Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Qui Trình Cấu Hình 4 Bước IPSec/VPN Trên Cisco IOS

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Qui Trình Cấu Hình 4 Bước IPSec/VPN Trên Cisco IOS

    Tác giả:(đang cập nhật)

    Qui Trình Cấu Hình 4 Bước IPSec/VPN Trên Cisco IOS
    Ta có thể cấu hình IPSec trên VPN qua 4 bước sau đây:
    1. Chuẩn bị cho IKE và IPSec
    2. Cấu hình cho IKE
    3. Cấu hình cho IPSec
    • Cấu hình dạng mã hóa cho gói dữ liệu
      Crypto ipsec transform-set
    • Cấu hình thời gian tồn tại của gói dữ liệu và các tùy chọn bảo mật khác
      Crypto ipsec sercurity-association lifetime
    • Tạo crytoACLs bằng danh sách truy cập mở rộng (Extended Access List)
      Crypto map
    • Cấu hình IPSec crypto maps
    • Áp dụng các crypto maps vào các cổng giao tiếp (interfaces)
      Crypto map map-name
4. Kiểm tra lại việc thực hiện IPSec
A. Cấu hình cho mã hóa dữ liệu:
- Sau đây bạn sẽ cấu hình Cisco IOS IPSec bằng cách sử dụng chính sách bảo mật IPSec (IPSec Security Policy) để định nghĩa các các chính sách bảo mật IPSec (transform set).
- Chính sách bảo mật IPSec (transform set) là sự kết hợp các cấu hình IPSec transform riêng rẽ được định nghĩa và thiết kế cho các chính sách bảo mật lưu thông trên mạng. Trong suốt quá trình trao đổi ISAKMP IPSec SA nếu xảy ra lỗi trong quá trình IKE Phase 2 quick mode, thì hai bên sẽ sử dụng transform set riêng cho việc bảo vệ dữ liệu riêng của mình trên đường truyền. Transform set là sự kết hợp của các nhân tố sau:
• Cơ chế cho việc chứng thực: chính sách AH
• Cơ chế cho việc mã hóa: chính sách ESP
• Chế độ IPSec (phương tiện truyền thông cùng với đường hầm bảo mật)
- Transform set bằng với việc kết hợp các AH transform, ESP transform và chế độ IPSec (hoặc cơ chế đường hầm bảo mật hoặc chế độ phương tiện truyền thông). Transform set giới hạn từ một cho tới hai ESP transform và một AH transform. Định nghĩa Transform set bằng câu lệnh cryto ipsec transform-set ở chế độ gobal mode. Và để xoá các cài đặt transform set dùng lệnh dạng no.
- Cú pháp của lệnh và các tham số truyền vào như sau:
crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]
- Các tham số của lệnh crypto ipsec transform-set:
- Bạn có thể cấu hình nhiều transform set và chỉ rõ một hay nhiều transform set trong mục crypto map. Định nghĩa các transform set trong mục crypto map được sử dụng trong trao đổi IPSec SA để bảo vệ dữ liệu được đinh nghĩa bởi ACL của mục crypto map. Trong suốt quá trình trao đổi, cả hai bên sẽ tìm kiếm các transform set giống nhau ở cả hai phiá. Khi mà các transform set được tìm thấy, nó sẽ được sử dụng để bảo vệ dữ liệu trên đường truyền như là một phần của các IPSec Sa ở cả 2 phía.
- Khi mà ISAKMP không được sử dụng để thiết lập các Sa, một transform set riêng rẽ sẽ được sử dụng. Transform set đó sẽ không được trao đổi.
- Thay đổi cấu hình Transform set:
B1: Xóa các tranform set từ crypto map
B2: Xóa các transform set trong chế độ cấu hình gobal mode
B3: Cấu hình lại transform set với những thay đổi
B4: Gán transform set với crypto map
B5: Xóa cơ sở dữ liệu SA (SA database)
B6: Theo dõi các trao đổi SA và chắc chắn nó họat động tốt
- Cấu hình cho việc trao đổi transform:
- Tranform set được trao đổi trong suốt chế độ quick mode trong IKE Phase 2 là những các transform set mà bạn cấu hình ưu tiên sử dụng. Bạn có thể cấu hình nhiều transform set và có thể chỉ ra một hay nhiều transform set trong mục crypto map. Cấu hình transform set từ những bảo mật thông thường nhỏ nhất giống như trong chính sách bảo mật của bạn. Những transform set được định nghĩa trong mục crypto map được sử dụng trong trao đổi IPSec SA để bảo vệ dữ liệu được định nghĩa bởi ACL của mục crypto map.
- Trong suốt quá trình trao đổi mỗi bên sẽ tìm kiếm các transform set giống nhau ở cả hai bên như minh họa ở hình trên. Các transform set của Router A được so sánh với một transform set của Router B và cứ tiếp tục như thế. Router A transform set 10, 20, 30 được so sánh với transform set 40 của Router B. Nếu mà không trả vể kết quả đúng thì tất cả các transform set của Router A sau đó sẽ được so sánh với transform set tiếp theo của Router B. Cuối cùng transform set 30 của Router A giống với transform set 60 của Router B. Khi mà transform set được tìm thấy, nó sẽ được chọn và áp dụng cho việc bảo vệ đường truyền như là một phần của IPSec SA của cả hai phía. IPSec ở mỗi bên sẽ chấp nhận một transform duy nhất được chọn cho mỗi SA.

