Thực hành an ninh mạng 2019

LAB 08
Ipsec VPN cấu hình bằng CLI

IP Address Table:

Bảng tham số ISAKMP phase 1:

 Thực hành an ninh mạng 2019

Note: Phần in đậm là tham số mặc định có sẵn khi khai báo ISAKMP, chỉ cần cấu hình
thêm phần tham số in thường.

Bảng tham số ISAKMP phase 2:

Mục tiêu bài Lab:

Phần 1: Cấu hình Router cơ bản

 Cấu hình hostname, địa chỉ interface và password access

 Cấu hình giao thức định tuyến OSPF

Phần 2: Cấu hình kết nối VPN site-to-site

 Cấu hình thiết lập IPsec VPN trên R1 và R3

 Kiểm tra cấu hình IPsec VPN site-to-site
 Test hoạt động của IPsec VPN
 Thực hành an ninh mạng 2019
Lý thuyết cơ bản

VPNs cung cấp phương thức bảo vệ cho việc truyền dữ liệu qua một mạng công
cộng như Internet, làm giảm chi phí liên quan khi sử dụng đường truyền leased lines. Kết
nối VPN site-to-site cung cấp một đường hầm bảo mật (IPsec) giữa văn phòng chi nhánh
và hội sở. Trong bài lab này, sinh viên sẽ xây dựng một mô hình mạng nhiều router và
cấu hình cài đặt cho các router và host, xây dựng một đường hầm IPsec VPN từ R1 đến
R3 thông qua R2, R2 xem như là router trung gian và không biết trước về đường hầm
VPN.

Phần 1: Cấu hình Router R1

Trong phần 1 bài lab này sinh viên sẽ thiết lập mô hình mạng như hình vẽ, cấu
hình cơ bản trên cả 3 Router: địa chỉ IP cho các interface, dynamic routing EIGRP, thiết
lập password truy cập.

Bước 1: Kiểm tra kết nối giữa hai PC

Bước 2: Bật tính năng security trên router C1941

a. Show cấu hình ios đang chạy bằng câu lệnh show version
b. Bật licience Security Technology bằng câu lệnh
R1(config)# license boot module c1900 technology-package securityk9

c. Chọn yes để apply licence, lưu lại cấu hình và reboot lại thiết bị
R1#reload

R1>show version

Bước 3: Tạo access-list lọc traffic được gửi từ PC1 (LAN1) đến PC3 (LAN3)
 Thực hành an ninh mạng 2019

Bước 4: Cấu hình IKE phase 1 ISAKMP policy 10 với các tham số như trên bảng
ISAKMP phase 1, password preshare key là vnppa55.

Ví dụ trên R1:

Bước 5: Cấu hình IKE phase 2:

Bước 6: Cấu hình apply crypto map trên interface S0/0/0

Phần 2: Cấu hình Router R3

Bước 1: Bật tính năng security trên router C1941

a. Show cấu hình ios đang chạy bằng câu lệnh show version
 Thực hành an ninh mạng 2019
b. Bật licience Security Technology bằng câu lệnh
R1(config)# license boot module c1900 technology-package securityk9

c. Chọn yes để apply licence, lưu lại cấu hình và reboot lại thiết bị
R3#reload

R3>show version

Bước 2: Tạo access-list lọc traffic được gửi từ PC3 (LAN3) đến PC1 (LAN1)

Bước 3: Cấu hình IKE phase 1 ISAKMP policy 10 với các tham số như trên bảng
ISAKMP phase 1, password preshare key là vnppa55.

Ví dụ trên R3:

Bước 4: Cấu hình IKE phase 2:

Tạo transform set bộ ESP: AES, SHA-HMAC

 Thực hành an ninh mạng 2019

Bước 5: Cấu hình apply crypto map trên interface S0/0/0

Task 3: Kiểm tra hoạt động của Ipsec VPN

Bước 1: Kiểm tra kết nối bảo mật isakmp đã hoạt động hay chưa (chỉ khi có traffic đi qua
đường hầm VPN mới xuất hiện kết nối)
R1#show crypto isakmp sa

dst src state conn-id slot status

Bước 2: Kiểm tra kết nối bảo mật Ipsec

R1#show crypto ipsec sa

Bước 3: Tạo traffic qua đường hầm để kiểm tra hoạt động của VPN

a. Trên R1 ping đến int Fa0/0 của R3. Sử dụng lệnh show crypto ipsec sa,
kiểm tra liên kết SA đã được tạo hay chưa?
b. Trên R1 ping đến địa chỉ loopback 0 (192.168.3.1) của R3. Sử dụng lệnh show
crypto ipsec sa, kiểm tra liên kết SA đã được tạo hay chưa?
c. Trên R1 sử dụng lệnh extended ping đến địa chỉ loopback 0 của R3
R1#ping

Protocol [ip]:

Target IP address: 192.168.3.1

 Thực hành an ninh mạng 2019
Repeat count [5]:

Datagram size [100]:

Timeout in seconds [2]:

Extended commands [n]: y

Source address or interface: 192.168.1.1

Sử dụng lệnh show crypto ipsec sa, show crypto ipsec sa để kiểm tra
lần nữa, lúc này liên kết SA đã được thiết lập đường hầm VPN đã hoạt động, dữ liệu
(gói tin ICMP) đã được bảo vệ khi đi qua đường hầm.