP/IKE phase 1
- Cấu hình IPSec Transform-set( ISAKMP/IKE phase 2)
- Tạo Access control list ACL
- Cấu hình crypto map
- Đưa crypto map lên interface
5.4. Triển khai chi tiết:
Bước 1: Cấu hình cơ bản trên từng Router:
-Router ISP: chỉ cấu hình hostname và IP của các interface như mô hình trên
R2(config)#hostname ISP
ISP(config)#interface s0/0
ISP(config-if)#ip address 150.1.1.2 255.255.255.0
ISP(config-if)#no shutdown
ISP(config)#interface s0/1
ISP(config-if)#ip address 151.1.1.2 255.255.255.0
ISP(config-if)#no shutdown
-Router SAIGON và VUNGTAU, cấu hình hostname và ip theo mô hình, sau đó cấu hình default route.
R1(config)#hostname SAIGON
SAIGON(config)#interface s0/0
SAIGON(config-if)#ip address 150.1.1.1 255.255.255.0
SAIGON(config-if)#no shutdown
SAIGON(config)#interface loopback 1
SAIGON(config-if)#ip address 192.168.1.1 255.255.255.0
SAIGON(config)#ip route 0.0.0.0 0.0.0.0 150.1.1.2
R3(config)#hostname VUNGTAU
VUNGTAU(config)#interface s0/0
VUNGTAU(config-if)#ip address 151.1.1.1 255.255.255.0
VUNGTAU(config-if)#no shutdown
VUNGTAU(config)#interface loopback 2
VUNGTAU(config-if)#ip address 192.168.2.1 255.255.255.0
VUNGTAU(config)#ip route 0.0.0.0 0.0.0.0 151.1.1.2
Hình 5.5 – Cấu hình Các interface trên router VUNGTAU
Bước 2: Cấu hình ISAKMP/IKE phase 1
Ở bước này ta quy định các thông số bảo mật của ISAKMP SA gồm:
- Phương pháp chứng thực
- Thuật toán hash
- Thuật toán mã hóa
- Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
Trên router SAIGON:
SAIGON(config)#crypto isakmp policy 10
SAIGON(config-isakmp)#hash md5 // thuật toán hash
SAIGON(config-isakmp)#encryption des // thuật toán mã hoá
SAIGON(config-isakmp)#group 2 // số nhóm (version) Diffie-Hellman
SAIGON(config-isakmp)#authentication pre-share // Phương thức chứng thực
SAIGON(config)#crypto isakmp key 0 VPN123 address 151.1.1.1 // Xác định thông tin key và peer
Kết quả khi “ show crypto isakmp policy”:
Hình 5.6 – Cấu hình IKE policy trên router SAIGON
Trên router VUNGTAU:
VUNGTAU(config)#crypto isakmp policy 10
VUNGTAU(config-isakmp)#hash md5
VUNGTAU(config-isakmp)#encryption des
VUNGTAU(config-isakmp)#group 2
VUNGTAU(config-isakmp)#authentication pre-share
VUNGTAU(config)#crypto isakmp key 0 VPN123 address 150.1.1.1
Kết quả khi “ show crypto isakmp policy”:
Bước 3: Cấu hình chính sách IPSec (IKE phase 2)
Thiết lập IPSec SA dựa trên những thông số của phase 1
SAIGON(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des //chọn giao thức ESP để đóng gói dữ liệu
SAIGON(config)#crypto ipsec security-association lifetime seconds 1800 //thời gian tồn tại của IPSec SA
VUNGTAU(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des
VUNGTAU(config)#crypto ipsec security-association lifetime seconds 1800
Bước 4: Tạo Access control list ACL
Xác định luồng dữ liệu nào sẽ được mã hoá bảo vệ
SAIGON(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
VUNGTAU(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Bước 5: Cấu hình Crypto map
SAIGON(config)#crypto map MYMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
SAIGON(config-crypto-map)#set peer 151.1.1.1
SAIGON(config-crypto-map)#set transform-set MYSET
SAIGON(config-crypto-map)#match address 100
VUNGTAU(config)#crypto map MYMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
VUNGTAU(config-crypto-map)#set peer 150.1.1.1
VUNGTAU(config-crypto-map)#set transform-set MYSET
VUNGTAU(config-crypto-map)#match address 100
Bước 6: Đưa crypto map vào interface
SAIGON(config)#interface s0/0
SAIGON(config-if)#crypto map MYMAP
VUNGTAU(config)#interface s0/0
VUNGTAU(config-if)#crypto map MYMAP
Cấu hình đầy đủ của Router SAIGON:
Hình 5.8 - Cấu hình đầy đủ của Router SAIGON 1/4
Hình 5.9 - Cấu hình đầy đủ của Router SAIGON 2/4
Hình 5.10 - Cấu hình đầy đủ của Router SAIGON 3/4
Hình 5.11 - Cấu hình đầy đủ của Router SAIGON 4/4
Cấu hình đầy đủ của Router VUNGTAU:
Hình 5.12 -Cấu hình đầy đủ của Router VUNGTAU 1/4
Hình 5.13 -Cấu hình đầy đủ của Router VUNGTAU 2/4
Hình 5.14 -Cấu hình đầy đủ của Router VUNGTAU 3/4
Hình 5.15 -Cấu hình đầy đủ của Router VUNGTAU 4/4
5.5. Kiểm tra:
1. Kiểm tra kết nối giữa 2 LAN 192.168.1.0/24 và 192.168.2.0/24
Hình 5.16- Kiểm tra kết nối giữa 2 LAN thành công 1/2
Như vậy 2 LAN .168.1.0/24 và 192.168.2.0/24 đã có thể giao tiếp được với nhau.
Hình 5.17 - Kiểm tra kết nối giữa 2 LAN thành công 2/2
2. Kiểm tra crypto map:
Hình 5.18 – Kiểm tra crypto map
3. Kiểm tra ISAKMP SA:
Hình 5.19 – Kiểm tra ISAKMP SA
4. Kiểm tra IPSec SA:
Hình 5.20 – Kiểm tra IPSec SA 1/2
Hình 5.21 – Kiểm tra IPSec SA 2/2
Comment