Nguyên cứu hệ thống hạ tầng mạng cơ chế routing, bảo mật dữ liệu trên Cisco.

1. Cấu hình router đóng vai trò NTP server. Theo như sơ đồ hình trên thì R3 sẽ đóng vai trò là ISP, R1 sẽ đóng vai trò Site1, R2 sẽ đóng vai trò Site2. Để cấu hình NTP server thì em sẽ chọn router R3 tức là router ISP đóng vai trò NTP server còn R1,R2 sẽ đóng vai trò là NTP Client. Trước tiên để cấu hình NTP cho các router thì các router phải liên lạc được với nhau. Ở phần này em chưa cấu hình VPN thì có nghĩa R1,R2 chỉ có thể liên lạc với ISP mà thôi chứ R1, R2 chưa thể liên lạc với nhau. Bây giờ em sẽ cấu hình hình IP cho các interface rồi kiểm tra kết nối giữa các router. Trước tiên là R3 tức router ISP. Router ISP này em sẽ cấu hình interface s00 ,s01, f00. Kề tiếp em sẽ cấu hình interface của router R1. Router R1 gồm các interface s00, f00 Kề tiếp em sẽ cấu hình interface của router R2. Router R1 gồm các interface s00, f00. Sau khi cấu hình xong kiểm tra việc kết nối giữa router R1,R2 với router R3 tức router ISP.

NHẬT KÝ THỰC TẬP TẠI TRUNG TÂM ATHENA

Họ tên: Phạm Đức Thuận

Là sinh viên thực tập tại Trung tâm Athena

Ca thực tập chiều 2,4,6

Tuần 5,6 (Từ ngày 19/3/2012 tới ngày 30/3/2012)

Tên đề tài: Nguyên cứu hệ thống hạ tầng mạng- cơ chế routing, bảo mật

dữ liệu trên Cisco.

Trong 2 tuần này em đã làm được các phần sau:

1 Cấu hình router đóng vai trò NTP Server.

2 Cấu hình VPN IPsec site to site.

3 Cấu hình router lấy certificate từ Win 2K3.

4 Cấu hình tích hợp Easy VPN vào router.

5 Cấu hình VPN client.

Sơ đồ hình mà em sẽ cấu hình gồm có 3 router, 2 PC(1 PC cài WIN 2k3 có cài dịch vụ

CA, 1 PC cài win XP để làm VPN client)

1 Cấu hình router đóng vai trò NTP server.

Theo như sơ đồ hình trên thì R3 sẽ đóng vai trò là ISP, R1 sẽ đóng vai trò Site1, R2 sẽ đóng vai trò Site2

Để cấu hình NTP server thì em sẽ chọn router R3 tức là router ISP đóng vai trò NTP server còn R1,R2 sẽ đóng vai trò là NTP Client

Trước tiên để cấu hình NTP cho các router thì các router phải liên lạc được với nhau Ở phần này em chưa cấu hình VPN thì có nghĩa R1,R2 chỉ có thể liên lạc với ISP mà thôi chứ R1, R2 chưa thể liên lạc với nhau

Bây giờ em sẽ cấu hình hình IP cho các interface rồi kiểm tra kết nối giữa các router

Trước tiên là R3 tức router ISP Router ISP này em sẽ cấu hình interface

s0/0 ,s0/1, f0/0

Kề tiếp em sẽ cấu hình interface của router R1 Router R1 gồm các interface s0/0, f0/0

Kề tiếp em sẽ cấu hình interface của router R2 Router R1 gồm các interface s0/0, f0/0.

Sau khi cấu hình xong kiểm tra việc kết nối giữa router R1,R2 với router R3 tức router ISP

Router R2 ping thành công với router ISP.

Router R3 ping thành công với router ISP

Bây giờ để cấu hình NTP Server thì trước tiên em phải chỉnh lại thời gian trên router ISP cho chính xác bằng câu lệnh clock set hh:mm:ss day month year

Bây giờ em sẽ cấu hình Router ISP thành NTP server Với câu lệnh cực kỳ đơn

giản là ntp master stratum Stratum là một con số cho biết đồng hồ của server con

số càng nhỏ càng chính sách và cũng là con số để NTP client lựa chọn để đồng bộhóa

Sau khi cấu hình xong router ISP thành NTP Server thì kế tiếp em sẽ cấu hình router R1, R2 thành NTP Client

Trước tiên là router R1 thành NTP Client

Sau đó kiểm tra lại trạng thái của NTP Client của router R1 bằng câu lệnh show ntp status.

Kế tiếp là router R2 thành NTP Client

Sau đó kiểm tra lại trạng thái của NTP Client của router R2 bằng câu lệnh show ntp status.

Như vậy em đã cấu hình router thành NTP Server Vì vậy việc đồng bộ thời gian giữa các router đã chính xác

2 Cấu hình VPN IPsec site to site

Để cấu hình VPN Ipsec site to site thì trước tiên ở 2 router R1 và R2 phải cấu hình Default route trỏ về router ISP

Trước tiên là router R1 em sẽ cấu hình Default route

Kế tiếp là router R2 em sẽ cấu hình Default route

Sau đây kế tiếp em sẽ trình bày cấu hình IPSec Site to Site giữa 2 router R1 và R2 Sau khi cấu hình xong thì dãy IP 192.168.100.0/24 của router R1 sẽ có thể liên lạc được với dãy IP 192.168.200.0/24 của router R2.

