• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Ipsec vpn

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Ipsec vpn

    I. Giới thiệu



    VPN (Virtual Private Network) hay Mạng riêng ảo là sự mở rộng của mạng riêng thông qua mạng công cộng. VPN được dùng để kết nối các văn phòng chi nhánh, người dùng lưu động từ xa kết nối về văn phòng chính



    Hình 2.1: Tổng quan IPSEC VPN dùng thiết bị Cisco


    Tên gọi "Mạng riêng ảo” có ý nghĩa như sau: "Mạng Riêng” vì nó mang ý nghĩa chỉ có công ty thiết lập nên nó thì mới sử dụng được nó. Nên việc phân chia địa chỉ và định tuyến cũng độc lập với các mạng khác. Còn “ảo” ở đây là muốn nói đến môi trường mà VPN hoạt động là dựa vào mạng công cộng.

    Lợi ích của VPN

    - Chi phí thấp: chi phí thiết lập mạng VPN thấp hơn so với các mạng WAN truyền thống như Frame Relay, ATM, Leased Line

    - Tăng cường tính bảo mật cho hệ thống: sử dụng các giao thức đóng gói, các thuật toán mã hóa và các phương pháp chứng thực để bảo mật dữ liệu trong quá trình truyền.

    - Tính mở rộng và linh động: VPN đã xóa bỏ rào cảng về mặt địa lý cho hệ thống mạng, sẵn sàng kết nối các mạng riêng lại với nhau một cách dễ dàng thông qua môi trường Internet.



    Các mode hoạt động của VPN:

    Mode hoạt động của VPN là khái niệm dùng để chỉ sự qui định các đóng gói dữ liệu trong quá trình truyền giữa các thiết bị. VPN có hai mode hoạt động là Transport và Tunnel

    - Transports mode: Dữ liệu (Layer4 Payload) được mã hóa sẽ nằm trong ESP header và ESP sẽ chèn vào giữa Layer 2 header và layer 3 header
    - Tunnel mode: Dữ liệu sẽ được mã hóa và đóng gói thành 1 IP Header mới với source và des IP mới.


    Hình 2.2: so sánh IP header của Tunnel mode và Transport mode

    Phân loại VPN:

    VPN là khái niệm chung cho việc thiết lập kênh truyền ảo, nhưng còn tùy thuộc vào mô hình mạng và nhu cầu sử dụng mà chọn loại thiết kế cho phù hợp. Công nghệ VPN có thể được phân thành 2 loại cơ bản: Site-to-Site VPN và Remote Access VPN

    - Site-to-Site VPN: là mô hình dùng để kết nối các hệ thống mạng ở các nơi khác nhau tạo thành một hệ thống mạng thống nhất. Ở loại kết nối này thì việc chứng thực ban đầu phụ thuộc vào thiết bị đầu cuối ở các Site, các thiết bị này hoạt động như Gateway và đây là nơi đặt nhiều chính sách bảo mật nhằm truyền dữ liệu một cách an toàn giữa các Site.

    Site-to-Site VPN hay còn gọi là LAN-to-LAN VPN sử dụng kết nối dạng tunnel mode giữa các Gateway. Gateway có thể là các Router hay Firewall router hỗ trợ VPN.

    - Remote Access VPN: Loại này thường áp dụng cho nhân viên làm việc lưu động hay làm việc ở nhà muốn kết nối vào mạng công ty một cách an toàn. Cũng có thể áp dụng cho văn phòng nhỏ ở xa kết nối vào Văn phòng trung tâm của công ty.

    Remote Access VPN còn được xem như là dạng User-to-LAN, cho phép người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server.

    VPN là giải pháp thiết kế mạng khá hay, VPN hoạt động nhờ vào sự kết hợp với các giao thức đóng gói: PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314

Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org
- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog

  • #2
    II.Khái quát IPSec

    IPSec – Internet Protocol security: là giao thức cung cấp những kỹ thuật để bảo vệ dữ liệu, sao cho dữ liệu được truyền đi an toàn từ nơi này sang nơi khác. IPSec VPN là sự kết hợp để tạo ra một mạng riêng an toàn phục vụ cho việc truyền dữ liệu bảo mật

    IPSec hoạt động ở lớp Network, nó không phụ thuộc vào lớp Data-Link như các giao thức dùng trong VPN khác như L2TP, PPTP.


