Scribd Logo
Upload

Welcome to Scribd!

  • VPN Details

    Uploaded by

    Quang Linh Nguyễn
    4 views2 pages

    Original Title

    VPN_Details

    Copyright

    © © All Rights Reserved

    Available Formats

    TXT, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as TXT, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    4 views2 pages

    VPN Details

    Uploaded by

    Quang Linh Nguyễn

    Copyright:

    © All Rights Reserved
    Download as TXT, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 2

    ipsec la framework chạy layer3 bọc gói tin ip trong đường hầm

    ipsec +vpn = ipsec vpn


    IKE(Internet Key Exchange)
    IPsec Framework:
    +Ipsec protocol: ESP( Encapsulating Security Payload), ESP+AH,
    AH(Authentication Header)
    ( Giao thức này bảo vệ địa chỉ IP của các máy tính tham gia vào quá trình
    trao đổi dữ liệu,
    để đảm bảo rằng các bit dữ liệu không bị mất, thay đổi hoặc bị hỏng trong quá
    trình truyền.
    AH cũng xác minh rằng người gửi dữ liệu thực sự đã gửi nó, bảo vệ tunnel khỏi
    sự xâm nhập của những người dùng trái phép.)
    +Encryption: DES, 3 DES, AES (Mã Hóa)
    +Authentication: MD5, SHA (đảm bảo tính toàn vẹn)
    +Difie-Hellman: DH1, DH2, DH5
    Mục tiêu chính:
    - Xác thực thiết bị
    - Mã hóa
    - Đảm bảo tính toàn vẹn

    gồm 2 giai đoạn:


    -Phase1:(Mục tiêu có 1 đường hầm an toàn, trao đổi 1 số thông tin.bộ thông
    tin này gọi là proposal)
    Xác thực(dùng pre-share key, chữ kí điện tử,RSA,..)để bắt tay thiết
    bị, thông tin mã hóa: AH, 3 Des,
    Key mã hóa:sinh ra từ thuật toán DH
    Hash: SHA(Secure Hash Algorithm), MD5(Message Digest 5)
    2 thiết bị sẽ xác thực với nhau qua 2 bộ proposal với cùng Password
    có 2 chế độ: main mode và aggressive mode(nhanh hơn main mode nhưng bảo
    mật kém hơn)

    -Phase2:(sau khi xác thực xong.các gói tin đi trong đường hầm sẽ đc mã háo Là
    đường hầm các mạng LAN dùng để gửi dữ liệu(gồm 2 đường hầm con:A->B, ngược lại)
    sau khi xác thực xong, các gói tin 2 router trao đổi trong đường hầm sẽ
    dc mã hóa bởi thuật toán
    AES192(key mã hóa sinh từ DH2)để đảm bảo tính toàn vẹn của các gói tin:
    dùng SHA256

    ISAKMP is the protocol that negotiates policy and provides a common framework for
    generating keys that peers share.

    gồm 2 Mode: tunnel mode: thường dùng trong SITE-TO-SITE


    Transport mode:thường dùng trong CLIENT-TO-SITE
    -----------------------------------------------------------------------------------
    ------------------------------------------------------------------------

    Cách cấu hình:


    These steps are:

    (1) Configure ISAKMP (ISAKMP Phase 1)

    (2) Configure IPSec (ISAKMP Phase 2, ACLs, Crypto MAP)


    -----------------------------------------------------------------------------------
    ---------------------
    (1)+khai báo bộ proposal cho phase1:VD:R1(config)#crypto isakmp policy 10
    R1(config-isakmp)#encr aes 192(dùng thuật toán
    mã hóa aes192)
    R1(config-isakmp)#hash sha256(bảo đảm tính toàn
    vẹn dữ liệu)
    R1(config-isakmp)#authentication pre-
    share(phương pháp xác thực preshare-key)
    R1(config-isakmp)#group 2(key mã hóa sinh ra từ
    DH2 group)
    R1(config-isakmp)#life-time 3600(thời gian tồn
    tại đường hầm phase1)
    R1(config-isakmp)#exit
    R1(config)#crypto isakmp key e-teck add
    200.0.0.2:khai báo key vì mình dùng xác thực bằng pre-share key
    (roter chỉ chấp nhận xây dựng đường hầm với
    router có add 200.0.0.2 và key la e-teck)
    (2)+khai báo bộ proposal phase 2(CREATE IPSEC TRANSFORM (ISAKMP PHASE 2
    POLICY):
    R1(config)#crypto ip sec tranform-set Myset esp-
    aes 256 esp-sha-hmac
    mode tunnel
    +add 1 crypto map vào interface wan:
    crypto map MYMAP 10 ipsec-isakpm
    set peer 200.0.0.2
    set transform-set MYSET
    match address IPSEC-VPN
    crypto map MYMAP
    +Tạo 1 ACL IPSEC-VPN:ip access-list extended IP address IPSEC-VPN
    10 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
    +tạo 1 ACL NAT : 10 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
    20 permit ip 192.168.1.0 0.0.0.255 any

    *Muốn router biết trafic nào chạy ra internet, trafic nào chạy qua đường hầm: ta
    phải tạo ACL IPSEC-VPN:10 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

    *Do trên cổng Wan cơ chế NAT sẽ xảy ra trước crypto map nên src addr sẽ bị dịch
    thành addr public nên sẽ không khớp với ACL IPSEC-VPN nên phải tạo 1 ACL NAT.

    *Crypto map:Crypto map is a feature binding all the information we discussed before
    in this section and previous together.
    -----------------------------------------------------------------------------------
    --------------------------------------------------------------------
    Luồng Traffic:
    - src IP: 192.168.1.2
    des IP: 192.168.2.2
    gói tin trên đi lên router
    +Router tra bảng định tuyến: Ra port wan bằng S*
    +Trên port wan có : ip Nat outside và crypto map:với NAT ta có ACL NAT->gói
    tin bị deny ko đi qua NAT
    sau đó gói tin sẽ di thẳng xuống crypto map.Tại đây nó sẽ
    match address IPSEC-VPN
    vì khớp với ACL IPSEC-VPN->thực hiện 2 hành động trong crypto
    map:
    -set peer 200.0.0.2(gửi trafic qua vpn có thiết bị là
    200.0.0.2)
    -set transform-set MYSET(dữ liệu trong trafic sẽ được bảo
    vệ qua transform-set: esp-aes 256 esp-sha512-hmac mode tunnel)
    +vì đang ở phase2 nên router sẽ check xem phase1 đã hình thành chưa.sau khi
    xác thực đường hầm phase1 vẫn còn thì sẽ sử dụng nó còn nếu hết lifetime sẽ xây lại
    đường hầm phase1

    You might also like