Mình làm được rồi nhưng chỉ với pre-share thôi! Cám ơn các bạn nhiều!

Mình đã chạy đựơc bằng xác thực ca_windows rùi! Nhưng nhờ các bạn chỉ mình command kiểm tra trạng thái kết nối và kiểu xác thực và khóa rsa public trao đổi ! Mình chỉ biết crypto isakmp sa và ipsec sa và show ip nhrp thôi! Cám ơn các bạn nhiều nhiều!

show crypto ca trustpoints : hiển thị các thông tin có trong CA certificate.

show crypto {ca | pki} certificates : xem tất cả thông tin về CA certificate có trong router.

show crypto {ca | pki} crls : xem trạng thái của CRLs.

debug crypto pki : xác định lỗi liên quan đến yêu cầu cert và sử dụng cert.

crypto key zeroize rsa : xoá cặp key private và public.

Làm ơn cho mình hỏi thêm. Trong quá trình test thì mình routing eigrp private address của ca server ra bên ngoài lun. Nhưng giờ thì mình mún khi các máy host truy cập server ca phải được nat port từ phía router gateway bên ngoài vào trong bằng command: " ip nat inside source static tcp " nhưng mình chưa hiểu lắm câu lệnh này. Mình bắt gói thì t hấy gói tin xin certificate là bằng tcp port 80. Nhờ các bạn hướng dẫn mình !

1/ Vấn đề nat bạn nói rõ cho mình thêm đi.
2/ bạn dùng url để tương tác khi yêu cầu certificate nên bạn bắt gói thấy port 80 là đúng rồi đó.

Hiện giờ mình muốn là không quảng bá địa chỉ prìvate của ca server trên máy PC nhưng khi các client xin cấp phát certificate vẫn vào được server thông qua cơ chế nat port từ router !
Theo cấu hình trước, trên các client mình mặc định địa chỉ của vpnca là ip host vpnca 10.1.1.3 còn public address router của ca server là 193.1.3.2. Mình đọc sách thì thấy có câu lệnh để nat port vào server yêu cầu:
router(config)#ip nat inside source static <protocol> <inside local address> <port> interface <> <port>
Mình đã thử mày mò nhưng hông có kết quả! nhờ các bạn chỉ dẫn giúp!

Chào bạn,

Nếu muốn NAT port static kết hợp với VPN thì hãy dùng thêm tùy chọn route-map ở đằng sau. Với route map sẽ loại trừ (deny) mạng được bảo vệ (Lan-HCM di tới Lan HN)
ISP(config)#ip nat inside source static tcp 10.10.10.10 80 2.2.2.2 80 route-map Nonat

Nếu bạn muốn public CA server ra ngoài cho các host xin xác thực và yêu cầu certificate thì dùng câu lệnh

router(config)#ip nat inside source static tcp 10.1.1.3 80 193.1.3.2 80

Mình đã làm thử với các cách public ca server rồi nhưng không được!

Mình cấu hình trustpoint ca như sau:
enrollment retry count 5
enrollment retry period 3
enrollment url http://10.1.1.3/certsrv/mscep/mscep.dll #Mình cũng đã thử để http://193.1.3.2
subjectname cn=spoke1@hcm.vn
revolcation-check none
router(config)# ip host vpnca 193.1.3.2 #pình thường thì mình để là 10.1.1.3
Lúc xác thực thì nó báo lỗi hông tìm thấy vpnca server !
Mình thử làm với mail server và nat port như thế thì có thể nhận và gửi mail với nat inside và outside! Cũng không biết làm sao nữa! Nhờ các bạn xem mình lại giúp!

hi bạn,

nếu bạn đã STATIC NAT CA Server thì bạn xin certificate phải thông qua địa chỉ "http://193.1.3.2:80/certsrv/mscep/mscep.dll".Ngoài ra bạn phải bảo đảm đồng bộ về thời gian với CA Server nữa thì mới bảo đảm bạn xin certificate được nha bạn.

Vpn 3 điểm

Xin chào.
Cho em hỏi về cách cấu hình VPN giữa 3 điểm, hoặc một kết nối tương tự giữa 3 điểm để truyền dữ liệu ( Voice, video và data )
Em xin cám ơn.

Công nghệ VPN nhiều lắm, bạn muốn cấu hình thì phải hiểu trước đã. Nếu không cần mã hoá dữ liệu thì sử dụng GRE. Trường hợp của bạn thì nên dùng công nghệ DMVPN, hoặc EZVPN. Mình không khuyên bạn dùng L2L. Bạn cố gắng tìm hiểu những công nghệ cơ bản hoạt động trước rồi mình sẽ chỉ bạn cách cấu hình nha.

cách dể nhất là bạn dùng Megawan,kết nối 3 điểm,bên cung cấp họ free luôn cho thiết bị kết nối,mình có thể routing hay làm vpn tùy security,

I. KHÁI QUÁT VỀ DMVPN

1) DMVPN là gì ?

