• 

  thanhsang_truong

  Senior Member

  Guru

  • Join Date: Dec 2005
  • Posts: 329

  • Share
  • Tweet

  ---

  #1

  Qui Trình Cấu Hình 4 Bước IPSec/VPN Trên Cisco IOS

  16-10-2006, 12:00 PM

  Tác giả:(đang cập nhật)

  
  

  Qui Trình Cấu Hình 4 Bước IPSec/VPN Trên Cisco IOS

  Ta có thể cấu hình IPSec trên VPN qua 4 bước sau đây:
  1. Chuẩn bị cho IKE và IPSec
  2. Cấu hình cho IKE
  3. Cấu hình cho IPSec
  

  • Cấu hình dạng mã hóa cho gói dữ liệu
    Crypto ipsec transform-set
  • Cấu hình thời gian tồn tại của gói dữ liệu và các tùy chọn bảo mật khác
    Crypto ipsec sercurity-association lifetime
  • Tạo crytoACLs bằng danh sách truy cập mở rộng (Extended Access List)
    Crypto map
  • Cấu hình IPSec crypto maps
  • Áp dụng các crypto maps vào các cổng giao tiếp (interfaces)
    Crypto map map-name

4. Kiểm tra lại việc thực hiện IPSec- Sau đây bạn sẽ cấu hình Cisco IOS IPSec bằng cách sử dụng chính sách bảo mật IPSec (IPSec Security Policy) để định nghĩa các các chính sách bảo mật IPSec (transform set).
- Chính sách bảo mật IPSec (transform set) là sự kết hợp các cấu hình IPSec transform riêng rẽ được định nghĩa và thiết kế cho các chính sách bảo mật lưu thông trên mạng. Trong suốt quá trình trao đổi ISAKMP IPSec SA nếu xảy ra lỗi trong quá trình IKE Phase 2 quick mode, thì hai bên sẽ sử dụng transform set riêng cho việc bảo vệ dữ liệu riêng của mình trên đường truyền. Transform set là sự kết hợp của các nhân tố sau:- Transform set bằng với việc kết hợp các AH transform, ESP transform và chế độ IPSec (hoặc cơ chế đường hầm bảo mật hoặc chế độ phương tiện truyền thông). Transform set giới hạn từ một cho tới hai ESP transform và một AH transform. Định nghĩa Transform set bằng câu lệnh cryto ipsec transform-set ở chế độ gobal mode. Và để xoá các cài đặt transform set dùng lệnh dạng no.
- Cú pháp của lệnh và các tham số truyền vào như sau:
crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]
- Các tham số của lệnh crypto ipsec transform-set:
- Bạn có thể cấu hình nhiều transform set và chỉ rõ một hay nhiều transform set trong mục crypto map. Định nghĩa các transform set trong mục crypto map được sử dụng trong trao đổi IPSec SA để bảo vệ dữ liệu được đinh nghĩa bởi ACL của mục crypto map. Trong suốt quá trình trao đổi, cả hai bên sẽ tìm kiếm các transform set giống nhau ở cả hai phiá. Khi mà các transform set được tìm thấy, nó sẽ được sử dụng để bảo vệ dữ liệu trên đường truyền như là một phần của các IPSec Sa ở cả 2 phía.
- Khi mà ISAKMP không được sử dụng để thiết lập các Sa, một transform set riêng rẽ sẽ được sử dụng. Transform set đó sẽ không được trao đổi.
- Thay đổi cấu hình Transform set:- Cấu hình cho việc trao đổi transform:
- Tranform set được trao đổi trong suốt chế độ quick mode trong IKE Phase 2 là những các transform set mà bạn cấu hình ưu tiên sử dụng. Bạn có thể cấu hình nhiều transform set và có thể chỉ ra một hay nhiều transform set trong mục crypto map. Cấu hình transform set từ những bảo mật thông thường nhỏ nhất giống như trong chính sách bảo mật của bạn. Những transform set được định nghĩa trong mục crypto map được sử dụng trong trao đổi IPSec SA để bảo vệ dữ liệu được định nghĩa bởi ACL của mục crypto map.
- Trong suốt quá trình trao đổi mỗi bên sẽ tìm kiếm các transform set giống nhau ở cả hai bên như minh họa ở hình trên. Các transform set của Router A được so sánh với một transform set của Router B và cứ tiếp tục như thế. Router A transform set 10, 20, 30 được so sánh với transform set 40 của Router B. Nếu mà không trả vể kết quả đúng thì tất cả các transform set của Router A sau đó sẽ được so sánh với transform set tiếp theo của Router B. Cuối cùng transform set 30 của Router A giống với transform set 60 của Router B. Khi mà transform set được tìm thấy, nó sẽ được chọn và áp dụng cho việc bảo vệ đường truyền như là một phần của IPSec SA của cả hai phía. IPSec ở mỗi bên sẽ chấp nhận một transform duy nhất được chọn cho mỗi SA.

(còn tiếp)