(còn tiếp)

  • #2
    B. Cấu hình thời gian tồn tại của IPSec trong quá trình trao đổi:
    - IPSec SA được định nghĩa là thời gian tồn tại của IPSec SA trước khi thực hiện lại quá trình trao đổi tiếp theo. Cisco IOS hỗ trợ giá trị thời gian tồn tại có thể áp dụng lên tất cả các crypto map. Giá trị của global lifetime có thể được ghi đè với những mục trong crypto map.
    - Bạn có thể thay đổi giá trị thời gian tồn tại của IPSec SA bằng câu lệnh crypto ipsec security-association lifetime ở chế độ global configuration mode. Để trả về giá trị mặc định ban đầu sử dụng dạng câu lệnh no. Cấu trúc và các tham số của câu lệnh được định nghĩa như sau:
    cryto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes}
    - Cisco khuyến cáo bạn nên sử dụng các giá trị mặc định. Bản thân thời gian tồn tại của mỗi IPSec SA có thể được cấu hình bằng cách sử dụng crypto map.
    - Định nghĩa Crypto Access Lists:
    -Crypto access list (Crypto ACLs) được sử dụng để định nghĩa những lưu thông (traffic) nào được sử dụng hay kho sử dụng IPSec.
    - Crypto ACLs thực hiện các chức năng sau:
    • Outbound: Chọn những traffic được bảo vệ bởi IPSec. Những traffic còn lại sẽ được gửi ở dạng không mã hóa.
    • Inbound: Nếu có yêu cầu thì inbound access list có thể tạo để lọc ra và lọai bỏ những traffic kho được bảo vệ bởi IPSec.
    C. Tạo cryto ACLs bằng danh sách truy cập mở rộng (Extends access list):
    - Cryto ACLs được định nghĩa để bảo vệ những dữ liệu được truyền tải trên mạng. Danh sach truy cập mở rộng (Extended IP ACLs) sẽ chọn những luồng dữ liệu (IP traffic) để mã hóa bằng cách sử dụng các giao thức truyền tải (protocol), địa chỉ IP (IP address), mạng (network), mạng con (subnet) và cổng dịch vụ (port). Mặc dù cú pháp ACL và extended IP ACLs là giống nhau, nghĩa là chỉ có sự khác biệt chút ít trong crypto ACLs. Đó là cho phép (permit) chỉ những gói dữ liệu đánh dấu mới được mã hóa và từ chối (deny) với những gói dữ liệu được đánh dấu mới không được mã hóa. Crypto ACLs họat động tương tự như extendeds IP ACL đó là chỉ áp dụng trên những luồng dữ liệu đi ra (outbound traffic) trên một interface.
    D. Cấu hình IPSec crypto maps:
    E. Áp dụng các crypto maps vào các cổng giao tiếp (interfaces):
    Last edited by thanhsang_truong; 19-10-2006, 08:00 AM.

    Comment


    • #3
      Xin cho em hỏi, em thấy trong cấu hình cơ bản của VPN bằng cách dùng các giao thức tạo đường hầm(PPTP, L2TP hay IPSec) là phải có phần cấp địa chỉ ip trong mạng riêng cho thiết bị ở xa.
      Như là mình phải xây dựng 1 DHCP server để nó cấp địa chỉ cho thiết bị ở xa khi thiết lập tunnel.
      Nhưng trong phần cấu hình IPSec/VPN lại hông thấy phần này?
      Mong các anh chị hướng dẫn em vấn đề này nhé! thanks.:confused:

      Comment


      • #4
        hi

        có phải bạn exboypro hỏi về cách cấp địa chỉ trong trường hợp cấu hình VPN Client -to - site? Lúc đó các VPN client được cấp IP từ VPN server. Qui trình của Thanh Sang đăng ở trên là VPN site-to-site.

        Bạn đang dự định nói đến tình huống đó?
        Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

        Email : dangquangminh@vnpro.org
        https://www.facebook.com/groups/vietprofessional/

        Comment


        • #5
          cho em hỏi xíu.
          em cấu hình VPN client server trên Router 2821 Cisco chạy rất ngon nhưng khi các Client connect to Router thì không thể sử dụng internet được nữa.

          anh chỉ em với.

          thansk

          Comment


          • #6
            a ơi cho em xin lap cấu hình vpn client to site với em đang cần

            Comment

            • Working...
              X