TRƯỜNG ĐẠI HỌC MỎ ĐỊA CHẤT
KHOA CÔNG NGHỆ THÔNG TIN
-----***-----
AN NINH MẠNG
Đề tài: Nghiên cứu và triển khai VPN trên ASA bằng GNS3
Giảng viên hướng dẫn:
ThS. Đỗ Như Hải
Sinh viên thực hiện:
Nhóm 2
Hà Nội -2018
MỤC LỤC
CHƯƠNG I: GNS3
3
CHƯƠNG II: VPN
3
2.1.
Mạng riêng ảo VPN
3
2.2.
Các giao thức thường dùng trong VPN:
5
CHƯƠNG III: ASA
7
3.1.
Giới thiệu Firewall ASA
7
3.2.
Các model Firewall ASA
7
3.3.
Giới thiệu về các loại VPN trên ASA
CHƯƠNG IV: TRIỂN KHAI VPN TRÊN ASA BẰNG GNS3
11
15
4.1.
Sơ Đồ
15
4.2.
Các Bước tiến hành
15
4.3.
Câu lệnh cấu hình tại các router
16
CHƯƠNG V: KẾT LUẬN
21
CHƯƠNG I: GNS3
GNS3 là một trình giả lập mạng có giao diện đồ hoạ (graphical network
simulator) cho phép bạn dễ dàng thiết kế các mơ hình mạng và sau đó chạy giả lập
trên chúng. Tại thời điểm hiện tại GNS3 hỗ trợ các IOS của Router, ATM/Frame
Relay/Ethernet, switch và hub. Bạn thậm chí có thể mở rộng mạng của mình bằng
cách kết nối nó vào mạng ảo này. Để làm được điều này, GNS3 đã dựa trên
Dynamips và một phần của Dynagen, nó được phát triển bằng Python và thơng
thơng qua PyQt và phần giao diện đồ hoạ thì sử dụng thư viện Qt, rất nổi tiếng về
tính hữu dụng của nó trong dự án KDE. GNS3 cũng sử dụng kỹ thuật SVG (Scalable
Vector Graphics) để cung cấp các biểu tượng chất lượng cao cho việc thiết kế mơ
hình mạng.
CHƯƠNG II: VPN
2.1. Mạng riêng ảo VPN
VPN là mạng riêng ảo, Virtual Private Network, là một công nghệ mạng giúp
tạo kết nối mạng an tồn khi tham gia vào mạng cơng cộng như Internet hoặc mạng
riêng do một nhà cung cấp dịch vụ sở hữu. Các tập đoàn lớn, các cơ sở giáo dục và
cơ quan chính phủ sử dụng cơng nghệ VPN để cho phép người dùng từ xa kết nối an
tồn đến mạng riêng của cơ quan mình.
3
Một hệ thống VPN có thể kết nối được nhiều site khác nhau, dựa trên khu
vực, diện tích địa lý... tượng tự như chuẩn Wide Area Network (WAN). Bên cạnh
đó, VPN còn được dùng để "khuếch tán", mở rộng các mơ hình Intranet nhằm truyền
tải thơng tin, dữ liệu tốt hơn. Ví dụ, các trường học vẫn phải dùng VPN để nối giữa
các khuôn viên của trường (hoặc giữa các chi nhánh với trụ sở chính) lại với nhau.
Nếu muốn kết nối vào hệ thống VPN, thì mỗi 1 tài khoản đều phải được xác
thực (phải có Username và Password). Những thông tin xác thực tài khoản này được
dùng để cấp quyền truy cập thông qua 1 dữ liệu - Personal Identification Number
(PIN), các mã PIN này thường chỉ có tác dụng trong 1 khoảng thời gian nhất định
(30s hoặc 1 phút).
