TRƯỜNG ĐẠI HỌC
KHOA CÔNG NGHỆ THÔNG TIN

BÀI TẬP LỚN
ĐỀ TÀI: NGHIÊN CỨU VÀ TRIỂN KHAI VPN VÀ ASA BẰNG GNS3

Hà Nội -2017


NHÓM 7

Mục Lục

I.

GNS3
GNS3 là một trình giả lập mạng có giao diện đồ hoạ (graphical network
simulator) cho phép bạn dễ dàng thiết kế các mô hình mạng và sau đó chạy giả lập
trên chúng. Tại thời điểm hiện tại GNS3 hỗ trợ các IOS của Router, ATM/Frame
Relay/Ethernet, switch và hub. Bạn thậm chí có thể mở rộng mạng của mình bằng
cách kết nối nó vào mạng ảo này. Để làm được điều này, GNS3 đã dựa trên
Dynamips và một phần của Dynagen, nó được phát triển bằng Python và thông
thông qua PyQt và phần giao diện đồ hoạ thì sử dụng thư viện Qt, rất nổi tiếng về
tính hữu dụng của nó trong dự án KDE. GNS3 cũng sử dụng kỹ thuật SVG
(Scalable Vector Graphics) để cung cấp các biểu tượng chất lượng cao cho việc
thiết kế mô hình mạng.

2

2

NHÓM 7

II.

VPN
1. Mạng riêng ảo VPN
VPN là mạng riêng ảo, Virtual Private Network, là một công nghệ mạng
giúp tạo kết nối mạng an toàn khi tham gia vào mạng công cộng như Internet hoặc
mạng riêng do một nhà cung cấp dịch vụ sở hữu. Các tập đoàn lớn, các cơ sở giáo
dục và cơ quan chính phủ sử dụng công nghệ VPN để cho phép người dùng từ xa
kết nối an toàn đến mạng riêng của cơ quan mình.
Một hệ thống VPN có thể kết nối được nhiều site khác nhau, dựa trên khu

vực, diện tích địa lý... tượng tự như chuẩn Wide Area Network (WAN). Bên cạnh
đó, VPN còn được dùng để "khuếch tán", mở rộng các mô hình Intranet nhằm
truyền tải thông tin, dữ liệu tốt hơn. Ví dụ, các trường học vẫn phải dùng VPN để
nối giữa các khuôn viên của trường (hoặc giữa các chi nhánh với trụ sở chính) lại
với nhau.
Nếu muốn kết nối vào hệ thống VPN, thì mỗi 1 tài khoản đều phải được
xác thực (phải có Username và Password). Những thông tin xác thực tài khoản này
được dùng để cấp quyền truy cập thông qua 1 dữ liệu - Personal Identification
Number (PIN), các mã PIN này thường chỉ có tác dụng trong 1 khoảng thời gian
nhất định (30s hoặc 1 phút).
Khi kết nối máy tính hoặc một thiết bị khác chẳng hạn như điện thoại, máy
tính bảng với một VPN, máy tính hoạt động giống như nó nằm trên cùng mạng nội
bộ với VPN. Tất cả traffic trên mạng được gửi qua kết nối an toàn đến VPN. Nhờ
3

3



NHÓM 7

đó, có thể truy cập an toàn đến các tài nguyên mạng nội bộ ngay cả khi đang ở rất
xa.
Có thể sử dụng Internet giống như đang ở vị trí của của VPN, điều này
mang lại một số lợi ích khi sử dụng WiFi public hoặc truy cập trang web bị chặn,
giới hạn địa lý.
Khi duyệt web với VPN, máy tính sẽ liên hệ với trang web thông qua kết
nối VPN được mã hóa. Mọi yêu cầu, thông tin, dữ liệu trao đổi giữa thiết bị và
website sẽ được truyền đi trong một kết nối an toàn. Nếu sử dụng VPN tại Hoa Kỳ
để truy cập vào Netflix, Netflix sẽ thấy kết nối của bạn đến từ Hoa Kỳ.
Các ứng dụng của VPN:
 Truy cập vào mạng doanh nghiệp khi ở xa: VPN thường được sử dụng bởi
những người kinh doanh để truy cập vào mạng lưới kinh doanh của họ, bao
gồm tất cả tài nguyên trên mạng cục bộ, trong khi đang đi trên đường, đi du
lịch,... Các nguồn lực trong mạng nội bộ không cần phải tiếp xúc trực tiếp
với Internet, nhờ đó làm tăng tính bảo mật.
 Truy cập mạng gia đình, dù không ở nhà: Bạn có thể thiết lập VPN riêng để
truy cập khi không ở nhà. Thao tác này sẽ cho phép truy cập Windows từ xa
thông qua Internet, sử dụng tập tin được chia sẻ trong mạng nội bộ, chơi
game trên máy tính qua Internet giống như đang ở trong cùng mạng LAN.
 Duyệt web ẩn danh: Nếu đang sử dụng WiFi công cộng, duyệt web trên
những trang web không phải https, thì tính an toàn của dữ liệu trao đổi
trong mạng sẽ dễ bị lộ. Nếu muốn ẩn hoạt động duyệt web của mình để dữ
liệu được bảo mật hơn thì bạn nên kết nối VPN. Mọi thông tin truyền qua
mạng lúc này sẽ được mã hóa.
 Truy cập đến những website bị chặn giới hạn địa lý, bỏ qua kiểm duyệt
Internet, vượt tường lửa,...

