Tác giả: Đă
̣
ng Quang Minh

BÀI GIẢNG VPN (UPDATED 11/5/2004)

I. GIỚI THIỆU:

Công nghệ VPN cung cấp một phưong thức giao tiếp an toàn giữa các mạng riêng dựa trên
hạ tầng mạng công cộng (Internet). VPN thường được dùng để kết nối các văn phòng chi
nhánh (branch-office), các người dùng từ xa về văn phòng chính.

Giải pháp VPN của Cisco dựa trên một vài sản phẩm khác nhau, bao gồm Pix Firewall,
Cisco routers, VPN 3000/5000 Concentrator. Các protocol được dùng trong VPN bao gồm
DES (Data Encryption Standard), Triple Des (3DES), IP Security (IPSec) và Internet key
Exchange (IKE).

I.1 IPSec:

- Protocol IPSec bao gồm 4 thành phần: thành phần mã hóa (Encryption), Security
Association (làm nhiệm vụ trao đổi khóa), Data Integrity (tạm dịch: đảm bảo toàn
vẹn dữ liệu) và Origin Authentication ( kiểm tra nguồn gốc dữ liệu).
- Cả hai giải thuật DES và 3DES đều được dùng cho việc mã hóa nêu trên. Chi tiết
về DES xin xem mục 1.2. Chỉ có đầu gởi (sender) và đầu nh ận (receiver) có thể
đọc được dữ liệu.
- Security Association (SA) thường được quản lý bời IKE.
- SA thường có thể dùng pre-share-key, RSA encryption hoặc các RSA signatures.
- SA có thể được cấu hình không cần dùng IKE nhưng cách này ít được dùng.
- Nhiệm vụ của thành phần Data Integrity là đảm bảo dữ liệu đã không bị thay đổi
khi đi từ nguồn tới đích. Thành phần Data Integrity này dùng các giải thuật hash
như Encapsulating Security payload (ESP), Authentication Header (AH), Message-

Digest 5 (MD5) hoặc Secure Hash Algorithm 1 (SHA-1). Khi áp dụng ESP hoặc
AH vào một gói IP, gói IP này có thể ( mặc dù không phải là luôn luôn) bị thay đổi.
- Origin Authentication là một option của IPSec. Thành phần này dùng digital
signatures hoặc digital certificate.

I.2. DES

- DES được dùng như một phương thức mã hóa dữ liệu dùng khóa riêng (private-
key). Có hơn 72,000,000,000,000,000 khóa có thể dùng. Mỗi message có có một
khóa mới được chọn ngẫu nhiên. Khóa riêng (private-key) của đầu gởi (sender) và
đầu nhận (receiver) phải giống nhau.
- Giải thuật DES áp dụng khóa 56 bit cho mỗi block dữ liệu 64-bit. Quá trình mã
hóa có thể hoạt động ở vài chế độ và bao gồm 16 lượt thao tác (operations). Mặc dù
quá trình này đã là rất phức tạp, một vài công ty còn dùng 3DES, nghĩa là áp dụng
DES ba lần. 3DES thì khó crack hơn là DES. Phương thức để crack DES có thể
được tìm thấy trong quyển sách “Cracking DES: Secrets of Encryption Resesarch”
của nhà xuất bản O’ Reilly’s.
- Trong tương lai, DES sẽ không được xem là chuẩn nữa. Cisco có kế hoạch hỗ
trợ AES (Advance Encryption Standard) vào cuối năm 2001.

I.3.Triple DES

- 3DES dùng khóa có chiều dài là 168-bit.

I.4. IKE

- IKE chịu trách nhiệm trao đổi khóa giữa hai VPN peers.
- IKE hỗ trợ 3 kiểu kiểm tra đăng nhập (authentication): dùng khóa biết trước
(pre-share keys), RSA và RSA signature.
- IKE dùng hai protocol là Oakley Key Exchange và Skeme Key Exchange trong

ISAKMP.
- Cơ chế pre-shared key thường được dùng trong những hệ thống nhỏ. Hạn chế
của cơ chế này là việc yêu cầu cấu hình bằng tay (manual) cho mỗi đầu của kết nối
VPN. Ngoài ra, cơ chế này được xem là không có khả năng mở rộng (scale).
- Cả hai kiểu kiểm tra đăng nhập còn lại RSA dùng public-key.