Khi kết nối máy tính hoặc một thiết bị khác chẳng hạn như điện thoại, máy
tính bảng với một VPN, máy tính hoạt động giống như nó nằm trên cùng mạng nội
bộ với VPN. Tất cả traffic trên mạng được gửi qua kết nối an tồn đến VPN. Nhờ
đó, có thể truy cập an tồn đến các tài ngun mạng nội bộ ngay cả khi đang ở rất
xa.
Có thể sử dụng Internet giống như đang ở vị trí của của VPN, điều này mang
lại một số lợi ích khi sử dụng WiFi public hoặc truy cập trang web bị chặn, giới hạn
địa lý.
Khi duyệt web với VPN, máy tính sẽ liên hệ với trang web thông qua kết nối
VPN được mã hóa. Mọi u cầu, thơng tin, dữ liệu trao đổi giữa thiết bị và website
sẽ được truyền đi trong một kết nối an toàn. Nếu sử dụng VPN tại Hoa Kỳ để truy
cập vào Netflix, Netflix sẽ thấy kết nối của bạn đến từ Hoa Kỳ.
Các ứng dụng của VPN:
Truy cập vào mạng doanh nghiệp khi ở xa: VPN thường được sử dụng bởi
những người kinh doanh để truy cập vào mạng lưới kinh doanh của họ, bao
gồm tất cả tài nguyên trên mạng cục bộ, trong khi đang đi trên đường, đi du
lịch,... Các nguồn lực trong mạng nội bộ không cần phải tiếp xúc trực tiếp với
Internet, nhờ đó làm tăng tính bảo mật.
Truy cập mạng gia đình, dù khơng ở nhà: Bạn có thể thiết lập VPN riêng để
truy cập khi khơng ở nhà. Thao tác này sẽ cho phép truy cập Windows từ xa
thông qua Internet, sử dụng tập tin được chia sẻ trong mạng nội bộ, chơi
game trên máy tính qua Internet giống như đang ở trong cùng mạng LAN.
Duyệt web ẩn danh: Nếu đang sử dụng WiFi công cộng, duyệt web trên
những trang web khơng phải https, thì tính an tồn của dữ liệu trao đổi trong
4
mạng sẽ dễ bị lộ. Nếu muốn ẩn hoạt động duyệt web của mình để dữ liệu
được bảo mật hơn thì bạn nên kết nối VPN. Mọi thơng tin truyền qua mạng
lúc này sẽ được mã hóa.
Truy cập đến những website bị chặn giới hạn địa lý, bỏ qua kiểm duyệt
Internet, vượt tường lửa,...
Tải tập tin: Tải BitTorrent trên VPN sẽ giúp tăng tốc độ tải file. Điều này
cũng có ích với các traffic mà ISP của bạn có thể gây trở ngại.
2.2. Các giao thức thường dùng trong VPN:
IP security (IPSec):
Được dùng để bảo mật các giao tiếp, các luồng dữ liệu trong môi trường
Internet (môi trường bên ngoài VPN). Đây là điểm mấu chốt, lượng traffic qua
IPSec được dùng chủ yếu bởi các Transport mode, hoặc các tunnel (hay gọi là hầm khái niệm này hay dùng trong Proxy, SOCKS) để MÃ HÓA dữ liệu trong VPN.
Transport mode chỉ có nhiệm vụ mã hóa dữ liệu bên trong các gói (data
package - hoặc cịn biết dưới từ payload). Trong khi các Tunnel mã hóa tồn bộ các
data package đó.
Do vậy, IPSec thường được coi là Security Overlay, bởi vì IPSec dùng các
lớp bảo mật so với các Protocol khác.
Secure Sockets Layer (SSL) và Transport Layer Security (TLS):
5
Có 1 phần tương tự như IPSec, 2 giao thức trên cũng dùng mật khẩu để đảm
bảo an toàn giữa các kết nối trong mơi trường Internet.
Bên cạnh đó, 2 giao thức trên còn sử dụng chế độ Handshake - có liên quan
đến q trình xác thực tài khoản giữa client và server. Để 1 kết nối được coi là thành
cơng, q trình xác thực này sẽ dùng đến các Certificate - chính là các khóa xác thực
tài khoản được lưu trữ trên cả server và client.
