Professional Documents
Culture Documents
-Phase2:(sau khi xác thực xong.các gói tin đi trong đường hầm sẽ đc mã háo Là
đường hầm các mạng LAN dùng để gửi dữ liệu(gồm 2 đường hầm con:A->B, ngược lại)
sau khi xác thực xong, các gói tin 2 router trao đổi trong đường hầm sẽ
dc mã hóa bởi thuật toán
AES192(key mã hóa sinh từ DH2)để đảm bảo tính toàn vẹn của các gói tin:
dùng SHA256
ISAKMP is the protocol that negotiates policy and provides a common framework for
generating keys that peers share.
*Muốn router biết trafic nào chạy ra internet, trafic nào chạy qua đường hầm: ta
phải tạo ACL IPSEC-VPN:10 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
*Do trên cổng Wan cơ chế NAT sẽ xảy ra trước crypto map nên src addr sẽ bị dịch
thành addr public nên sẽ không khớp với ACL IPSEC-VPN nên phải tạo 1 ACL NAT.
*Crypto map:Crypto map is a feature binding all the information we discussed before
in this section and previous together.
-----------------------------------------------------------------------------------
--------------------------------------------------------------------
Luồng Traffic:
- src IP: 192.168.1.2
des IP: 192.168.2.2
gói tin trên đi lên router
+Router tra bảng định tuyến: Ra port wan bằng S*
+Trên port wan có : ip Nat outside và crypto map:với NAT ta có ACL NAT->gói
tin bị deny ko đi qua NAT
sau đó gói tin sẽ di thẳng xuống crypto map.Tại đây nó sẽ
match address IPSEC-VPN
vì khớp với ACL IPSEC-VPN->thực hiện 2 hành động trong crypto
map:
-set peer 200.0.0.2(gửi trafic qua vpn có thiết bị là
200.0.0.2)
-set transform-set MYSET(dữ liệu trong trafic sẽ được bảo
vệ qua transform-set: esp-aes 256 esp-sha512-hmac mode tunnel)
+vì đang ở phase2 nên router sẽ check xem phase1 đã hình thành chưa.sau khi
xác thực đường hầm phase1 vẫn còn thì sẽ sử dụng nó còn nếu hết lifetime sẽ xây lại
đường hầm phase1