II. CÁC VÍ DỤ CẤU HÌNH VPN:

II.1. Cấu hình Router- Router VPN dùng 3DES và cơ chế khóa
biết trước (pre-share key)

1. Topology

E0-(HQ-Router)-s0-----(Internet)------s0-(Remotesite1)---E0

Sơ đồ địa chỉ:

HeadQuater: E0: 10.1.1.1/24
HeadQuater: S0: 134.50.10.1/24
RemoteSite: S0 64.107.35.1/24
RemoteSite: E0: 172.16.1.0/24

2. Các bước cấu hình:

Bước 1: Cấu hình hostname

Router(config)# hostname hq-vpn-rtr

Bước 2: Cấu hình khóa ISAKMP và địa chỉ của router đầu xa. Giai đoạn 1 của quá trình
trao đổi key (phase 1) sẽ thiết lập đối tác (peer) của kết nối VPN. Sau khi khóa được trao

đổi xong, một kênh riêng (tunnel) sẽ được thiết lập.

Hq-vpn-rtr(config)# crypto isakmp key vnpro address 64.107.35.1

Bước 3: Cấu hình ISAKMP.

Trong chính sách ISAKMP này, bạn sẽ cấu hình các kiểu kiểm tra đăng nhập
(authentication), hash và các giá trị định nghĩa thời gian hiệu lực của các khóa (lifetimes
value). Hầu hết các thông số trong ISAKMP này là có giá trị mặc định và ta chỉ cần cấu
hình cho những thông số khác với giá trị mặc định.

Hq-vpn-rtr(config)# crypto isakmp policy 10
Hq-vpn-rtr(config-isakmp)# encryption 3des
Hq-vpn-rtr(config-isakmp)# authentication pre-share

Bước 4: cấu hình access-list để chỉ ra loại traffic nào sẽ được mã hóa:

Hq-vpn-rtr(config)# access-list 100 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Bước 5: cấu hình transform-set. Trong bước này, bạn có thể chỉ ra các kiểu mã hóa và kiểu
tổ hợp hash. Có nhiều chọn lựa cho các kiểu mã hóa của IPSec (DES, 3DES hoặc null);
chọn lựa protocol (ESP, AH) và kiểu hash (SHA-1 hay MD5).

Hq-vpn-rtr(config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac

Bước 6: Cấu hình crypto-map:

Do ở bước trên, bạn có thể định nghĩa nhiều transform-set. Bước này sẽ chỉ ra tranform-set
được dùng. Tên của crypto map trong trường hợp này la netcg.


Hq-vpn-rtr(config)# crypto map netcg 10 ipsec-isakmp
Hp-vpn-rtr(config-crypto-map)# set peer 64.107.35.1
Hp-vpn-rtr(config-crypto-map#set tranform-set vnpro
Hp-vpn-rtr(config-crypto-map# match address 100

Bước 7: cấu hình interface bên trong của router. Chú ý là nên cấu hình các interface
descriptions.

Hq-vpn-rtr(config)# interface f0/1
Hq-vpn-rtr(config-if)# description Inside network
Hq-vpn-rtr(config-if)# ip address 10.1.1.1 255.255.255.0

Bước 8: cấu hình interface outside:

Hq-vpn-rtr(config)# interface s0/0
Hq-vpn-rtr(config-if)# description outside network
Hq-vpn-rtr(config-if)# ip addresss 134.50.10.1 255.255.255.252
Hq-vpn-rtr(config-if)# crypto map netcg

Cấu hình RemoteSite:

Router(config)#hostname site1-rtr-vpn
site1-rtr-vpn(config)# crypto isakmp key vnpro address 134.50.10.1
site1-rtr-vpn(config)# crypto isakmp policy 10
site1-rtr-vpn(config-isakmp)# encryption 3des
site1-rtr-vpn(config-isakmp)# authentication pre-share
site1-rtr-vpn(config)# access-list 100 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
site1-rtr-vpn (config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac

site1-rtr-vpn (config)# crypto map netcg 10 ipsec-isakmp

site1-rtr-vpn (config-crypto-map)# set peer 134.50.10.1
site1-rtr-vpn (config-crypto-map)# set transform-set netcg
site1-rtr-vpn (config-crypto-map)# match address 100

site1-rtr-vpn (config)# interface F0/1
site1-rtr-vpn (config-if)# description inside network
site1-rtr-vpn (config-if)# ip address 172.16.1.1 255.255.255.0

site1-rtr-vpn (config)# interface s0/0
site1-rtr-vpn (config-if)# description outside network
site1-rtr-vpn (config-if)# ip address 64.107.35.1 255.255.255.252
site1-rtr-vpn (config-if)# crypto map netcg

Để kiểm tra kết nối VPN, bạn nên dùng phép thử ping mở rộng (extended ping)


II.2. Cấu hình Router- Router VPN dùng 3DES và cơ chế khóa
biết trước (pre-share key) với NAT




Cấu hình host Headquarter
hostname hq
!
username cisco123 password 0 cisco123
username 123cisco password 0 123cisco
!
crypto isakmp policy 5
hash md5

authentication pre-share
crypto isakmp key cisco123 address 10.64.20.45
crypto isakmp key 123cisco address 0.0.0.0
crypto isakmp client configuration address-pool local test-pool
!
crypto ipsec transform-set testset esp-des esp-md5-hmac
mode transport
!
crypto dynamic-map test-dynamic 10
set transform-set testset
!
crypto map test client configuration address initiate
crypto map test client configuration address respond
!
crypto map test 5 ipsec-isakmp
set peer 10.64.20.45
set transform-set testset
match address 115
!
crypto map test 10 ipsec-isakmp dynamic test-dynamic
!
interface FastEthernet0/0
ip address 192.168.100.1 255.255.255.0
no ip directed-broadcast
ip nat inside
duplex auto
speed auto
!
interface Serial0/0
ip address 10.64.10.44 255.255.255.0

no ip directed-broadcast
ip nat outside
no fair-queue
crypto map test
!
ip local pool test-pool 192.168.1.1 192.168.1.254
ip nat inside source route-map nonat interface Serial0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 10.64.10.43
ip http server
!
access-list 110 deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
access-list 110 deny ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 110 permit ip 192.168.100.0 0.0.0.255 any
access-list 115 deny ip any 192.168.100.0 0.0.0.255
access-list 115 permit ip any any
!
route-map nonat permit 10
match ip address 110
Cấu hình host Internet
hostname Internet
!
ip subnet-zero
no ip domain-lookup
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
interface Serial0
ip address 10.64.20.42 255.255.255.0
no fair-queue

clockrate 64000
!
interface Serial1
ip address 10.64.10.43 255.255.255.0
clockrate 64000
!
ip classless
ip route 10.64.10.0 255.255.255.0 Serial1
ip route 10.64.20.0 255.255.255.0 Serial0
Cấu hình host Branch
hostname Branch
!
ip subnet-zero
!
crypto isakmp policy 5
hash md5
authentication pre-share
crypto isakmp key cisco123 address 10.64.10.44
!
crypto ipsec transform-set testset esp-des esp-md5-hmac
mode transport
!
crypto map test 5 ipsec-isakmp
set peer 10.64.10.44
set transform-set testset
match address 115
!
interface Ethernet0
ip address 192.168.200.1 255.255.255.0
no ip directed-broadcast

ip nat inside
!
interface Serial0
ip address 10.64.20.45 255.255.255.0
no ip directed-broadcast
ip nat outside
crypto map test
!
ip nat inside source route-map nonat interface Serial0 overload
ip route 0.0.0.0 0.0.0.0 10.64.20.42
!
access-list 110 deny ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 115 deny ip any 192.168.200.0 0.0.0.255
access-list 115 permit ip any any
route-map nonat permit 10
match ip address 110

End!

Ghi chú: để có thể thử nghiệm VPN, phiên bản IOS cần là IPSec/DES.