Point-To-Point Tunneling Protocol (PPTP):
Là giao thức được dùng để truyền dữ liệu qua các hầm - Tunnel giữa 2 tầng
traffic trong Internet. L2TP cũng thường được dùng song song với IPSec (đóng vai
trị là Security Layer - đã đề cập đến ở phía trên) để đảm bảo quá trình truyền dữ liệu
của L2TP qua môi trường Internet được thông suốt. Không giống như PPTP, VPN sẽ
"kế thừa" tồn bộ lớp L2TP/IPSec có các key xác thực tài khoản được chia sẻ hoặc
là các Certificate.
6
CHƯƠNG III: ASA
3.1. Giới thiệu Firewall ASA
Cisco ASA viết tắt của từ: Cisco Adaptive Security Appliance. ASA là một
giải pháp bảo mật đầu cuối chính của Cisco. Hiện tại ASA là sản phẩm bảo mật dẫn
đầu trên thị trường về hiệu năng và cung cấp các mơ hình phù hợp doanh nghiệp,
tích hợp giải pháp bảo mật mạng.
Dịng sản phẩm ASA giúp tiết kiệm chi phí, dễ dàng triển khai. Nó bao gồm
các thuộc tính sau:
+ Bảo mật thời gian thực, hệ điều hành độc quyền của Cisco
+ Công nghệ Stateful firewall sử dụng thuật toán SA của Cisco
+ Sử dụng SNR để bảo mật kết nối TCP
+ Sử dụng Cut through proxy để chứng thực telnet, http, ftp
+ Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa và cũng có khả
năng tùy chỉnh những chính sách này và xây dựng lên chính sách của riêng bạn
+ VPN: IPSec, SSL và L2TP
+ Tích hợp hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS
+ NAT động, NAT tĩnh, NAT port
+ Ảo hóa các chính sách sử dụng Context
3.2. Các model Firewall ASA
7
Có tất cả 6 model khác nhau. Dịng sản phẩm này phân loại khác nhau từ tổ
chức nhớ đến mô hình doanh nghiệp vừa hay cho nhà cung cấp dịch vụ ISP. Mơ
hình càng cao thì thơng lượng, số port, chi phí càng cao. Sản phẩm bao gồm : ASA
5505, 5510, 5520, 5540, 5550, 5580-20, 5580-40.
8
a. ASA 5505
ASA 5505
ASA 5505 là model nhỏ nhất trong các dịng sản phẩm của ASA, cả về kích
thước vật lý cũng như hiệu suất. Nó được thiết kết dành cho các văn phịng nhỏ và
văn phịng gia đình Đối với các doanh nghiệp lớn hơn, ASA 5505 thường được sử
dụng để hỗ trợ cho các nhân viên làm việc từ xa.
Có 8 cổng FastEthernet trên ASA 5505, tất cả kết nối đến một switch nội bộ.
2 trong số các cổng có khả năng cung cấp Power over Ethernet (PoE) với các thiết bị
kèm theo. (ASA chính nó khơng thể hỗ trợ bởi PoE). The mặc định, tất cả 8 cổng
được kết nối đến các VLAN giống nhau trong switch, cho phép kết nối các thiết bị
để giao tiếp ở lớp 2. Các cổng của switch có thể chia thành nhiều VLAN để hỗ trợ
các khu vực hoặc chức năng khác nhau trong một văn phòng nhỏ. ASA kết nối với
mỗi VLAN qua các interface các nhân luận lý. Bất kỳ luồng dữ liệu nào qua giữa
các VLAN đều qua ASA và các chính sách bảo mật của nó.
