Giỏ hàng
Làm thế nào để cấu hình IPSEC Encryption với Cisco IOS?

Làm thế nào để cấu hình IPSEC Encryption với Cisco IOS?

Cấu hình IPSEC VPN trong Cisco IOS, không hẳn là một nhiệm vụ dễ dàng kể cả đối với các chuyên gia có kinh nghiệm IT, nếu bạn chưa bao giờ cấu hình một Cisco IOS VPN, sẽ gặp một vài phức tạp khi cấu hình nó. Trong bài viết này sẽ mô tả cách thức làm việc với Cisco IOS để cấu hình IPSEC VPN và giải phẫu những phần quan trọng để người đọc nắm được phương pháp cấu hình một cách hữu ích.

IPSEC VPN là gì?

IPSec (or IP Security) cung cấp các phương pháp để xác thực và mã hóa dữ liệu IP khi nó được truyền tải qua mạng công cộng. Phương pháp này giúp thông tin dữ liệu được bảo mật an toàn khi truyền tải thông qua các mạng IP công cộng trung gian. VPN (mạng riêng ảo) được tạo ra khi dữ liệu lưu thông qua đường hầm thông qua một mạng khác. Trong trường hợp này, chúng ta sử dụng IPSec để mã hóa các đường hầm VPN.

Một đường hầm VPN site to site là một đường hầm được thiết lập vĩnh viễn để sử dụng kết nối hai mạng riêng (LAN) thông qua một mạng công cộng (thông thường là thông qua mạng Internet). Cisco IOS router có thể được sử dụng để tạo ra một đường hầm VPN site to site sử dụng IPSec. Bạn có thể sử dụng đường hầm IPSec VPN để kết nối giữa một Cisco IOS router với một Cisco router khác, Cisco PIX, Cisco ASA, hoặc một router / firewall thương hiệu khác. 

Bạn cần lưu ý phải sử dụng các Cisco IOS có hỗ trợ IPSEC / FW mới thực hiện được việc cấu hình VPN (crypto).

Ví dụ về  cấu hình IPSec VPN trong Cisco IOS

Dưới đây là một ví dụ cấu hình site to site VPN bằng cách sử dụng IPSEC để mã hóa:


interface E0/1ip address 192.168.1.254 255.255.255.0

interface Fa0/0ip address 100.0.0.1 255.255.255.0

crypto isakmp policy 1 encryption 3desauthentication pre-share crypto isakmp key secretpassword address 1.1.1.1 crypto ipsec transform-set mytransformset esp-3des esp-md5-hmac access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 crypto map Cryptomap1 10 ipsec-isakmp set peer 1.1.1.1 set transform-set mytransformset match address 101

interface Fa3/0 crypto map Cryptomap1

Bây giờ, hãy kiểm tra cấu hình này với mục đích giúp bạn hiểu nó, có thể để thực hiện nó, và khắc phục nó.

Diễn giải về cấu hình trong Cisco IOS IPSec VPN

Hãy bắt đầu từ phía trên cùng của cấu hình và đi xuống.

1. crypto policy- được sử dụng để xác định các thiết lập bảo mật ISAKMP sẽ được sử dụng giữa hai điểm. Trong ví dụ này, chúng ta thiết lập chính sách sử dụng IPSEC (với mã hóa 3des) và xác thực được thiết lập trước khi chia sẻ.

2. crypto key – được sử dụng như là chìa khóa tiền chia sẻ giữa hai router hình thành IPSec VPN

3. ipsec transform-set – được sử dụng để thiết lập các cấu hình mã hóa IPSec giữa hai router hình thành IPSec VPN

4. Access-list – ACL là rất quan trọng vì nó xác định loại dữ liệu nào được mã hóa và không được mã hóa giữa hai router. Nếu loại dữ liệu không được phép trong ACL, dữ liệu sẽ không được mã hóa.

5. Tạo crypto-map – crypto- map là tổng hợp chung của những chính sách, chìa khóa, biến đổi thiết lập, và danh sách truy cập tất cả cùng nhau. Bạn định nghĩa tên của crypto-map và tên này sau đó được sử dụng để áp dụng vào giao diện.

6. crypto map command – bạn sẽ thấy trên giao diện Fa0 / 0 bản đồ crypto {cryptomap1} trạng thái. Đây là trạng thái cuối cùng phải được thêm vào cấu hình. Đây là nơi mà các đường hầm VPN được áp dụng. Chú ý cách đặt tên các bản đồ Crypto-maps (ở đây chúng ta đặt tên là "Cryptomap1"). Crypto-map có thể có nhiều dòng khác nhau. Chú ý số "10" ở trên, cho thấy rằng chúng ta đang cấu hình dòng 10 của crypto-map. Từ đó, bạn có thể thêm dòng 20, 30,…..

Khi khởi động lại router, trang thái VPN là “down”. Đường hầm mã hóa sẽ được hình thành khi các gói dữ liệu đầu tiên được gửi đi phù hợp với ACL.

Các bộ định tuyến router được kết nối ở phía bên kia của đường hầm cũng sẽ có tất cả các thiết lập tương tự, ngoại trừ địa chỉ IP sẽ được đảo ngược.

Ngoài ra, không quên để cho phép sau đây vào ACL hoặc tường lửa: access-list 150 permit udp host 1.1.1.1 any eq isakmp access-list 150 permit esp host 1.1.1.1 any

Bạn có thể sử dụng lệnh show crypto để xem crypto maps của bạn.

Để biết thêm thông tin về cấu hình Cisco IOS VPN và crypto-map, xem tài liệu chính thức của Cisco.

IPSec VPN là kết nối quan trọng cho hầu hết các doanh nghiệp hiện nay. Có thể bạn sẽ cần phải cấu hình Cisco IOS VPN vào một thời điểm nào đó. Việc nắm bắt và hiểu để khắc phục những cấu hình phức tạp của VPN sẽ giúp bạn tiết kiệm được nhiều thời gian quý báu của mình!

(Trích dẫn bài viết của David.Davis at Petri-IT Knowledgebase)