Dynamic Multipoint Virtual Private Network (DMVPN) là sự kết hợp của các công nghệ: IPSec, mGRE, và NHRP. các công nghệ này kết hợp lại cho phép được triển khai IPSec trong mạng riêng ảo một cách dễ dàng.

2) Ưu điểm của DMVPN

Khi ta có cấu trúc mạng với nhiều site và tạo mã hoá tunnel giữa mỗi site với nhau, ta thiết lập được: [n(n-1)] /2 tunnels



3) Các công nghệ sử dụng

• IPSec (Internet Protocol SECurity)

Giao thức cho phép bảo vệ sự thay đổi của các gói tin tại lớp IP. Dựa trên khoá công khai trên mode Tunnel , nội dung và tiêu đề của gói tin được mã hoá. cả hai đều được bảo vệ

• mGRE (Generic Routing Encapsulation)

Giao thức truyền trên tunnel, đóng gói các loại gói tin thành 1 loại lớn trong IP tunnels. Sau đó tạo Point-to-Point virtual kết nối với các Router ở xa trong cấu trúc mạng IP.

• NHRP (Next Hop Resolution Protocol)

Giao thức được sử dụng bởi các Router phát hiện MAC address của các Router khác và host khác.

4. Hoạt động của DMVPN

DMVPN là giải pháp phần mềm của hệ điều hành cisco.

DMVPN dựa vào 2 công nghệ của cisco đã thử nghiệm :

- Next Hop Resolution Protocol (NHRP)

o HUB duy trì cơ sơ dữ liệu của địa chỉ thực của tất cả spoke
 mỗi spoke đăng ký địa chỉ thực của nó khi nó khởi động.
 Sau đó các spoke yêu cầu cơ sở dữ liệu trong NHRP cho địa chỉ thực của các spoke đích mà xây dựng tunnel trực tiếp.

o Multipoint GRE Tunnel Interface

 Cho phép 1 interface GRE hỗ trợ nhiều IPSec tunnels
 Kích thước đơn giản và cấu hình phức tạp
- DMVPN không làm thay đổi các chuẩn của IPSec VPN tunnel, nhưng nó thay đổi cấu hình của chúng.
- Các spoke có 1 IPSec tunnel cố định đến Hub, nhưng không có đến các spoke. Các spoke được xem như là client của NHRP server.
- Khi 1 spoke cần gửi gói tin đến đích (private) mạng cấp dưới trên spoke khác, nó yêu cầu NHRP cấp các địa chỉ thực của spoke đích.
- đến đây spoke nguồn có thể khởi tạo 1 dynamic IPSec tunnel đến spoke đích.
- Tunnel từ spoke-to-spoke được xây dựng qua mGRE tunnel

5. Định tuyến với DMVPN

- Định tuyến động được yêu cầu qua tunnel Hub-to-spoke.
- Spoke học tất cả các mạng riêng trên các spoke khác và Hub thông qua cập nhật từ bảng định tuyến được gửi bởi Hub.
- IP next-hop cho 1 mạng spoke là interface tunnel cho spoke.
- Các giao thức định tuyến được dùng:
o Enhanced Interior Gateway Routing Protocol (EIGRP)
o Open Shortest Path First (OSPF)
o Border Gateway Protocol (BGP)
o Routing Information Protocol (RIP)

6. DMVPN phase

o Phase 1 : Tính năng của Hub và Spoke
o Phase 2 : Tính năng của spoke-to-spoke
o Phase 3 : Khả năng thay đổi spoke-to-spoke để quy mô các mạng được mở rộng .
IPSec + GRE đối với DMVPN phase 1
Hub-to-Spoke
Tính năng :
- Tất cả lưu lượng đi qua phải thông qua Hub
- Triển khai dễ dàng
- Files cấu hình Hub nhỏ