ASA 5505 có một khe Security Services Card (SSC) có thể chấp nhận một
tùy chọn AIPSSC-5 IPS module. Với module được cài đặt, ASA có thể tăng cường
các đặc tính bảo mật của nó với các chức năng mạng IPS
9
b. ASA 5510, 5520 và 5540
ASA 5510
Các model ASA 5510, 5520 và 5540 sử dụng một khn chung như hình trên
và có các chỉ số ở mặt trước và các phần cứng kết nối giống nhau. Các model khác
nhau trong xếp hạng hiệu suất an ninh của chúng. Tuy nhiên, ASA 5510 được thiết
kết cho các doanh nghiệp nhỏ và vừa (SMB) và các văn phòng từ xa của doanh
nghiệp lớn. ASA 5520 thích hợp cho các doanh nghiệp vừa trong khi ASA 5540
dành cho các doanh nghiệp vừa và lớn và các nhà cung cấp dịch vụ mạng.
ASA 5520 và 5540 có 4 cổng 10/100/100 có thể sử dụng để kết nối vào cơ sở
hạ tầng mạng. 4 cổng là các interface firewall chuyên dụng và không kết nối với
nhau. ASA 5510 có thể sử dụng 4 cổng 10/100 là mặc định. Nếu thêm một giấy phép
bảo mật được mua và kích hoạt 2 port làm việc ở 10/100/1000 và 2 port
FastEthernet. Một interface thứ 5 dùng để quản lý cũng có sẵn.
Các ASA 5510, 5520 và 5540 có một khe cắm SSM có thể gắn card vào :
• Four-port Gigabit Ethernet SSM: module này thêm vào 4 interface firewall vật lý,
hoặc 10/100/100 RJ45 hoặc small form-factor pluggable (SFP)- cổng cơ bản
• Advanced Inspection and Prevention (AIP) SSM: module này thêm các khả năng
của mạng nội tuyến IPS để phù hợp với bảo mật của ASA
• Content Security and Control (CSC) SSM: module này các dịch vụ kiểm soát nội
dung và chống virus toàn diện cho phù hợp với bảo mật của ASA.
c. ASA 5550
ASA 5550 được thiết kế để hỗ trợ doanh nghiệp lớn và các nhà cung cấp dịch
vụ mạng. Hình trên cho thấy mặt trước và sau. Chú ý rằng ASA 5550 trong giống
ASA 5510, 5520 và 5540. Sự khác biệt đáng chú ý nhất là ASA 5550 có 4 cổng
Gigabit Ethernet (4GE-SSM) cố định trong khe cắm SSM, không thể tháo bỏ và
thay đổi.
10
Đặc điểm kiến trúc ASA 5550 có 2 nhóm của các interface vật lý kết nối đến
2 bus nội được chia ra. Các nhóm interface được gọi là khe cắm 0 và 1 tương ứng
với bus 0 và 1. Khe cắm 0 gồm 4 cổng Gigabit Ethernet bằng đồng. khe cắm 1 gồm
4 cổng SFP Gigablit Ethernet bằng đồng, mặc dù chỉ có 4 trong 8 cổng có thể được
sử dụng bất cứ lúc nào.
ASA 5550 cung cấp hiệu suất cao cho các mơi trường được địi hỏi. Để tối đa
hóa thơng lượng firewall, phần lớn lưu lượng nên đi từ các switch port trên bus 0
đến switch port trên bus 1. ASA có thể chuyển tiếp lưu lượng hiệu quả hơn rất nhiều
từ bus này đến bus kia nếu lưu lượng nằm trong một bus đơn.
ASA 5550
d. ASA 5580
ASA 5580 là một model có hiệu suất cao trong họ và được thiết kế cho các
doanh nghiệp lớn, trung tâm dữ liệu, các nhà cung cấp dịch vụ lớn. Nó có thể hỗ trợ
lên đến 24 Gigabit Ethernet interfaces hoặc 12 10Gigabit Ethernet interfaces. Đây là
một trong hai model khung lớn hơn một đơn vị rack tiêu chuẩn (RU)
ASA 5580 có 2 model: ASA 5580-20 (5Gbps) và ASA 5580-40 (10Gbps). Bộ
khung bao gồm 2 port 10/100/1000 được sử dụng cho quản lý lưu lượng out-ofband.