    Hình 2.3: IPSEC hoạt động lớp network

    IPSec hỗ trợ nhiều thuật toán dùng để để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán,tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng . Những kỹ thuật mà IPSec dùng cung cấp 4 tính năng phổ biến sau:

    - Tính bảo mật dữ liệu – Data confidentiality
    - Tính toàn vẹn dữ liệu – Data Integrity
    - Tính chứng thực nguồn dữ liệu – Data origin authentication
    - Tính tránh trùng lặp gói tin – Anti-replay

    Các giao thức của IPSec

    Để trao đổi và thỏa thuận các thông số để tạo nên một môi trường bảo mật giữa 2 đầu cuối, IPSec dùng 3 giao thức:

    - IKE (Internet Key Exchange)
    - ESP (Encapsulation Security Payload)
    - AH (Authentication Header)

    IKE là giao thức thực hiện quá trình trao đổi khóa và thỏa thuận các thông số bảo mật với nhau như: mã hóa thế nào, mã hóa bằng thuật toán gì, bau lâu trao đổi khóa 1 lần. Sau khi trao đổi xong thì sẽ có được một “hợp đồng” giữa 2 đầu cuối, khi đó IPSec SA (Security Association) được tạo ra.

    SA là những thông số bảo mật đã được thỏa thuận thành công, các thông số SA này sẽ được lưu trong cơ sở dữ liệu của SA

    Trong quá trình trao đổi khóa thì IKE dùng thuật toán mã hóa đối xứng, những khóa này sẽ được thay đổi theo thời gian. Đây là đặc tính rất hay của IKE, giúp hạn chế trình trạng bẻ khóa của các attacker.

    IKE còn dùng 2 giao thức khác để chứng thực đầu cuối và tạo khóa: ISAKMP (Internet Security Association and Key Management Protocol) và Oakley.
    - ISAKMP: là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính sách bảo mật SA
    - Oakley: là giao thức làm nhiệm vụ chứng thực khóa, bản chất là dùng thuật toán Diffie-Hellman để trao đổi khóa bí mật thông qua môi trường chưa bảo mật.
    Giao thức IKE dùng UDP port 500.

    Các giai đoạn (phase) hoạt động của IKE

    Giai đoạn hoạt động của IKE cũng được xem tương tự như là quá trình bắt tay trong TCP/IP. Quá trình hoạt động của IKE được chia ra làm 2 phase chính: Phase 1 và Phase 2, cả hai phase này nhằm thiết lập kênh truyền an toàn giữa 2 điểm. Ngoài phase 1 và phase 2 còn có phase 1,5 tùy chọn.


    Hình 2.4: Các phase hoạt động của IKE

    IKE phase 1:

    Đây là giai đoạn bắt buộc phải có. Pha này thực hiện việc chứng thực và thỏa thuận các thông số bảo mật, nhằm cung cấp một kênh truyền bảo mật giữa hai đầu cuối. Các thông số sau khi đồng ý giữa 2 bên gọi là SA, SA trong pha này gọi là ISAKMP SA hay IKE SA.

    Pha này sử dụng một trong 2 mode để thiết lập SA: Main mode và Aggressive mode.

    Các thông số bảo mật bắt buộc phải thỏa thuận trong phase 1 này là:

    - Thuật toán mã hóa: DES, 3DES, AES
    - Thuật toán hash: MD5, SHA
    - Phương pháp chứng thực: Preshare-key, RSA
    - Nhóm khóa Diffie-Hellman (version của Diffie-Hellman)

    Main mode sử dụng 6 message để trao đổi thỏa thuận các thông số với nhau:
    - 2 message đầu dùng để thỏa thuận các thộng số của chính sách bảo mật
    - 2 message tiếp theo trao đổi khóa Diffire-Hellman
    - 2 message cuối cùng thực hiện chứng thực giữa các thiết bị

    Aggressive mode: sử dụng 3 message
    - Message đầu tiên gồm các thông số của chính sách bảo mật, khóa Diffie-Hellman
    - Message thứ 2 sẽ phản hồi lại thông số của chính sách bảo mật được chấp nhận, khóa được chấp nhận và chứng thực bên nhận
    - Message cuối cùng sẽ chứng thực bên vửa gửi.

    Phase 1.5

    Đây là phase không bắt buộc (optional). Phase 1 cung cấp cơ chế chứng thực giữa 2 đầu cuối tạo nên một kênh truyền bảo mật.

