HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG BÀI TẬP LAB THỰC HÀNH Môn An toàn mạng Bài 1 Triển khai mạng riêng ảo 1 1 MỤC LỤC 2 2 DANH SÁCH BẢNG TOC \h \z \c "Bảng[.]
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
BÀI TẬP LAB THỰC HÀNH
Môn: An toàn mạng Bài 1: Triển khai mạng riêng ảo
Trang 21 MỤC LỤC
Trang 32 DANH SÁCH BẢNG
TOC \h \z \c "Bảng" Bảng 3.1: Cấu hình trên R1 12
Bảng 3.2: Cấu hình trên R2 13
Bảng 3.3: Cấu hình trên R3 13
Bảng 3.4: Các lệnh ping từ R1 đến R3 14
Bảng 3.5: Thiết lập VPN cho R1 16
Bảng 3.6: Thiết lập VPN cho R3 17
Trang 43 DANH SÁCH HÌNH VẼ
TOC \h \z \c "Hình" Hình 2.1: Mô hình mạng VPN 7
Hình 2.2: Mô hình mạng Acess Remote VPN 7
Hình 2.3: Mô hình mạng Site – to – Site VPN 8
Hình 2.4: Giao diện GNS3 10
Hình 2.5: Giao diện Wireshark 11
Hình 3.1: Mô hình mạng trên GNS3 12
Hình 3.2: Bật wireshark trong GNS3 14
Hình 3.3: Kết quả R1 khi ping (1) 15
Hình 3.4: Giao diện wireshark khi R1 ping tới R3 (1) 15
Hình 3.5: Giao diện wireshark khi R1 ping tới R3 (2) 16
Hình 3.6: Kết quả R1 khi ping (2) 18
Hình 3.7: Wireshark bắt được gói tin ESP 19
Hình 3.8: Mô hình Remote Acess VPN 19
Hình 3.9: Giao diện chọn card mạng trên máy ảo 20
Hình 3.10: Tạo user mới 21
Hình 3.11: Nhập thông tin cho user 21
Hình 3.12: Giao diện Properties của user 22
Hình 3.13: Giao diện cài đặt Network Policy and Access Services 23
Hình 3.14: Giao diện Role Services 24
Hình 3.15: Giao diện Routing and Remote Access 25
Hình 3.16: Giao diện Configuration 26
Hình 3.17: Giao diện IPv4 27
Hình 3.18: Nhập dải IPv4 28
Hình 3.19: Giao diện Set up a new connection or network 29
Hình 3.20: Giao diện Connect to a workplace 30
Hình 3.21: Nhập user và password của user VPN 31
Hình 3.22: Nhập địa chỉ IP muốn kết nối đến 32
Trang 5Hình 3.23: Giao diện kết nối thành công 33 Hình 3.24: Kiểm tra kết nối IP của PC2 34
Trang 64 GIỚI THIỆU BÀI THỰC HÀNH
4.1 Mục đích
- Về kiến thức: Bài thực hành cung cấp cho sinh viên môi trường để áp dụng lýthuyết của môn học vào thực tế Giúp sinh viên nắm được kiến thức về IPSec quaviệc cấu hình VPN trên router của Cisco, cài đặt được VPN trên windows server
2008 và kết nối VPN trên máy client
- Về kỹ năng: Sau khi thực hành xong, sinh viên có khả năng triển khai được mạngriêng ảo
4.2 Yêu cầu
- Sinh viên hiểu được nguyên lý hoạt động của VPN
- Sinh viên cài đặt thành công VPN trên windows server 2008 và kết nối VPN trênmáy client
4.3 Thời gian thực hiện
- 4 giờ
4.4 Nhóm thực hành
- 1 sinh viên
Trang 7VPN được phát triển và phân thành hai loại như sau:
- VPN truy cập từ xa (Remote Acess VPN) ( Hình 2.)
Trang 8- Site – to – Site VPN: VPN cục bộ (Intranet VPN) và VPN mở rộng (ExtranetVPN) (Hình 2.).