Hệ thống cũng sử dụng nguồn cung cấp điện dự phòng kép.
11
ASA 5580
ASA 5580 khung tổng cộng có 9 khe cắm PCI Express mở rộng. khe cắm 1
được dành riêng cho module mã hóa gia tốc để hỗ trợ cho các phiên làm việc VPN
hiệu suất cao. Khe 2-9 dành cho việc sử dụng trong tương lai, để lại 6 khe cắm có
sẵn cho các card interface mạng sau đây:
4-port 10/100/1000BASE-T copper Gigabit Ethernet interfaces
4-port 1000BASE-SX fiber-optic Gigabit Ethernet interfaces
2-port 10GBASE-SR 10Gigabit Ethernet fiber-optic interfaces
3.3. Giới thiệu về các loại VPN trên ASA
a. Site to Site (IPSec)
Site-to-site VPN là một giải pháp cho phép kết nối những máy tính bên trong
mạng private thuộc nhiều văn phịng ở xa với nhau, các kết nối này sẽ thông qua
mạng internet.
12
Do phải đi qua hạ tầng internet chung nên để bảo bảo mật VPN Site to Site sẽ
có một số đặc điểm sau:
Confidentiality: Dùng mã hóa để chuyển clear text thành cipher text nhằm
đảm bảo tính tin cậy
Data integrity: Dùng hashing hoặc Hashed Message Authentication Code
(HMAC) để kiểm tra dữ liệu không bị thay đổi trên đường truyền.
Authentication: Chứng thực VPN peer lúc khởi đầu VPN session bằng preshared key (PSK) hoặc chữ ký số. Chứng thực cũng có thể được thực hiện
liên tục bằng cách dùng HMAC, vì chỉ có 2 đầu của VPN session mới biết
secret key.
Antireplay support: Khi VPN được thiết lập thì các VPN peer sẽ thực hiện
đánh số cho các gói tin, và nếu một gói tin được truyền lại (có thể do
attacker) thì gói tin sẽ bị drop vì thiết bị VPN tin rằng nó đã xử lý gói tin
Một trong những cách để hiện thực Site-to-Site VPN là sử dụng IPSec. Siteto-site IPsec VPN bao gồm các thiết bị hay hay phần mềm để thực hiện tạo IPsec
tunnel giữa hai VPN peer (còn được gọi là VPN gateway). Dựa trên thơng tin ip
address của các gói tin khi đến VPN gateway thì VPN gateway sẽ mã hóa và gửi vào
IPsec tunnel đã được thiệt lập để gói tin có thể đến được đích đến cần thiết, sau khi
VPN gateway đầu bên kia nhận được gói tin nó sẽ tiến hành giải mã dựa trên các
thông số security association (SA) đã được thiết lập từ trước và forward đến đích
đến cần thiết.
b. IPSec Remote Access using VPN clients
Đáp ứng nhu cầu truy cập dữ liệu và ứng dụng cho người dùng ở xa, bên
ngồi cơng ty thơng qua Internet. Ví dụ khi người dùng muốn truy cập vào cơ sở dữ
liệu hay các file server, gửi nhận email từ các mail server nội bộ của công ty.
IPSec VPN (Internet Protocol Security) là giao thức mạng về bảo mật
(security) và thường được liên kết với VPN (tất nhiên bạn hoàn toàn có thể dùng
IPSec ở trong mạng cục bộ LAN). IPSec VPN cho phép việc truyền tải dữ liệu được
mã hóa an tồn ở lớp mạng (Network Layer) theo mơ hình OSI thông qua các router
13
mạng công cộng Internet được cung cấp phổ biến hiện nay như: ADSL router, FTTH
router.v.v. VPN (ở lớp mạng-Network) đề cập đến những thách thức trong việc sử
dụng Internet như là một môi trường truyền và đưa các dữ liệu đa giao thức và nhạy
cảm.
c. EZY VPN
EZY cho phép người dùng dễ dàng thiết tạo một mạng riêng ảo - VPN, được
bảo mật an toàn dữ liệu gần như tuyệt đối.
d. Anyconnect (SSL Based VPN)
Anaconnect VPN là giải pháp tương tự như IPSEC VPN Remote-access.