Ưu điểm của DMVPN phase 1
- Hub và spoke cấu hình đơn giản và nhỏ gọn
- Hỗ trợ Multicast traffic từ Hub đến các spoke
- Hỗ trợ địa chỉ cho các spoke một cách linh động
phase 2:
- Trong phase 2 NHRP khởi động NHC-to-NHS tunnel và giao thức định tuyến động thường được sử dụng để phát thông tin định tuyến tất cả các mạng mà Hub có và tất cả các spoke. Các thông tin này là : ip next hop của spoke đích và hỗ trợ riêng mạng đích.
- Khi 1 gói tin được forward nó sẽ tới outbound interface và ip next hop từ bảng định tuyến mẫu . Nếu interface NHRP là interface outbound nó sẽ tìm NHRP mapping vào IP next hop . Nếu không có sự trùng khớp của bảng NHRP mapping, thì NHRP được kích khởi để gửi NHRP resolution request đến thông tin mapping (địa chỉ IP next hop đến địa chỉ vật lý layer). NHRP registration reply packet chứa thông tin mapping này và khi thông tin này được nhận các spoke sẽ cung cấp đầy đủ thông tin để đóng gói dữ liệu chính xác gửi trực tiếp đến spoke đầu xa qua cơ sở hạ tầng mạng.

Phase 3:
- NHRP khởi động NHC và NHS tunnel và giao thức định tuyến động được dùng để phát thông tin định tuyến của tất cả các mạng mà tất cả các spoke có đến Hub. Sau đó hub sẽ gửi lại bảng thông tin định tuyến này đến các spoke, nhưng trong trường hợp này hub có thể tổng kết lại thông tin định tuyến . Nó sẽ đặt IP next hop của tất cả các mạng đích đến NHS (hub). Điều này làm giảm lượng thông tin trong bảng giao thức định tuyến cần để phân phối từ Hub đến các spoke, giảm việc cập nhật giao thức định tuyến đang chạy trên hub.
- Khi data packet được forward, nó sẽ tới outbound interface và ip next hop từ bảng định tuyến mẫu nhập vào. Nếu interface NHRP là interface outbound thì nó sẽ tìm mapping NHRP vào IP next hop . Trong trường hợp này IP next hop sẽ được hub coi như là NHRP mapping (nó đã cài 1 tunnel với hub) , các spoke sẽ chỉ gửi data packet đến Hub.
- Hub nhận được data packet và nó kiểm tra bảng định tuyến. Vì data packet này đã được trù định từ trước cho mạng bên cạnh các spoke khác nó sẽ forward ra khỏi interface NHRP đến next hop về hướng spoke. Tại đây, hub phát hiện packet đến và gửi nó ra khỏi interface NHRP. Có nghĩa là data packet chiếm ít nhất 2 hop trong mạng NHRP và do đó đường này thông qua hub không phải là 1 đường tối ưu . Cho nên hub gửi trực tiếp lại thông điệp NHRP đến spoke. Thông điệp phát lại trực tiếp này là thông tin gửi đến spoke về IP gói tin đích mà thông điệp phát lại này kích khởi NHRP.
- Khi spoke nhận được NHRP được phát lại, nó sẽ tạo và gửi NHRP resolution request cho dữ liệu IP đích từ thông điệp NHRP được gửi lại . NHRP resolution request sẽ forward đến spoke đầu xa các dịch vụ mạng cho IP đích.
- Spoke đầu xa sẽ phát NHRP resolution reply với địa chỉ NBMA của nó và toàn bộ subnet (từ bảng định tuyến của nó) phù hợp với địa chỉ IP dữ liệu đích từ gói tin NHRP resolution request. Spoke đầu xa sau đó sẽ gửi NHRP resolution reply trực tiếp trở lại spoke nội bộ . Đến thời điểm này đã đầy đủ thông tin cho data traffic được gửi trực tiếp qua spoke-to-spoke mà đường dẫn vừa được tạo.
- Bảng định tuyến IP và định tuyến được học bởi hướng của hub là quan trọng khi xây dựng tunnel spoke-to-spoke. Do đó khả năng của NHS (các hub) là tới hạn cho tính năng của mạng NHRP . khi chỉ có 1 hub mà hub đó bị down, spoke xoá đường đi mà nó học được từ bảng định tuyến của hub. bởi vì nó bị mất hub giống như mất đi routing neighbor. Tuy nhiên, spoke không xoá bất kỳ tunnels spoke-to-spoke (NHRP mapping) mà vẫn còn hoạt động. Mặc dù tunnel spoke-to-spoke vẫn còn nhưng nó không được sử dụng vì trong bảng định tuyến không còn đường đi nào đến mạng đích nữa.
- Trong quá trình bổ sung thêm , Khi bảng định tuyến đưa vào bị xoá không được kích hoạt đến NHRP. kết quả là NHRP sẽ timeout, khi đó hub sẽ bị down.
- Trong phase 2 nếu xảy ra vấn đề định tuyến trong bảng định tuyến (có thể là định tuyến tĩnh) với chính xác IP next hop thì spoke vẫn có thể dùng spoke-to-spoke tunnel ngay cả khi hub bị down. NHRP sẽ khó có thể làm tươi NHRP mapping đưa vào vì NHRP resolution yêu cầu hoặc cần đáp ứng để đi qua hub.
- Trong phase 3, ta chỉ cần định tuyến ra interface tunnel, không cần phải chính xác IP next hop ( NHRP bỏ qua IP next-hop trong phase 3). NHRP có khả năng làm tươi NHRP mapping . Vì NHRP resolution yêu cầu hoặc đáp ứng sẽ đi qua trực tiếp spoke-to-spoke tunnel.
- Nếu ta có 2 (hoặc nhiều hơn) NHS Hub trong 1 mạng NBMA (1 mGRE, frame-relay , hoặc ATM interface) , sau khi hub đầu tiên bị down, spoke Router sẽ loại bỏ đường đi từ bảng định tuyến mà nó học được từ hub này, nhưng nó sẽ học từ các router tương tự (có metric cao hơn) từ hub thứ hai. Lúc này định tuyến sẽ được thiết lập ngay. Do đó lưu lượng spoke-to-spoke sẽ tiếp tục đi qua spoke-spoke tunnel, và nó không bị ảnh hưởng bởi hub đầu tiên.