    Phase 1.5 sử dụng giao thức Extended Authentication (Xauth). Phase này thường sử dụng trong Remote Access VPN

    IKE phase 2
    Đây là phase bắt buộc, đến phase này thì thiết bị đầu cuối đã có đầy đủ các thông số cần thiết cho kênh truyền an toàn. Qua trình thỏa thuận các thông số ở phase 2 là để thiết lập IPSec SA dựa trên những thông số của phase 1. Quick mode là phương thức được sử dụng trong phase 2.

    Các thông số mà Quick mode thỏa thuận trong phase 2:

    - Giao thức IPSec: ESP hoặc AH
    - IPSec mode: Tunnel hoặc transport
    - IPSec SA lifetime: dùng để thỏa thuận lại IPSec SA sau một khoảng thời gian mặc định hoặc được chỉ định.
    - Trao đổi khóa Diffie-Hellman

    IPSec SA của phase 2 hoàn toàn khác với IKE SA ở phase 1, IKE SA chứa các thông số để tạo nên kênh truyền bảo mật, còn IPSec SA chứa các thông số để đóng gói dữ liệu theo ESP hay AH, hoạt động theo tunnel mode hay transport mode


    Các chức năng khác của IKE giúp cho IKE hoạt động tối ưu hơn bao gồm:

    - Dead peer detection ( DPD ) and Cisco IOS keepalives là những chức năng bộ đếm thời gian. Nghĩa là sau khi 2 thiết bị đã tạo được VPN IPsec với nhau rồi thì nó sẽ thường xuyên gửi cho nhau gói keepalives để kiểm tra tình trạng của đối tác. Mục đích chính để phát hiện hỏng hóc của các thiết bị. Thông thường các gói keepalives sẽ gửi mỗi 10s

    - Hỗ trợ chức năng NAT-Traversal: Chức năng này có ý nghĩa là nếu trên đường truyền từ A tới B nếu có những thiết bị NAT or PAT đứng giữa thì lúc này IPSec nếu hoạt động ở chế độ tunel mode và enable chức năng NAT- Trasersal sẽ vẫn chuyển gói tin đi được bình thường.

    Lưu ý : Chức năng NAT-T bắt đầu được Cisco hỗ trợ tự phiên bản IOS Release 122.2(13)T

    Nguyên nhân tại sao phải hỗ trợ chức năng NAT-T thì các packet mới tiếp tục đi được?

    Khi thực hiện quá trình mã hóa bằng ESP thì lúc này các source IP, port và destination IP, port đều đã được mã hóa và nằm gọn tron ESP Header. Như vậy khi tất cả các thông tin IP và Port bị mã hóa thì kênh truyền IPSec không thể diễn ra quá trình NAT.




    Hình 2.5: PAT lỗi do tầng 4 bị mã hoá trong gói ESP
    Do đó NAT Traversal ra đời trong quá trình hoạt động của IKE nhằm phát hiện và hỗ trợ NAT cho Ipsec.
    Các dữ liệu sẽ không bị đóng gói trực tiếp bởi giao thức IP mà nó sẽ đóng gói thông qua giao thức UDP. Và lúc này các thông tin về IP và Port sẽ nằm trong gói UDP này.

    Hình 2.6: NAT Travesal giúp hỗ trợ các gói tin đã được mã hoá có thể đi qua các thiết bị PAT
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

    Comment


    • #3
      III. Giao thức GRE

      GRE - Generic Routing Encapsulation là giao thức được phát triển đầu tiên bởi Cisco, với mục đích chính tạo ra kênh truyền ảo (tunnel) để mang các giao thức lớp 3 thông qua mạng IP.

      Cơ chế hoạt động của GRE

      Để tạo ra các kênh truyền, GRE cũng thực hiện việc đóng gói gói tin tương tự như giao thức IPSec hoạt động ở Tunnel mode. Trong quá trình đóng gói, GRE sẽ thêm các header mới vào gói tin, và header mới này cung cấp các thông số cần thiết dùng để truyền các gói tin thông qua môi trường trung gian.

      GRE chèn ít nhất 24 byte vào đầu gói tin, trong đó 20 byte là IP header mới dùng để định tuyến, còn 4 byte là GRE header. Ngoài ra GRE còn có thể tùy chọn thêm 12 byte mở rộng để cung cấp tính năng tin cậy như: checksum, key chứng thực, sequence number.


      Hình 2.7: Cấu trúc gói tin được đóng gói thêm GRE header

      Hai byte đầu tiên trong phần GRE header là GRE flag 2-byte. Phần bày chứa các cờ dùng để chỉ định những tính năng tùy chọn của GRE

      - Bit 0 (checksum): Nếu bit này được bật lên (giá trị bằng 1) thỉ phần checksum được thêm vào sau trường Protocol type của GRE header.