 Tải tập tin: Tải BitTorrent trên VPN sẽ giúp tăng tốc độ tải file. Điều này
cũng có ích với các traffic mà ISP của bạn có thể gây trở ngại.
2. Các giao thức thường dùng trong VPN:
 IP security (IPSec):
Được dùng để bảo mật các giao tiếp, các luồng dữ liệu trong môi trường
Internet (môi trường bên ngoài VPN). Đây là điểm mấu chốt, lượng traffic qua
IPSec được dùng chủ yếu bởi các Transport mode, hoặc các tunnel (hay gọi là hầm
- khái niệm này hay dùng trong Proxy, SOCKS) để MÃ HÓA dữ liệu trong VPN.
Transport mode chỉ có nhiệm vụ mã hóa dữ liệu bên trong các gói (data
package - hoặc còn biết dưới từ payload). Trong khi các Tunnel mã hóa toàn bộ
các data package đó.

4

4


NHÓM 7

Do vậy, IPSec thường được coi là Security Overlay, bởi vì IPSec dùng các
lớp bảo mật so với các Protocol khác.
 Secure Sockets Layer (SSL) và Transport Layer Security (TLS):
Có 1 phần tương tự như IPSec, 2 giao thức trên cũng dùng mật khẩu để
đảm bảo an toàn giữa các kết nối trong môi trường Internet.

5

5



NHÓM 7

Bên cạnh đó, 2 giao thức trên còn sử dụng chế độ Handshake - có liên quan
đến quá trình xác thực tài khoản giữa client và server. Để 1 kết nối được coi là
thành công, quá trình xác thực này sẽ dùng đến các Certificate - chính là các khóa
xác thực tài khoản được lưu trữ trên cả server và client.
 Point-To-Point Tunneling Protocol (PPTP):
Là giao thức được dùng để truyền dữ liệu qua các hầm - Tunnel giữa 2 tầng
traffic trong Internet. L2TP cũng thường được dùng song song với IPSec (đóng vai
trò là Security Layer - đã đề cập đến ở phía trên) để đảm bảo quá trình truyền dữ
liệu của L2TP qua môi trường Internet được thông suốt. Không giống như PPTP,
VPN sẽ "kế thừa" toàn bộ lớp L2TP/IPSec có các key xác thực tài khoản được
chia sẻ hoặc là các Certificate.

6

6


NHÓM 7

III.

ASA
1 Giới thiệu Firewall ASA
Cisco ASA viết tắt của từ: Cisco Adaptive Security Appliance. ASA là một
giải pháp bảo mật đầu cuối chính của Cisco. Hiện tại ASA là sản phẩm bảo mật
dẫn đầu trên thị trường về hiệu năng và cung cấp các mô hình phù hợp doanh
nghiệp, tích hợp giải pháp bảo mật mạng.
Dòng sản phẩm ASA giúp tiết kiệm chi phí, dễ dàng triển khai. Nó bao gồm

các thuộc tính sau:
+ Bảo mật thời gian thực, hệ điều hành độc quyền của Cisco
+ Công nghệ Stateful firewall sử dụng thuật toán SA của Cisco
+ Sử dụng SNR để bảo mật kết nối TCP
+ Sử dụng Cut through proxy để chứng thực telnet, http, ftp
+ Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa và cũng có khả
năng tùy chỉnh những chính sách này và xây dựng lên chính sách của riêng bạn
+ VPN: IPSec, SSL và L2TP
+ Tích hợp hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS
+ NAT động, NAT tĩnh, NAT port
+ Ảo hóa các chính sách sử dụng Context
3. Các model Firewall ASA
Có tất cả 6 model khác nhau. Dòng sản phẩm này phân loại khác nhau từ tổ
chức nhớ đến mô hình doanh nghiệp vừa hay cho nhà cung cấp dịch vụ ISP. Mô