Hình 2.3: Mô hình mạng Site – to – Site VPN
Trong các loại VPN trên, Remote Access VPN là VPN có cách thức hoạt động phức tạpnhất, tuy nhiên lại dễ cấu hình, thực hiện nhất và có tính phổ biến cao nhất; Do đó, bàithực hành sẽ tập trung vào kỹ thuật của VPN này, với 2 kỹ thuật chính:
- Kỹ thuật tạo đường hầm trên mạng Internet
- Kỹ thuật đảm bảo an toàn thông tin cho đường hầm chạy trên mạng internet
5.1.2 Remote Access VPN
Remote Access VPNs đây là dạng kết nối User-to-Lan, cho phép truy cập bất cứ lúc nàobằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nốiđến tài nguyên mạng của tổ chức
Khi VPN được triển khai, các nhân viên chỉ việc kết nối Internet thông qua các ISP(Internet Service Provider) và sử dụng các phần mềm VPN phía khách để truy cập mạngcông ty của họ
Các Truy Cập từ xa VPN đảm bảo các kết nối được bảo mật, mã hóa giữa mạng riêng rẽcủa công ty với các nhân viên từ xa qua một nhà cung cấp dịch vụ thứ ba (third-party)
Trang 9Hai thành phần cơ bản để tạo nên mạng riêng ảo Remote Acess VPN là:
- Đường hầm Tunnel cho phép làm “ảo” một mạng riêng: đây là quá trình đặttoàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến cóthể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng(tunnel)
- Các dịch vụ bảo mật để bảo mật dữ liệu
Các thành phần cần thiết để tạo kết nối Remote Acess VPN:
- User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phépngười dùng hợp lệ kết nối và truy cập hệ thống VPN
- Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gianhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ
- Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyềnnhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu
- Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mãhoá và giải mã dữ liệu
5.2 Giới thiệu công cụ sử dụng trong bài
5.2.1 GNS3
GNS3 là 1 chương trình giả lập mạng có giao diện đồ họa cho phép bạn có thể giả lập cácloại router Cisco sử dụng IOS (hệ điều hành của router) thật, ngoài ra còn có thể giả lậpcác thiết bị mạng khác như ATM, Frame Relay, Ethernet Switch ,Pix Firewall… và đặtbiệt có thể kết nối vào hệ thống mạng thật và sử dụng như thiết bị thật
GNS3 giúp xây dựng, thiết kế và kiểm tra mạng trong một môi trường ảo không có rủi rothật và tiếp cận các cộng đồng mạng lớn nhất để trao đổi giúp đỡ cùng nhau (Hình 2.)
Trang 10Hình 2.4: Giao diện GNS3
5.2.2 Wireshark
Wireshark là một công cụ kiểm tra, theo dõi và phân tích dữ liệu hệ thống mạng, giám sátcác gói tin theo thời gian thực, hiển thị chính xác báo cáo cho người dùng qua giao diệnkhá đơn giản và thân thiện được phát triển bởi Gerald Combs
Đến nay, WireShark vượt trội về khả năng hỗ trợ các giao thức (khoảng 850 loại), từnhững loại phổ biến như TCP, IP đến những loại đặc biệt như là AppleTalk và BitTorrent
Nó có thể được sử dụng trên Linux, Mac OS X và Windows (Hình 2.)
Trang 11Hình 2.5: Giao diện Wireshark
Trang 126 NỘI DUNG THỰC HÀNH
6.1 Cấu hình VPN cho Router
6.1.1 Chuẩn bị môi trường
- Máy thật chạy windows 8.1 có cài đặt chương trình GNS3, wireshark
6.1.2.2.Thiết lập các cấu hình cơ bản cho 3 router
- Thực hiện lần lượt trên 3 router các lệnh sau:
Trang 13R1(config-if)# ip address 192.168.1.1 255.255.255.0R1(config-if)# no shutdown
R2(config-if)# interface f0/1
R2(config-if)# ip address 192.168.2.2 255.255.255.0R2(config-if)# no shutdown
R3(config-if)# ip address 192.168.2.1 255.255.255.0R3(config-if)# no shutdown
R3(config-if)# exit
Trang 15Kết quả R1 khi ping (Hình 3.):
Hình 3.8: Kết quả R1 khi ping (1)
Giao diện wireshark khi R1 ping tới R3 (Hình 3., Hình 3.):
Hình 3.9: Giao diện wireshark khi R1 ping tới R3 (1)
Trang 16Hình 3.10: Giao diện wireshark khi R1 ping tới R3 (2)
R1(config)# crypto isakmp key 0 1234 address 192.168.2.1
R1(config)# crypto ipsec security-association lifetime seconds 86400R1(config)# access-list 100 permit ip 1.1.1.1 0.0.0.0 3.3.3.3 0.0.0.0R1(config)# crypto ipsec transform-set R1 esp-3des esp-md5-hmacR1(cfg-crypto-
Trang 17R3(config)# crypto isakmp key 0 1234 address 192.168.1.1
R3(config)# crypto ipsec security-association lifetime seconds 86400R3(config)# access-list 100 permit ip 3.3.3.3 0.0.0.0 1.1.1.1 0.0.0.0R3(config)# crypto ipsec transform-set R3 esp-3des esp-md5-hmacR3(cfg-crypto-trans)# exit
R3(config)# crypto map LAN3 10 ipsec-isakmp
Trang 186.1.2.4.Kiểm tra kết nối VPN
- Bật Wireshark và thực hiện ping từ R1 đến R3 tương tự như 3.1.2.2 đã trình bày ởtrên
- Kết quả ta ping thành công (Hình 3.11: Kết quả R1 khi ping (2) và wireshark bắtđược các gói tin có giao thức truyền tin ESP, địa chỉ nguồn (1.1.1.1) và địa chỉđích (3.3.3.3) được che dấu (thay thế bằng địa chỉ interface nối với R2) (xem Hình3.)