      - Bit 2 (key): Nếu bit này được bật lên thì phần Key tính năng chứng thực sẽ được áp dụng, đây như dạng password ở dạng clear text. Khi một thiết bị tạo nhiều tunnel đến nhiều thiết bị đích thì key này được dùng để xác định các thiết bị đích.

      - Bit 3 (Sequence number): Khi bit này được bật thì phần sequence number được thêm vào GRE header.

      Hai byte tiếp theo là phần Protocol Type chỉ ra giao thức lớp 3 của gói tin ban đầu được GRE đóng gói và truyền qua kênh truyền.

      Khi gói tin đi qua tunnel nó sẽ được thêm GRE header như trên và sau khi tới đầu bên kia của kênh truyền, gói tin sẽ được loại bỏ GRE header để trả lại gói tin ban đầu.

      GRE over IPSec

      GRE là giao thức không bảo mật, việc kết hợp với IPSec sẽ giúp tăng cường tính năng bảo mật cho kênh truyền.

      Khi IPSec kết hợp với GRE sẽ cung cấp khả năng định tuyến động trên kênh truyền, do đó tạo ra khả năng mở rộng hệ thống mạng rất lớn.

      Cơ chế hoạt động của GRE over IPSec

      GRE over IPSec là sự kết hợp giữa GRE và IPSec. Lúc này các gói tin GRE sẽ được truyền thông qua kênh truyền bảo mật do IPSec thiết lập. Điều này được thực hiện thông qua việc IPSec sẽ đóng gói gói tin GRE bởi các thông tin bảo mật của mình.

      GRE over IPSec cũng có hai mode hoạt động; Tunnel mode và Transport mode


      Hình 2.8: Cấu trúc gói tin GRE trong Tunnel và Transport mode

      Như hình trên phần IP packet ban đầu sẽ được bao bọc bởi GRE header, sau đó IPSec sẽ thêm thông tin IPSec header để cung cấp những tính năng bảo mật cho gói tin GRE rồi truyền đi. Khi gói tin đến đầu bên kia của kênh truyền, nó sẽ được thao tác ngược lại để phục hồi gói tin ban đầu.


      Cấu hình GRE over IPSec

      Cấu hình kênh truyền GRE

      Mỗi interface tunnel bao gồm các thông số
      + IP address
      + Tunnel source address
      + Tunnel destination address
      + Tunnel mode



      Hình 2.9: Cấu hình GRE trên thiết bị router Cisco
      Last edited by phamminhtuan; 09-03-2011, 08:06 PM.
      Phạm Minh Tuấn

      Email : phamminhtuan@vnpro.org
      Yahoo : phamminhtuan_vnpro
      -----------------------------------------------------------------------------------------------
      Trung Tâm Tin Học VnPro
      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel : (08) 35124257 (5 lines)
      Fax: (08) 35124314

      Home page: http://www.vnpro.vn
      Support Forum: http://www.vnpro.org
      - Chuyên đào tạo quản trị mạng và hạ tầng Internet
      - Phát hành sách chuyên môn
      - Tư vấn và tuyển dụng nhân sự IT
      - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

      Network channel: http://www.dancisco.com
      Blog: http://www.vnpro.org/blog

      Comment


      • #4
        Lab ipsec vpn trên thiết bị cisco

        I. IPSec VPN Site-to-Site


        Hình 3.1: Mô hình IPSEC hai site SAIGON và VUNGTAU
        I. Mô tả:
        Thực hiện IPSec VPN giữa hai site, đảm bảo mạng Lan thuộc SAIGON và VUNGTAU có thể giao tiếp được với nhau.
        II. Cấu hình
        B1: Cấu hình chính sách IKE (chính sách pha 1)
        SAIGON(config)#crypto isakmp policy 10
        SAIGON(config-isakmp)#hash md5
        SAIGON(config-isakmp)#encryption des
        SAIGON(config-isakmp)#group 2
        SAIGON(config-isakmp)#authentication pre-share

        B2: Xác định thông tin key và peer
        SAIGON(config)#crypto isakmp key 0 vnpro123 address 151.1.1.1

        B3:Cấu hình chính sách IPSec (chính sách pha 2)
        SAIGON(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des

        B4: Xác định luồng dữ liệu sẽ được mã hóa hay được bảo vệ
        SAIGON(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

        B5: Cấu hình Crypto map
        SAIGON(config)#crypto map MYMAP 10 ipsec-isakmp
        % NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
        SAIGON(config-crypto-map)#set peer 151.1.1.1
        SAIGON(config-crypto-map)#set transform-set MYSET
        SAIGON(config-crypto-map)#match address 100

        B6: Cấu hình crypto map lên cổng

        SAIGON(config)#interface s1/0
        SAIGON(config-if)#crypto map MYMAP

        Các bước làm tương tự trên VUNGTAU

        III. Cấu hình đầy đủ:

        SAIGON
        Building configuration...