7

7


NHÓM 7

hình càng cao thì thông lượng, số port, chi phí càng cao. Sản phẩm bao gồm : ASA
5505, 5510, 5520, 5540, 5550, 5580-20, 5580-40.
a. ASA 5505

ASA 5505
ASA 5505 là model nhỏ nhất trong các dòng sản phẩm của ASA, cả về kích
thước vật lý cũng như hiệu suất. Nó được thiết kết dành cho các văn phòng nhỏ và
văn phòng gia đình Đối với các doanh nghiệp lớn hơn, ASA 5505 thường được sử

dụng để hỗ trợ cho các nhân viên làm việc từ xa.
Có 8 cổng FastEthernet trên ASA 5505, tất cả kết nối đến một switch nội
bộ. 2 trong số các cổng có khả năng cung cấp Power over Ethernet (PoE) với các
thiết bị kèm theo. (ASA chính nó không thể hỗ trợ bởi PoE). The mặc định, tất cả
8 cổng được kết nối đến các VLAN giống nhau trong switch, cho phép kết nối các
thiết bị để giao tiếp ở lớp 2.Các cổng của switch có thể chia thành nhiều VLAN để
hỗ trợ các khu vực hoặc chức năng khác nhau trong một văn phòng nhỏ. ASA kết
nối với mỗi VLAN qua các interface các nhân luận lý. Bất kỳ luồng dữ liệu nào
qua giữa các VLAN đều qua ASA và các chính sách bảo mật của nó.
ASA 5505 có một khe Security Services Card (SSC) có thể chấp nhận một
tùy chọn AIPSSC-5 IPS module. Với module được cài đặt, ASA có thể tăng cường
các đặc tính bảo mật của nó với các chức năng mạng IPS
b. ASA 5510, 5520 và 5540

8

8


NHÓM 7

ASA 5510
Các model ASA 5510, 5520 và 5540 sử dụng một khuôn chung như hình
trên và có các chỉ số ở mặt trước và các phần cứng kết nối giống nhau. Các model
khác nhau trong xếp hạng hiệu suất an ninh của chúng. Tuy nhiên, ASA 5510 được
thiết kết cho các doanh nghiệp nhỏ và vừa (SMB) và các văn phòng từ xa của
doanh nghiệp lớn. ASA 5520 thích hợp cho các doanh nghiệp vừa trong khi ASA
5540 dành cho các doanh nghiệp vừa và lớn và các nhà cung cấp dịch vụ mạng.
ASA 5520 và 5540 có 4 cổng 10/100/100 có thể sử dụng để kết nối vào cơ
sở hạ tầng mạng. 4 cổng là các interface firewall chuyên dụng và không kết nối

với nhau. ASA 5510 có thể sử dụng 4 cổng 10/100 là mặc định. Nếu thêm một
giấy phép bảo mật được mua và kích hoạt 2 port làm việc ở 10/100/1000 và 2 port
FastEthernet. Một interface thứ 5 dùng để quản lý cũng có sẵn.
Các ASA 5510, 5520 và 5540 có một khe cắm SSM có thể gắn card vào :
• Four-port Gigabit Ethernet SSM: module này thêm vào 4 interface firewall vật
lý, hoặc 10/100/100 RJ45 hoặc small form-factor pluggable (SFP)- cổng cơ bản
• Advanced Inspection and Prevention (AIP) SSM: module này thêm các khả năng
của mạng nội tuyến IPS để phù hợp với bảo mật của ASA
• Content Security and Control (CSC) SSM: module này các dịch vụ kiểm soát nội
dung và chống virus toàn diện cho phù hợp với bảo mật của ASA.
c. ASA 5550