Mặc dù là giải pháp tương tự IPSEC VPN nhưng nó khơng q phức tạp với
người dùng. Nó vẫn giữ lại các ưu diểm của Web VPN là: Dễ dàng sử dụng và hỗ
trợ hầu hết các ứng dụng.
Đảm bao khả năng linh hoạt và mở rộng trong việc truy cập tài nguyên từ bên
ngoài nhưng vẫn đảm bảo tính bảo mật cao với SSL
e. Clientless or WebVPN
SSL VPN, hay còn gọi là Web VPN cung cấp một sự hỗ trợ về phần mềm
cisco cho việc truy cập từ xa tới mạng công ty từ bất cứ nơi đâu trên internet. Truy
cập từ xa được cung cấp thông qua SSL (Secure Socket Layer) được enable trên
VPN Gateway.Cho phép user thiết lập kết nối thơng qua trình duyệt web do đó
những user từ bất cứ hệ điều hành nào như Unix, Window, MAC hay tới những user
từ qn Internet cũng có thể truy cập đến cơng ty mà không phải cài bất cứ soft nào
như Cisco-vpn-client chẳng hạn. Ứng dụng sẽ được cài thẳng vào router, khi người
14
dùng dù ở bất kì nơi đâu miễn có một đường truyền Internet thì khi người dùng truy
cập vào địa chỉ bên ngoài của Gateway VPN [outside interface], router này sẽ đổ
soft VPN-client xuống cho người dùng cài đặt. Hầu hết cống việc của người dùng
chỉ nhấn yes, hay ok.
SSL-VPN của CISCO có 3 mode:
Clientless: người dùng chỉ có thể truy cập HTTP, Share file, tất cả truy cập
đều thông qua giao diện web.
Thin client: người dùng có thể remote desktop, telnet, POP3, SMTP, SSH,
IMAP, các ứng dụng port tĩnh.Dùng cơ chế TCP port forwarding, nhưng
nhớ client phải cài java. Port forwarding java applet.
Tunnel mode: Truy cập tất cả các tài nguyên qua kết nối nhưng ta cũng có
thể hạn chế quyền của người dùng, vd: FTP mode passive, active, SQLnet,
voice, …
Khi đăng nhập web VPN, client sẽ tải về soft, gói cài đặt nằm trong flash
hoặc disk của router. Quá trình cài đặt hầu như dễ dàng, chỉ yes và OK.
15
CHƯƠNG IV: TRIỂN KHAI VPN TRÊN ASA BẰNG GNS3
4.1. Sơ Đồ
Sơ đồ cấu hình VPN site-to-site:
4.2. Các Bước tiến hành
Chuẩn bị: 1 router ASA v9.8.1. 2 PC. 2 router ISP và R1
Cấu hình sẵn:
Thiết bị
Port
IP Address
ASA
G0/0
10.10.10.1/24
G0/1
203.200.200.2/30
F0/0
172.16.20.1/24
F0/1
117.168.100.2/30
F0/0
203.200.200.1/30
F0/1
117.168.100.1/30
R1
ISP
PC1
10.10.10.10/24
PC2
172.16.20.10/24
Các bước tiến hành cấu hình:
Cấu hình địa chỉ IP cho các cổng của thiết bị
16
Cấu hình Default Route
Cài đặt ISAKMP Policy
Tạo AccesList cho VPN Tunnel
Tạo các Tunnel Group
Cấu hình Crypto Map
Test cấu hình
Cài đặt IPSec Security Lifetime và PFS
Cấu hình NAT trên router R1
Ping từ site này sang site kia (từ pc1 này sang pc2 )
4.3. Câu lệnh cấu hình tại các router
Cấu hình port tại ASA:
#int g0/0
no sh
ip add 10.10.10.1 255.255.255.0
security-level 100
nameif inside
#int g0/1
no sh
ip add 203.200.200.2 255.255.255.252
security-level 0
nameif outside
#policy-map global_policy
class inspection_default