        Current configuration : 1644 bytes
        !
        hostname SAIGON
        !
        no aaa new-model
        ip cef
        !
        crypto isakmp policy 10
        hash md5
        authentication pre-share
        group 2
        crypto isakmp key vnpro123 address 151.1.1.1
        !
        !
        crypto ipsec transform-set MYSET esp-des esp-md5-hmac
        !
        crypto map MYMAP 10 ipsec-isakmp
        set peer 151.1.1.1
        set transform-set MYSET
        match address 100
        !
        interface Loopback0
        ip address 192.168.1.1 255.255.255.0
        !
        interface FastEthernet0/0
        no ip address
        shutdown
        duplex half
        !
        interface Serial1/0
        ip address 150.1.1.1 255.255.255.0
        no fair-queue
        serial restart-delay 0
        clock rate 64000
        crypto map MYMAP
        !

        !
        ip route 0.0.0.0 0.0.0.0 150.1.1.2
        access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
        !
        !
        end


        VUNGTAU
        Building configuration...

        Current configuration : 1632 bytes
        hostname VUNGTAU
        !
        !
        no aaa new-model
        ip cef
        !

        crypto isakmp policy 10
        hash md5
        authentication pre-share
        group 2
        crypto isakmp key vnpro123 address 150.1.1.1
        !
        !
        crypto ipsec transform-set MYSET esp-des esp-md5-hmac
        !
        crypto map MYMAP 10 ipsec-isakmp
        set peer 150.1.1.1
        set transform-set MYSET
        match address 100
        !

        interface Loopback0
        ip address 192.168.2.1 255.255.255.0
        !
        interface FastEthernet0/0
        no ip address
        shutdown
        duplex half
        !
        interface Serial1/0
        ip address 151.1.1.1 255.255.255.0
        serial restart-delay 0
        clock rate 64000
        crypto map MYMAP
        !
        ip route 0.0.0.0 0.0.0.0 151.1.1.2
        no ip http server
        no ip http secure-server
        !
        !
        access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
        !
        end


        ISP
        Building configuration...

        Current configuration : 1020 bytes
        !
        hostname ISP
        !
        !
        no aaa new-model
        ip subnet-zero
        !
        !interface Serial0/0
        ip address 150.1.1.2 255.255.255.0
        clockrate 2000000
        !
        interface Serial0/1
        ip address 151.1.1.2 255.255.255.0
        clockrate 2000000
        !
        !
        ip classless

        IV. Kiểm tra:

        Kích hoạt tunnel dựa vào traffic được xác định trên acl 100.

        SAIGON#ping 192.168.2.1 source 192.168.1.1

        Type escape sequence to abort.
        Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
        Packet sent with a source address of 192.168.1.1
        !!!!!
        Success rate is 100 percent (5/5), round-trip min/avg/max = 80/118/176 ms

        Sau khi tunnel được thiết lập có thể kiểm tra thông tin vế pha 1 và pha 2

        Trạng thái ISAKMP SA
        SAIGON#sh crypto isakmp sa
        IPv4 Crypto ISAKMP SA
        dst src state conn-id slot status
        151.1.1.1 150.1.1.1 QM_IDLE 1001 0 ACTIVE

        IPv6 Crypto ISAKMP SA

        Trạng thái IPSEC SA
        SAIGON#sh crypto ipsec sa

        interface: Serial1/0
        Crypto map tag: MYMAP, local addr 150.1.1.1

        protected vrf: (none)
        local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
        remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
        current_peer 151.1.1.1 port 500
        PERMIT, flags={origin_is_acl,}
        #pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9 => Gói được mã hóa
        #pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9 => Gói được giải mã
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 1, #recv errors 0

        local crypto endpt.: 150.1.1.1, remote crypto endpt.: 151.1.1.1
        path mtu 1500, ip mtu 1500, ip mtu idb Serial1/0
        current outbound spi: 0x1A166DE8(437677544)