9

9


NHÓM 7

ASA 5550 được thiết kế để hỗ trợ doanh nghiệp lớn và các nhà cung cấp
dịch vụ mạng. Hình trên cho thấy mặt trước và sau. Chú ý rằng ASA 5550 trong
giống ASA 5510, 5520 và 5540. Sự khác biệt đáng chú ý nhất là ASA 5550 có 4
cổng Gigabit Ethernet (4GE-SSM) cố định trong khe cắm SSM, không thể tháo bỏ
và thay đổi.
Đặc điểm kiến trúc ASA 5550 có 2 nhóm của các interface vật lý kết nối
đến 2 bus nội được chia ra. Các nhóm interface được gọi là khe cắm 0 và 1 tương
ứng với bus 0 và 1. Khe cắm 0 gồm 4 cổng Gigabit Ethernet bằng đồng. khe cắm 1
gồm 4 cổng SFP Gigablit Ethernet bằng đồng, mặc dù chỉ có 4 trong 8 cổng có thể
được sử dụng bất cứ lúc nào.
ASA 5550 cung cấp hiệu suất cao cho các môi trường được đòi hỏi. Để tối

đa hóa thông lượng firewall, phần lớn lưu lượng nên đi từ các switch port trên bus
0 đến switch port trên bus 1. ASA có thể chuyển tiếp lưu lượng hiệu quả hơn rất
nhiều từ bus này đến bus kia nếu lưu lượng nằm trong một bus đơn.
d. ASA 5580
ASA 5580 là một model có hiệu suất cao trong họ và được thiết kế cho các
doanh nghiệp lớn, trung tâm dữ liệu, các nhà cung cấp dịch vụ lớn. Nó có thể hỗ
trợ lên đến 24 Gigabit Ethernet interfaces hoặc 12 10Gigabit Ethernet interfaces.
Đây là một trong hai model khung lớn hơn một đơn vị rack tiêu chuẩn (RU)
ASA 5580 có 2 model: ASA 5580-20 (5Gbps) và ASA 5580-40 (10Gbps).
Bộ khung bao gồm 2 port 10/100/1000 được sử dụng cho quản lý lưu lượng outofband. Hệ thống cũng sử dụng nguồn cung cấp điện dự phòng kép.

ASA 5580
ASA 5580
khung
tổng cộng
có
9 khe cắm
PCI
Express
mở rộng.
khe cắm 1
được dành
riêng cho
module
mã
hóa
gia tốc để
hỗ
trợ
cho

các phiên làm việc VPN hiệu suất cao. Khe 2-9 dành cho việc sử dụng trong tương
10

10


NHÓM 7

lai, để lại 6 khe cắm có sẵn cho các card interface mạng sau đây:
• 4-port 10/100/1000BASE-T copper Gigabit Ethernet interfaces
•
4-port
1000BASE-SX
fiber-optic
Gigabit
Ethernet
interfaces
• 2-port 10GBASE-SR 10Gigabit Ethernet fiber-optic interfaces
4. Giới thiệu về các loại VPN trên ASA
a Site to Site (IPSec)
Site-to-site VPN là một giải pháp cho phép kết nối những máy tính bên
trong mạng private thuộc nhiều văn phòng ở xa với nhau, các kết nối này sẽ thông
qua mạng internet.

Do phải đi qua hạ tầng internet chung nên để bảo bảo mật VPN Site to Site
sẽ có một số đặc điểm sau:
 Confidentiality: Dùng mã hóa để chuyển clear text thành cipher text
nhằm đảm bảo tính tin cậy
 Data integrity: Dùng hashing hoặc Hashed Message Authentication
Code (HMAC) để kiểm tra dữ liệu không bị thay đổi trên đường

truyền.
 Authentication: Chứng thực VPN peer lúc khởi đầu VPN session
bằng pre-shared key (PSK) hoặc chữ ký số. Chứng thực cũng có thể
được thực hiện liên tục bằng cách dùng HMAC, vì chỉ có 2 đầu của
VPN session mới biết secret key.
 Antireplay support: Khi VPN được thiết lập thì các VPN peer sẽ
thực hiện đánh số cho các gói tin, và nếu một gói tin được truyền lại
(có thể do attacker) thì gói tin sẽ bị drop vì thiết bị VPN tin rằng nó
đã xử lý gói tin
Một trong những cách để hiện thực Site-to-Site VPN là sử dụng IPSec.
Site-to-site IPsec VPN bao gồm các thiết bị hay hay phần mềm để thực hiện tạo
IPsec tunnel giữa hai VPN peer (còn được gọi là VPN gateway). Dựa trên thông
11

