Tweet
CẤU HÌNH VPN SITE TO SITE ESP MODE TUNNEL TRÊN FIREWALL ASA
Sơ đồ cấu hình VPN SITE TO SITE TỪ LAN 192.168.2.0 ĐẾN LAN 172.16.2.0 .Với các dãy địa chỉ ip được hoạch định như ảnh , ta tiến hành cấu hình.
Bước 1: Đặt ip cho các thiết bị router theo hoạch định.
Bước 2: Đặt ip cho các firewall ASA như sau :
Các cổng còn lại ta tiến hành cấu hình tương tự.
Bước 3: Tiến hành cấu hình định tuyến ở nhánh Lan của ASA3
Định tuyến trên router R1 các lớp mạng 192.168.2.0 và 192.168.5.0
Trên firewall ASA3 ,chúng ta chỉ nên quảng bá 1 lớp mạng thuộc Inside 192.168.5.0 , không nên thêm các quảng bá lớp mạng vùng DMZ và management lan vào ospf.
Trên firewall ASA 3 và 4 ta tiến hành cấu hình default route sang next hop là R2 ( ở đây được xem là ISP router).
Trên router ISP là R2 , chúng ta không cấu hình thêm bất kỳ tập lệnh nào về route nữa.Và bảng định tuyến R2 như sau :
Bắt đầu cấu hình vpn + ipsec
Bước 4 (pha 1): Chúng ta cấu hình lựa chọn việc vận chuyển khóa mật mã giữa 2 firewall VPN . Ở đây ta chọn IKEV1 với cổng ra outside1 , sử dụng preshare key được mã hóa 3des và hàm băm md5.
Tiếp theo ta cấu hình Ipsec theo mode tunnel (l2l tức vpn lan to lan ), chỉ định trỏ vào ip public của phía vpn router đối phương ( ở đây là ASA4) với preshare key cisco123.
Bước 5: Tạo 2 object chỉ định 2 lớp mạng Inside và lớp mạng trỏ tới bên Lan đối phương.
Bước 6: Tạo 1 access list permit 2 lớp object trên
Câu lệnh là access-list VPN_TRAFFIC extended permit ip object INSIDE_NETWORK object REMOTE_NETWORK
Bước 7 ( pha 2): Thực hiện cấu hình giao thức đóng gói bảo vệ IPSEC ở đây chúng ta chọn ESP (Encapsulation security protocol) với giao thức mã hóa AES 256 bit và hàm băm SHA . Sau đó map với access list vừa tạo ở trên và cổng thiết lập Tunnel ra( nơi bắt đầu cấu tạo đường hầm) là outside1.
Bước 8: Tiến hành cấu hình tương tự cho firewall ASA2
Bước 9: Cấu hình permit ICMP ( cho phép ping) trên cả 2 firewall ASA.
Nghiệm thu : Tiến hành kiểm tra giao thức VPN đã thiết lập thành công hay chưa bằng cách ping ( gửi gói tin ICMP) từ mạng lan site 1 192.168.2.0/24 sang lan site 2 172.16.2.0/24
Ở hình trên ta có thể quan sát được cả 2 lớp mạng đã thông nhau và firewall báo log về đã thiết lập vận chuyển khóa thành công sang peer 220.0.0.4( chính là ASA 4). Để chứng minh VPN hoạt động theo đúng đường hầm mà không phải đi theo dạng thông thường thiếu an toàn , ta xem việc bắt gói tin qua Wireshark.
Như ta đã quan sát ở trên, gói ICMP chúng ta gửi đi ( khi ping từ máy tính 192.168.2.10 sang 172.16.2.10) đã được đóng gói an toàn qua giao thức IPSEC bảo mật ESP . Mode IPSEC VPN ở đây là Tunnel ( đường hầm) vì gói tin đã được đóng gói lại một IP header mới (Ip source và dest ) chính là ip public của 2 cổng outside1 của ASA3 và outside của ASA4 thay vì source 192.168.2.10 và dest 172.16.2.10.