        inbound esp sas: => SA sử dụng cho gói đi vào
        spi: 0x7507C194(1963442580) =>Tương ứng với outbound của peer
        transform: esp-des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 1, flow_id: SW:1, crypto map: MYMAP
        sa timing: remaining key lifetime (k/sec): (4569737/3545)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

        inbound ah sas:

        inbound pcp sas:

        outbound esp sas: =>SA sử dụng cho gói đi ra
        spi: 0x1A166DE8(437677544) =>Tươmg ứng với inbound của peer
        transform: esp-des esp-md5-hmac ,
        in use settings ={Tunnel, }
        conn id: 2, flow_id: SW:2, crypto map: MYMAP
        sa timing: remaining key lifetime (k/sec): (4569737/3544)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

        outbound ah sas:

        outbound pcp sas:

        SAIGON#sh crypto session detail
        Crypto session current status

        Code: C - IKE Configuration mode, D - Dead Peer Detection
        K - Keepalives, N - NAT-traversal, X - IKE Extended Authentication

        Interface: Serial1/0
        Uptime: 00:01:46
        Session status: UP-ACTIVE =>Trạng thái của session
        Peer: 151.1.1.1 port 500 fvrf: (none) ivrf: (none)
        Phase1_id: 151.1.1.1
        Desc: (none)
        IKE SA: local 150.1.1.1/500 remote 151.1.1.1/500 Active
        Capabilities:(none) connid:1001 lifetime:23:58:13
        IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 192.168.2.0/255.255.255.0 =>Dữ liệu được bảo vệ
        Active SAs: 2, origin: crypto map
        Inbound: #pkts dec'ed 9 drop 0 life (KB/Sec) 4569737/3493
        Outbound: #pkts enc'ed 9 drop 1 life (KB/Sec) 4569737/3493

        Số lượng kết nối được mở ( 1 cho IKE và 2 cho IPSec)
        SAIGON#sh crypto engine connections active
        Crypto Engine Connections

        ID Interface Type Algorithm Encrypt Decrypt IP-Address
        1 Se1/0 IPsec DES+MD5 0 9 150.1.1.1
        2 Se1/0 IPsec DES+MD5 9 0 150.1.1.1
        1001 Se1/0 IKE MD5+DES 0 0 150.1.1.1

        Có thể xóa kết nối với dòng lệnh:

        SAIGON#clear crypto session
        SAIGON#sh crypto isakmp sa
        IPv4 Crypto ISAKMP SA
        dst src state conn-id slot status
        151.1.1.1 150.1.1.1 MM_NO_STATE 1001 0 ACTIVE (deleted)

        Trong quá trình cấu hình, có thể dùng câu lệnh debug crypto isakmp để kiểm tra tiến trình thiết lập.
        Phạm Minh Tuấn

        Email : phamminhtuan@vnpro.org
        Yahoo : phamminhtuan_vnpro
        -----------------------------------------------------------------------------------------------
        Trung Tâm Tin Học VnPro
        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
        Tel : (08) 35124257 (5 lines)
        Fax: (08) 35124314

        Home page: http://www.vnpro.vn
        Support Forum: http://www.vnpro.org
        - Chuyên đào tạo quản trị mạng và hạ tầng Internet
        - Phát hành sách chuyên môn
        - Tư vấn và tuyển dụng nhân sự IT
        - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

        Network channel: http://www.dancisco.com
        Blog: http://www.vnpro.org/blog

        Comment


        • #5
          Em xin hỏi là các trường trong IP header có mục đính gì :
          -esp Trailer : dùng để kiểm tra tính toàn vẹn ?
          -esp auth : dùng cho việc xác thực ?
          esp hdr : dùng để làm gì ah ?

          Comment


          • #6
            up up up :-p

            Comment


            • #7
              Bạn thiết kế thêm 1 PC và 1 SW nhé..PC có thể là máy thật hoặc máy ảo cài wireshark. Như mô hình này bạn:

              Trên SW mình đấu thêm PC cài wireshark để bắt gói tin nhé.
              Lâm Văn Tú
              Email :
              cntt08520610@gmail.com
              Viet Professionals Co. Ltd. (VnPro)
              149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
              Tel: (08) 35124257 (5 lines)
              Fax (08) 35124314
              Tập tành bước đi....


              Comment


              • #8
                bài này mất hình rồi nha AD check lại thêm hình vô cái :3 tks

                Comment

                • Working...
                  X