III. CÁC LOẠI VPN:

Một mạng riêng ảo (VPN) chỉ ra việc truyền các dữ liệu riêng trên một hạ tầng
mạng công cộng. So với các công nghệ khác, để hiểu về VPN và các đặc tính phức tạp thì
người học gặp nhiều khó khăn. Trong chương này, các vấn đề sau đây sẽ được trình bày:

• Service provider VPNs
• Enterprise VPNs
• Các công nghệ VPNs ở lớp datalinks

• IPSec and security associations
• IPSec modes and protocols
• Trao đổi khóa (Key exchange), băm (hashing) , và mã hóa (encryption) trong IPSec


III.1. Service Provider, Dedicated, and Access VPNs


Trong thế giới truyền thông trước đây, các nhà cung cấp dịch vụ thường nhấn mạnh đến
các dịch vụ truyền thông ở cấp thấp, ví dụ như leased line và Frame Relay. Trong thế giới
truyền thông ngày nay, các nhà cung cấp dịch vụ thường làm việc với khách hàng để đáp
ứng các nhu cầu về mạng của khách hàng thông qua việc sử dụng VPN. Dịch vụ VPN của
các nhà cung cấp dịch vụ (còn được gọi là provider dependant VPN) là một trong những
công nghệ chủ chốt mà các nhà cung cấp dịch vu sẽ dùng để cạnh tranh trong những năm
sắp đến. VPN cho phép mở rộng các kết nối mạng của các doanh nghiệp và việc mở rộng
này được triển khai trên hạ tầng mạng chung. Một VPN có thể được xây dựng trên hạ tầng
mạng Internet hoặc trên mạng IP, FrameRelay, ATM của nhà cung cấp dịch vụ. Giải pháp
này ngày nay còn được gọi là dedicated VPN hoặc là VPN kiểu cũ.


Một dịch vụ VPN mới được gọi là Remote Access to Multiprotocol Label Switching
Virtual Private Network (RA to MPLS VPN). Dịch vụ này cho phép những người dùng
mạng từ xa (remote user) kết nối vào mạng của công ty họ. Dịch vụ này quản lý các kết nối
từ xa cho các người dùng cơ động, các văn phòng nhỏ. Giải pháp này còn được gọi là truy
cập VPN.






Từ quan điểm của nhà cung cấp dịch vụ, MPLS là một đồ hình mạng dạng full-mash hoặc
dạng hub-and-spokes, tùy thuộc vào khách hàng muốn kết nối các chi nhánh của họ như
thế nào. Từ góc độ người dùng, các ISP sẽ cung cấp dịch vụ site-to-site VPN. ISP sẽ xây
dựng một mạng IP riêng và cho phép các khách hàng khác nhau kết nối các site của họ trên
mạng IP này. Công nghệ này cho phép các khách hàng riêng rẽ xem dịch vụ MPLS như thể
họ đang có một mạng riêng kết nối các chi nhánh. Tình huống này cho phép khách hàng sử
dụng những ưu điểm giống như của các công nghệ Layer 2 như FrameRelay và ATM
nhưng lại có những đặc tính mở rộng và khả năng quản lý của layer 3. Ngoài ra, bởi vì
MPLS chạy trên một mạng IP riêng chứ không phải là Internet, các ISP có thể cung cấp các
mức khác nhau của chất lượng dịch vụ (QoS) và SLA. Tuy nhiên, do MPLS được dựa trên
mạng riêng của nhà cung cấp dịch vụ, khả năng cung cấp dịch vụ bị giới hạn bởi các khu
vực mà các ISP hoạt động.

Giải pháp Remote Access to MPLS VPN cung cấp các chọn lựa mở rộng đối với hệ thống
MPLS VPN hiện tại. Ở thời điểm hiện tại, một nhà cung cấp dịch vu ISP có thể tạo ra các
kết nối VPN hiệu quả trên hạ tầng mạng của ISP thông qua các kết nối dialup, DSL, và
Cable Modem (DOCSIS).

Với việc giới thiệu dịch vụ Remote Access to MPLS VPN, các nhà cung cấp dịch vụ đã
có thể tích hợp các phương thức truy cập khác nhau vào dịch vụ VPN của họ. Điều này cho
phép các nhà cung cấp dịch vụ ISP cung cấp thêm nhiều gói dịch vụ đến các khách hàng.
Các khuynh hướng công nghệ mới được ưa chuộng là dùng wireless, dùng vệ tinh và
multiprotocol VPN. Gần đây, Cisco cũng đã công bố công nghệ Any Transport Over
MPLS (AToM)2 tích hợp L2 tunneling vào mạng MPLS. Với việc dùng IP-based MPLS
với IPSEC/L2TP, các nhà cung cấp dịch vụ có thể cải tiến khả năng mở rộng và hiện thực
QoS.