Xin được tóm tắt các thảo luận trong thread này. Mời các bạn tiếp tục thảo luận.

Câu hỏi:

Chào mọi người cty tôi có 3 địa điểm khác nhau trong thành phố (gồm 1 văn phòng chính và hai chi nhánh).Các chi nhánh cần nối đến văn phòng chính để truyền data va checkmail.cho tôi hỏi tôi nên sử dụng đường truyền như thế nào để đảm bảo độ bảo mật cũng như tốc độ kết nối.

Trả lời từ các thành viên:


Giải pháp 1: Dùng leased line kênh trắng (point-to-point)


Công ty bạn nên thuê đường truyền (lease line) của các công ty VDC, KDDI.... Cái này vừa đảm bảo an toàn mà tiết kiệm thời gian. Thường thì các công ty này sẽ config cho mình. Nhược điểm của giải pháp này là tốn kém vì cả hai đầu cần có router.

Giải pháp 2: Dùng IPSec VPN site-to-site.


Tại mỗi site trang bị một thiết bị Vigor 2950 (khoảng 6M/VND) của Draytek. Cấu hình VPN trên văn phòng chính với vai trò VPN server. Mỗi chi nhánh sẽ có một profile LAN-2-LAN. Các chi nhánh sẽ có vai trò dial-out. Trên văn phòng chính có vai trò dial-in. Bạn cũng có thể dùng Draytek 2700 để kết nối LAN-to-LAN dùng Dynamic DNS hoặc đăng ký IP tĩnh cho các chi nhánh và cho văn phòng chính. Chi phí để thuê IP tĩnh khoảng 500,000/ IP tĩnh. Ưu điểm của giải pháp là chi phí rẻ, tốc độ tương đối tốt. Để đảm bảo security thì chỉ cho phép những traffic cần thiết giữa các site, còn lại chặn tất cả.

Giải pháp 3: Dùng dịch vụ cáp quang point to point

Kết nối trực tiếp giữa các văn phòng của công ty với nhau. Tốc độ truyền tải 100/1000Mbps, độ bảo mật đảm bảo 100% rất thích hợp với mô hình công ty bạn. Dịch vụ này đã triển khai cho nhiều công ty lớn trong đó có chứng khóan Đông Á.

Giải pháp 4: Dùng MPLS/VPN.

Thuê dịch vụ MegaWAN nội hạt. Chi phí khoảng 4M/ tháng (cho 3 điểm). Tại văn phòng chính bạn thuê tốc độ 512Kbps, hai chi nhánh có tốc độ kết nối 256Kbps. Về thiết bị bạn có thể sử dụng SpeedTouch 605s cho cả ba điểm. kết nối 3 điểm. Bên cung cấp họ free luôn cho thiết bị kết nối,mình có thể routing hay làm vpn tùy security

Giải pháp 5: Dùng Dynamic Multipoint VPN

Dynamic Multipoint Virtual Private Network (DMVPN) là sự kết hợp của các công nghệ: IPSec, mGRE, và NHRP. các công nghệ này kết hợp lại cho phép được triển khai IPSec trong mạng riêng ảo một cách dễ dàng. Khi ta có cấu trúc mạng với nhiều site và tạo mã hoá tunnel giữa mỗi site với nhau, ta thiết lập được: [n(n-1)] /2 tunnels. Về mặt thiết bị thì cần có thiết bị Router hỗ trợ DMVPN ở 3 site, và cần có IP tĩnh ở 3 site. Giải pháp này là giải pháp mở rộng của giải pháp 2.