11


NHÓM 7

tin ip address của các gói tin khi đến VPN gateway thì VPN gateway sẽ mã hóa và
gửi vào IPsec tunnel đã được thiệt lập để gói tin có thể đến được đích đến cần
thiết, sau khi VPN gateway đầu bên kia nhận được gói tin nó sẽ tiến hành giải mã
dựa trên các thông số security association (SA) đã được thiết lập từ trước và
forward đến đích đến cần thiết.
e. IPSec Remote Access using VPN clients
Đáp ứng nhu cầu truy cập dữ liệu và ứng dụng cho người dùng ở xa, bên
ngoài công ty thông qua Internet. Ví dụ khi người dùng muốn truy cập vào cơ sở
dữ liệu hay các file server, gửi nhận email từ các mail server nội bộ của công ty.

IPSec VPN (Internet Protocol Security) là giao thức mạng về bảo mật

(security) và thường được liên kết với VPN (tất nhiên bạn hoàn toàn có thể dùng
IPSec ở trong mạng cục bộ LAN). IPSec VPN cho phép việc truyền tải dữ liệu
được mã hóa an toàn ở lớp mạng (Network Layer) theo mô hình OSI thông qua
các router mạng công cộng Internet được cung cấp phổ biến hiện nay như: ADSL
router, FTTH router.v.v. VPN (ở lớp mạng-Network) đề cập đến những thách thức
trong việc sử dụng Internet như là một môi trường truyền và đưa các dữ liệu đa
giao thức và nhạy cảm.
f. EZY VPN
EZY cho phép người dùng dễ dàng thiết tạo một mạng riêng ảo - VPN,
được bảo mật an toàn dữ liệu gần như tuyệt đối.
g. Anyconnect (SSL Based VPN)
 Anaconnect VPN là giải pháp tương tự như IPSEC VPN Remoteaccess.
 Mặc dù là giải pháp tương tự IPSEC VPN nhưng nó không quá phức
tạp với người dùng. Nó vẫn giữ lại các ưu diểm của Web VPN là: Dễ
dàng sử dụng và hỗ trợ hầu hết các ứng dụng.

12

12


NHÓM 7

 Đảm bao khả năng linh hoạt và mở rộng trong việc truy cập tài
nguyên từ bên ngoài nhưng vẫn đảm bảo tính bảo mật cao với SSL

h.
Clientless or WebVPN
SSL VPN, hay còn gọi là Web VPN cung cấp một sự hỗ trợ về phần mềm
cisco cho việc truy cập từ xa tới mạng công ty từ bất cứ nơi đâu trên internet. Truy

cập từ xa được cung cấp thông qua SSL (Secure Socket Layer) được enable trên
VPN Gateway.Cho phép user thiết lập kết nối thông qua trình duyệt web do đó
những user từ bất cứ hệ điều hành nào như Unix, Window, MAC hay tới những
user từ quán Internet cũng có thể truy cập đến công ty mà không phải cài bất cứ
soft nào như Cisco-vpn-client chẳng hạn. Ứng dụng sẽ được cài thẳng vào router,
khi người dùng dù ở bất kì nơi đâu miễn có một đường truyền Internet thì khi
người dùng truy cập vào địa chỉ bên ngoài của Gateway VPN [outside interface],
router này sẽ đổ soft VPN-client xuống cho người dùng cài đặt. Hầu hết cống việc
của người dùng chỉ nhấn yes, hay ok.
13

13


NHÓM 7

SSL-VPN của CISCO có 3 mode:
Clientless: người dùng chỉ có thể truy cập HTTP, Share file, tất cả truy cập
đều thông qua giao diện web.
Thin client: người dùng có thể remote desktop, telnet, POP3, SMTP, SSH,
IMAP, các ứng dụng port tĩnh.Dùng cơ chế TCP port forwarding, nhưng nhớ client
phải cài java. Port forwarding java applet.
Tunnel mode: Truy cập tất cả các tài nguyên qua kết nối nhưng ta cũng có
thể hạn chế quyền của người dùng, vd: FTP mode passive, active, SQLnet, voice,
…
Khi đăng nhập web VPN, client sẽ tải về soft, gói cài đặt nằm trong flash
hoặc disk của router. Quá trình cài đặt hầu như dễ dàng, chỉ yes và OK.

IV.