Hình 3.11: Kết quả R1 khi ping (2)
Trang 19Hình 3.12: Wireshark bắt được gói tin ESP
6.1.3 Kết quả mong muốn
- Cấu hình thành công các router
- Cấu hình thành công VPN trên R1 và R3
6.2 Triển khai Remote Access VPN
6.2.1 Chuẩn bị môi trường
- Mô hình (Hình 3.):
Hình 3.13: Mô hình Remote Acess VPN
- PC1: Máy ảo sử dụng Windows Server 2008 cài đặt card mạng ở chế độ Brigded
(Hình 3.).
- PC2: Máy ảo Windows 7 cài đặt card mạng ở chế độ Brigded (Hình 3.).
Trang 20Hình 3.14: Giao diện chọn card mạng trên máy ảo
Trang 21Hình 3.15: Tạo user mới
- Nhập tên và các thông tin cần thiết cho User và nhấn Creat (Hình 3.)
Trang 22- Truy cập vào user Properties của user vừa tạo, trong tab Dial-in chọn Allow
access trong mục Network Access Permission (Hình 3.).
Hình 3.17: Giao diện Properties của user
- Truy cập vào Server Manager, trong mục Roles chọn Add Roles để tiến hành cài đặt role Network Policy and Access Services (Hình 3.).
Trang 23Hình 3.18: Giao diện cài đặt Network Policy and Access Services
- Trong bước Roles Service chọn Routing and Remote Access Services và tiếp tục
quá trình cài đặt (Hình 3.)
Trang 24Hình 3.19: Giao diện Role Services
- Truy cập vào Routing and Remote Access bằng đường dẫn Start =>
Administrative Tools => Routing and Remote Access
- Chọn Configure and Enable Routing and Remote Access (Hình 3.).
Trang 25Hình 3.20: Giao diện Routing and Remote Access
- Trong Configuration chọn Custom configuration (Hình 3.).
Trang 26Hình 3.21: Giao diện Configuration
- Tiếp tục chọn VPN access và cài đặt.
- Sau khi cài đặt xong, chọn chuột phải vào tên computer rồi chọn Properties (Hình
3.)
- Trong tab IPv4 chọn Static address pool và Add (Hình 3.).
Trang 27Hình 3.22: Giao diện IPv4
- Nhập dãy địa chỉ IP bắt đầu và kết thúc tùy vào số lượng người dùng tối đa của kết
nối vpn sau đó ấn OK và OK (Hình 3.).
Trang 28Hình 3.23: Nhập dải IPv4
- Kiểm tra IP của PC1 để lấy thông tin kết nối
6.2.2.2.Cài đặt trên PC2
- Kiểm tra IP của PC2, hiện tại vẫn đang là IP do router cấp
- Mở Network and Sharing Center và chọn Set up a new connection or
network.
- Chọn Connect to a workplace (Hình 3.).
Trang 29Hình 3.24: Giao diện Set up a new connection or network
- Chọn User my Internet connection (VPN) (Hình 3.).
Trang 30Hình 3.25: Giao diện Connect to a workplace
- Nhập username và pass của user vpn vừa tạo bên PC1 và ấn connect (Hình 3.)
Trang 31Hình 3.26: Nhập user và password của user VPN
- Nhập IP public của PC1 vào Internet address và Destination name tùy chọn
(Hình 3.)
Trang 32Hình 3.27: Nhập địa chỉ IP muốn kết nối đến
- Sau khi kết nối thành công sẽ hiển thị giao diện Sau khi kết nối thành công sẽ hiểnthị giao diện (Hình 3.)
Trang 33Hình 3.28: Giao diện kết nối thành công
- Kiểm tra IP của kết nối PC2 đang sử dụng và nhận thấy IP của PC2 đang là IP dophía PC1 cấp phát (Hình 3.)
Trang 34Hình 3.29: Kiểm tra kết nối IP của PC2
6.2.3 Kết quả mong muốn
- Nắm được cách thức hoạt động của VPN
- Cài đặt được VPN trên windows server 2008
- Cấu hình được VPN trên máy client và kết nối VPN thành công đến Server