Tải bản đầy đủ (.doc) (38 trang)

Nguyên cứu hệ thống hạ tầng mạng cơ chế routing, bảo mật dữ liệu trên Cisco.

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.28 MB, 38 trang )

NHẬT KÝ THỰC TẬP TẠI TRUNG TÂM ATHENA
Họ tên: Phạm Đức Thuận
Là sinh viên thực tập tại Trung tâm Athena
Ca thực tập chiều 2,4,6
Tuần 5,6 (Từ ngày 19/3/2012 tới ngày 30/3/2012)
Tên đề tài: Nguyên cứu hệ thống hạ tầng mạng- cơ chế routing, bảo mật
dữ liệu trên Cisco.
Trong 2 tuần này em đã làm được các phần sau:
1. Cấu hình router đóng vai trò NTP Server.
2. Cấu hình VPN IPsec site to site.
3. Cấu hình router lấy certificate từ Win 2K3.
4. Cấu hình tích hợp Easy VPN vào router.
5. Cấu hình VPN client.
Sơ đồ hình mà em sẽ cấu hình gồm có 3 router, 2 PC(1 PC cài WIN 2k3 có cài dịch vụ
CA, 1 PC cài win XP để làm VPN client).
1. Cấu hình router đóng vai trò NTP server.
Theo như sơ đồ hình trên thì R3 sẽ đóng vai trò là ISP, R1 sẽ đóng vai trò Site1,
R2 sẽ đóng vai trò Site2.
Để cấu hình NTP server thì em sẽ chọn router R3 tức là router ISP đóng vai trò
NTP server còn R1,R2 sẽ đóng vai trò là NTP Client.
Trước tiên để cấu hình NTP cho các router thì các router phải liên lạc được với
nhau. Ở phần này em chưa cấu hình VPN thì có nghĩa R1,R2 chỉ có thể liên lạc
với ISP mà thôi chứ R1, R2 chưa thể liên lạc với nhau.
Bây giờ em sẽ cấu hình hình IP cho các interface rồi kiểm tra kết nối giữa các
router.
Trước tiên là R3 tức router ISP. Router ISP này em sẽ cấu hình interface s0/0
,s0/1, f0/0.
Kề tiếp em sẽ cấu hình interface của router R1. Router R1 gồm các interface s0/0,
f0/0
Kề tiếp em sẽ cấu hình interface của router R2. Router R1 gồm các interface s0/0,
f0/0.


Sau khi cấu hình xong kiểm tra việc kết nối giữa router R1,R2 với router R3 tức
router ISP.
Router R2 ping thành công với router ISP.
Router R3 ping thành công với router ISP.
Bây giờ để cấu hình NTP Server thì trước tiên em phải chỉnh lại thời gian trên
router ISP cho chính xác bằng câu lệnh clock set hh:mm:ss day month year.
Bây giờ em sẽ cấu hình Router ISP thành NTP server. Với câu lệnh cực kỳ đơn
giản là ntp master stratum. Stratum là một con số cho biết đồng hồ của server con
số càng nhỏ càng chính sách và cũng là con số để NTP client lựa chọn để đồng bộ
hóa.
Sau khi cấu hình xong router ISP thành NTP Server thì kế tiếp em sẽ cấu hình
router R1, R2 thành NTP Client.
Trước tiên là router R1 thành NTP Client
Sau đó kiểm tra lại trạng thái của NTP Client của router R1 bằng câu lệnh show
ntp status.
Kế tiếp là router R2 thành NTP Client
Sau đó kiểm tra lại trạng thái của NTP Client của router R2 bằng câu lệnh show
ntp status.
Như vậy em đã cấu hình router thành NTP Server. Vì vậy việc đồng bộ thời gian
giữa các router đã chính xác.
2. Cấu hình VPN IPsec site to site
Để cấu hình VPN Ipsec site to site thì trước tiên ở 2 router R1 và R2 phải cấu
hình Default route trỏ về router ISP.
Trước tiên là router R1 em sẽ cấu hình Default route
Kế tiếp là router R2 em sẽ cấu hình Default route
Sau đây kế tiếp em sẽ trình bày cấu hình IPSec Site to Site giữa 2 router R1 và
R2. Sau khi cấu hình xong thì dãy IP 192.168.100.0/24 của router R1 sẽ có thể
liên lạc được với dãy IP 192.168.200.0/24 của router R2.
Em sẽ cấu hình cho router R1. Trước tiên em sẽ cấu hình Internet Key
Exchange(IKE) cho router R1.