III.2. Tổng quan về VPN cho doanh nghiệp

Enterprise VPN cung cấp các kết nối đưọc triển khai trên hạ tầng mạng công cộng với

cùng một policy như mạng riêng, ở đó các người dùng có thể có cùng performance, ứng
dụng và loại kết nối.

Cisco chia các giải pháp VPN ra thành 3 loại chính:

• Cisco Remote Access VPN
• Cisco Site-to-Site VPN
• Cisco Extranet VPN





Remote Access và site-to-site VPN cung cấp cung cấp một giải pháp để xây dựng mạng
riêng ảo cho mạng của doanh nghiệp. Các công ty có thể mở rộng mạng ra những nơi mà
trước đây không thể mở rộng. Ví dụ, trong nhiều ứng dụng, VPN cho phép tiết kiệm nhiều
chi phí thông qua các kết nối VPN. Ngoài ra, thay vì có nhiều kết nối về cùng HO, VPN
cho phép traffic cùng tích hợp vào một kết nối duy nhất.VPN còn tạo ra cơ hội để giảm chi
phí bên trong và bên ngoài doanh nghiệp. Mạng Internet hiện nay thật sự là một hạ tầng rất
tốt, cho phép doanh nghiệp thay đổi mạng của họ theo các chiều hướng chủ chốt sau đây:


• Đối với Intranets: phần lớn các công ty, đặc biệt là các công ty lớn đều phải duy trì
các kết nối WAN tốn kém. Dễ dàng nhận thấy rằng các chi phí của leased lines có
thể bị cắt giảm bởi các kết nối VPN.
• Đối với extranets: các giải pháp hiện hành cho các doanh nghiệp lớn và các đối tác
của họ thường yêu cầu dùng các đường thuê bao riêng. VPN và Internet sẽ là một
giải pháp thay thế nghiêm túc.
• Đối với dịch vụ truy cập từ xa: thay vì dùng các đường kết nối tốc độ chậm hoặc
các dịch vụ đắc tiền như ISDN/Frame Relay, các người dùng từ xa bây giờ đã có

thể sử dụng VPN thông qua các công nghệ như:

- Truy cập tốc độ cao DSL và các dịch vụ cable modem
- ISDN, Dial, Frame Relay hoặc các dịch vụ được cung cấp bởi bưu điện.
- Những người dùng cơ động (mobile user) cũng có thể tận dụng các kết nối tốc
độ cao Ethernet trong các khách sạn, sân bay. Chỉ riêng yếu tố cắt giảm chi phí
cuộc gọi đường dài trong trường hợp này cũng là một lý do rất thuyết phục để dùng
VPN.
- Một trong những lợi ích khác của VPN là các công ty có thể triển khai các ứng
dụng mới ví dụ như e-commerce. Mặc dù Internet là một hạ tầng mạng tốt, một vài
yếu tố cũng cần xem xét và được xem là trở ngại của Internet là bảo mật, QoS, độ
tin cậy và khả năng quản lý.

III.3. Phân loại Enterprise VPN:

Tất cả các công nghệ mới đòi hỏi việc phân loại để phân biệt nó với các giải pháp khác.
Cisco phân loại các giải pháp VPN khác nhau vào hai nhóm chính:

- Nhóm chức năng (functional): nhấn mạnh đến các thiết kế đặc biệt của VPN
- Nhóm công nghệ (technological): định nghĩa giải pháp VPN dựa trên mô hình
OSI và các protocol cho từng lớp.

III.3.1. Functional VPN Categories

Ba nhóm công nghệ VPN mà Cisco chia ra là Remote Access VPN, site-to-site VPN và
firewall-based VPN. Cũng cần chú ý là có một kiểu phân loại khác là remote access VPN,
Intranet VPN, extranet VPN.

III.3.1.1 Remote Access VPNs