inspect icmp
inspect icmp erro
Cấu hình port trên ISP Router
#int f0/0
no sh
ip add 203.200.200.1 255.255.255.252
17
#in f0/1
no sh
ip add 117.168.100.1 255.255.255.252
Cấu hình port trên R1 Router
#int f0/0
no sh
ip add 172.16.20.1 255.255.255.0
#in f0/1
no sh
ip add 117.168.100.2 255.255.255.252
Cấu hình địa chỉ IP trên PC1 và PC2
PC1> ip 10.10.10.10/24 10.10.10.1
PC2> ip 172.16.20.10/24 172.16.20.1
Cấu hình Default Route cho ASA Router và R1 Router
ASA(config)#route
outside
0
0
203.200.200.1
R1(config)#ip route 0.0.0.0 0.0.0.0 117.168.100.1
Cài đặt ISAKMP Policy
ASA(config)#crypto ikev1 policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
R1(config)#crypto isakmp policy 1
authentication pre-share
encryption 3des
18
hash sha
group 2
lifetime 86400
Tạo IPSec Transform Set:
ASA(config)#crypto
esp-md5-hmac
ipsec
R1(config)#crypto ipsec
hmac
ikev1
transform-set
transform-set R1
ASA
esp-3des
esp-3des esp-md5-
Tạo Access List cho VPN Tunnel
ASA(config)#object-group network ASA-Server
network-object host 10.10.10.10
ASA(config)##object-group network R1-Server
network-object host 172.16.20.10
ASA(config)##access-list ASA2R1 extended permit
group ASA-Server object-group R1-Server
ip object-
R1(config)#ip access-list extended R12ASA
permit ip host 172.16.20.10 host 10.10.10.10
Tạo VPN Tunnel Group
ASA(config)#tunnel-group 117.168.100.2 type ipsec-l2l
ASA(config)##tunnel-group 117.168.100.2 ipsec-attributes
ikev1 pre-shared-key vpn@ASA2R1
R1(config)#crypto
203.200.200.2
isakmp
key
Cấu hình và áp dụng Crypto Map
19
0
vpn@ASA2R1
address
ASA(config)#crypto map ASA-VPN 1 match address ACL-HO2BO
ASA(config)#crypto map ASA-VPN 1 set peer 117.168.100.2
ASA(config)#crypto map ASA-VPN 1 set ikev1 transform-set ASA
ASA(config)#crypto map ASA-VPN interface outside
ASA(config)##crypto ikev1 enable outside
R1(config)#crypto map R1-VPN 1 ipsec-isakmp
set peer 203.200.200.2
set transform-set R1
match address R12ASA
R1(config)#int f0/1
crypto map R1-VPN
4.4. Kiểm tra kết quả
Từ PC1 ta ping tới địa chỉ ip của PC2
Show crypto isakmp trên router ASA:
20
Như vậy quá trình thiết lập vpn site to site giữa 2 router ASA đã hoàn thành.
21
CHƯƠNG V: KẾT LUẬN
VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an
toàn và hiệu quả để truy cập tài nguyên nội bộ từ bên ngồi thơng qua mạng
Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được
tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng.
Giải pháp VPN giới thiệu trong bài Lab này thích hợp cho các cách kết nối nhiều
văn phịng trụ sở xa nhau thơng qua các thiết bị chuyên dụng và một đường truyền
được mã hố ở qui mơ lớn hoạt động trên nền Internet.Các Thiết bị chuyên dụng sử
dụng trong bài Lab là Tường lửa ASA của Cisco.Và được mô phỏng bằng phần mềm
GNS3.
22