Kế tiếp là ta sẽ tạo share key cho router R1 để mà giao tiếp qua VPN
Sau đó em sẽ quy định thời gian lifetime cho router R1 tham gia quá trình VPN
Kế tiếp em sẽ tạo một access-list và một tranform-set cho router R1 tham gia quá
trình VPN
Kế tiếp nữa là em sẽ cấu hình crypto map cho router R1.
Cuối cùng em sẽ gán crypto map này vào interface s0/0 của router R1
Em sẽ cấu hình cho router R2. Trước tiên em sẽ cấu hình Internet Key
Exchange(IKE) cho router R2
Kế tiếp là ta sẽ tạo share key cho router R2 để mà giao tiếp qua VPN
Sau đó em sẽ quy định thời gian lifetime cho router R2 tham gia quá trình VPN
Kế tiếp em sẽ tạo một access-list và một tranform-set cho router R2 tham gia quá
trình VPN
Kế tiếp nữa là em sẽ cấu hình crypto map cho router R2
Cuối cùng em sẽ gán crypto map này vào interface s0/0 của router R2
Như vậy quá trình cấu hình VPN site to site cho 2 router đã thành công.
Bây giờ em sẽ kiểm tra quá trình VPN này bằng cách lấy PC Win 2k3 ping thử IP
192.168.200.254
Kết quả ping từ mạng 192.168.100.0/24 sang 192.168.200.0/24 đã thành công.
Như vậy quá trình cấu hình VPN Site To Site đã thành công.
3. Cấu hình router lấy certificate từ Win 2K3
Ở đây em sẽ không trình bày cách cài đặt Certificate serivces và cài đặt thêm
SCEP. Giả sử em đã cài đặt thành công dịch vụ Certificate serivces trên Win 2K3.
Vì vậy em sẽ phải kiểm tra lại Certificate nào đã issue trên Server chưa
Bây giờ em sẽ cấu hình router R1 lấy Certificate về cho mình
Để có certificate thì router R1 phải gửi yêu cầu này về cho server chứng thực.
Tiếp tục
Sau đó vào server issue certificate này cho router R1. Và sau đó R1 đã được cấp
certificate cho mình

Vào router R1 kiểm tra certificate của mình
Như vậy quá trình cấp certificate cho router R1 đã thành công.
Kế tiếp là cấu hình cho router R2 lấy Certificate từ WIN 2K3 qua môi trường
VPN
Để có certificate thì router R2 phải gửi yêu cầu này về cho server chứng thực
Tiếp tục
Sau đó vào server issue certificate này cho router R2. Và sau đó R2 đã được cấp
certificate cho mình
Vào router R2 kiểm tra certificate của mình
Như vậy quá trình cấp certificate cho router R2 đã thành công.
Tới đây em xin kết thúc phần cấu hình cấp certificate cho router R1 và R2
4. Cấu hình tích hợp Easy VPN vào router
Ở phần này em sẽ trình bày các bước cấu hình Easy VPN server vào một router.
Ở đây em sẽ cấu hình cho router R1 thành VPN Server.
B1: Sẽ bật tính năng AAA trên router R1
B2: Cấu hình AAA trên router R1
B3: Tạo một dãy IP sẽ cấp cho client trong quá trình kết nối VPN
B4: Tạo một IKE policy
B5: Cấu hình một group cho client mà client sẽ dùng kết nối vào vpn server

B6: Cấu hình một Ipsec Transform set cho router
B7: Tạo và cấu hình một dynamic crypto map cho router
B8: Tạo và cấu hình một crypto map cho router

×