LAB
14

14


NHÓM 7

1 Sơ Đồ
 Sơ đồ cấu hình VPN site-to-site :

5. Các Bước tiến hành
 Chuẩn bị: 2 router ASA v8.2. 2 pc. 2 hub
 Cấu hình sẵn:

15

15


NHÓM 7

 Các bước tiến hành cấu hình:
Đinh nghĩa mạng inside và outside tại ASA1 và ASA2
Tạo access-list từ site1 sang site2 và ngược lại
Cấu hình NAT
Tạo isakmp/ikev1 policy
Tạo ipsec transform set(bao gồm hashing và encryption)
Tạo các Tunnel group
Tạo crypto map

Ping từ site này sang site kia(từ pc này sang pc kia)
6. Câu lệnh cấu hình tại các router
 Cấu hình port tại ASA:
ASA1(config)# int e0/0
ASA1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA1(config-if)# ip address 10.10.10.1 255.255.255.252
ASA1(config-if)# no shutdown
ASA1(config-if)# int e0/1
ASA1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA1(config-if)# ip address 192.168.100.1 255.255.255.0
ASA1(config-if)# no shutdown
ASA1(config-if)# route outside 0 0 10.10.10.2 1
 Định nghĩa mạng inside và outside:
ASA1(config)# object network INSIDE-ASA1
ASA1(config-network)# network-object 192.168.100.0 255.255.255.0
ASA1(config-network)# object net
ASA1(config-network)# object network INSIDE-ASA2
ASA1(config-network)# net
ASA1(config-network)# network-object 192.168.200.0 255.255.255.0
ASA1(config-network)# exit
 Tạo access-list
ASA1(config)# access-list VPN extended permit ip object INSIDE-ASA1
object INSIDE-ASA2
ASA1(config)# access-list NAT extended permit ip object INSIDE-ASA1
object INSIDE-ASA2

16


16


NHÓM 7

 Cấu hình NAT
ASA1(config)# nat (inside) 0 access-list NAT
 Tạo isakmp policy
ASA1(config)# crypto isakmp identity address
ASA1(config)# crypto isakmp enable outside
ASA1(config)# crypto isakmp policy 1
ASA1(config-isakmp-policy)# authentication pre-share
ASA1(config-isakmp-policy)# encryption aes-256
ASA1(config-isakmp-policy)# hash sha
ASA1(config-isakmp-policy)# group 2
ASA1(config-isakmp-policy)# lifetime 86400
 Tạo isakmp transform set
ASA1(config-isakmp-policy)# crypto ipsec transform-set MMT1 esp-aes256 esp-sha-hmac
 Tạo tunnel group:
ASA1(config)# tunnel-group 10.10.10.2 type ipsec-l2l
ASA1(config)# tunnel-group 10.10.10.2 ipsec-attributes
ASA1(config-tunnel-ipsec)# pre-shared-key pass123
ASA1(config-tunnel-ipsec)# crypto map ASA1VPN 1 match address VPN
 Tạo crypto map
ASA1(config)# crypto map ASA1VPN 1 set pfs
ASA1(config)# crypto map ASA1VPN 1 set peer 10.10.10.2
ASA1(config)# crypto map ASA1VPN 1 set transform-set MMT1
ASA1(config)# crypto map ASA1VPN 1 set security-association lifetime
seconds 28800
ASA1(config)# crypto map ASA1VPN interface outside

ASA1(config)# exit
Tiến hành tương tự với ASA2, sau đó thực hiện lện ping để kiểm tra xem
mạng giữa 2 site đã thông với nhau hay chưa:
7. Kiểm Tra kết quả
 Từ PC1 ta ping tới địa chỉ ip của PC2

17

17


NHÓM 7

 Show crypto isakmp trên router ASA:

 Như vậy quá trình thiết lập vpn site to site giữa 2 router ASA đã hoàn
thành.

V. Kết Luận
VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối
an toàn và hiệu quả để truy cập tài nguyên nội bộ từ bên ngoài thông qua mạng
Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được
tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng
riêng. Giải pháp VPN giới thiệu trong bài Lab này thích hợp cho các cách kết nối
nhiều văn phòng trụ sở xa nhau thông qua các thiết bị chuyên dụng và một đường
truyền được mã hoá ở qui mô lớn hoạt động trên nền Internet.Các Thiết bị chuyên
dụng sử dụng trong bài Lab là Tường lửa ASA của Cisco.Và được mô phỏng bằng
phần mềm GNS3.

18


18