Em sẽ cấu hình cho router R1 Trước tiên em sẽ cấu hình Internet Key

Exchange(IKE) cho router R1

Kế tiếp là ta sẽ tạo share key cho router R1 để mà giao tiếp qua VPN

Sau đó em sẽ quy định thời gian lifetime cho router R1 tham gia quá trình VPN

Kế tiếp em sẽ tạo một access-list và một tranform-set cho router R1 tham gia quá trình VPN

Kế tiếp nữa là em sẽ cấu hình crypto map cho router R1.

Cuối cùng em sẽ gán crypto map này vào interface s0/0 của router R1

Em sẽ cấu hình cho router R2 Trước tiên em sẽ cấu hình Internet Key Exchange(IKE) cho router R2

Kế tiếp là ta sẽ tạo share key cho router R2 để mà giao tiếp qua VPN

Sau đó em sẽ quy định thời gian lifetime cho router R2 tham gia quá trình VPN

Kế tiếp em sẽ tạo một access-list và một tranform-set cho router R2 tham gia quá trình VPN

Kế tiếp nữa là em sẽ cấu hình crypto map cho router R2

Cuối cùng em sẽ gán crypto map này vào interface s0/0 của router R2

Như vậy quá trình cấu hình VPN site to site cho 2 router đã thành công.

Bây giờ em sẽ kiểm tra quá trình VPN này bằng cách lấy PC Win 2k3 ping thử IP 192.168.200.254

Kết quả ping từ mạng 192.168.100.0/24 sang 192.168.200.0/24 đã thành công.Như vậy quá trình cấu hình VPN Site To Site đã thành công

3 Cấu hình router lấy certificate từ Win 2K3

Ở đây em sẽ không trình bày cách cài đặt Certificate serivces và cài đặt thêm SCEP Giả sử em đã cài đặt thành công dịch vụ Certificate serivces trên Win 2K3

Vì vậy em sẽ phải kiểm tra lại Certificate nào đã issue trên Server chưa

Bây giờ em sẽ cấu hình router R1 lấy Certificate về cho mình

Để có certificate thì router R1 phải gửi yêu cầu này về cho server chứng thực

Tiếp tục

Sau đó vào server issue certificate này cho router R1 Và sau đó R1 đã được cấp certificate cho mình

Vào router R1 kiểm tra certificate của mình

Như vậy quá trình cấp certificate cho router R1 đã thành công

Kế tiếp là cấu hình cho router R2 lấy Certificate từ WIN 2K3 qua môi trường VPN

Để có certificate thì router R2 phải gửi yêu cầu này về cho server chứng thực

Tiếp tục

Sau đó vào server issue certificate này cho router R2 Và sau đó R2 đã được cấp certificate cho mình

Vào router R2 kiểm tra certificate của mình

Như vậy quá trình cấp certificate cho router R2 đã thành công

Tới đây em xin kết thúc phần cấu hình cấp certificate cho router R1 và R2

4 Cấu hình tích hợp Easy VPN vào router

Ở phần này em sẽ trình bày các bước cấu hình Easy VPN server vào một router

Ở đây em sẽ cấu hình cho router R1 thành VPN Server

B1: Sẽ bật tính năng AAA trên router R1

B2: Cấu hình AAA trên router R1

B3: Tạo một dãy IP sẽ cấp cho client trong quá trình kết nối VPN

B4: Tạo một IKE policy

B5: Cấu hình một group cho client mà client sẽ dùng kết nối vào vpn server

B6: Cấu hình một Ipsec Transform set cho router

B7: Tạo và cấu hình một dynamic crypto map cho router

B8: Tạo và cấu hình một crypto map cho router

B9: Gán crypto map vpn này vào interface s0/0

Tới đây việc cấu hình tích hợp Easy VPN server vào router R1 đã thành công

5 Cấu hình VPN client

Ở phần này em sẽ trình bày VPN client cách xin certificate từ máy server 2003 Nhưng để xin được certificate thì trên máy client sẽ phải cài một phần mềm của cisco gọi là cisco vpn client của hãng cisco Dùng phần mềm này thì client có thể kết nối với server 2k3 thông qua môi trường VPN đã cấu hình ở trên

Việc hướng dẫn cài đặt chương trình cisco vpn client thì sẽ không trình bày cụ thể Sau khi cài đặt thành công thì giao diện của VPN client có giao diện như sau.

Sau đó kiểm tra lại IP của máy client và thử kết nối đến router ISP

Kết nối thành công tới router ISP Nhưng lúc này chưa có kết nối thông qua môi trường VPN thì chắc chắn không thể liên lạc IP của máy server

Không thành công Vì vậy bây giờ em sẽ trình bày cách kết nối tới máy server thông qua môi trường VPN

Trước tiên mở chương trình cisco vpn client lên rồi chọn icon New+

Trong mục :

+ Connection Entry: Mình sẽ đặt tên gì cũng được

+ Description: miêu kết nối VPN

+ Host: IP bên ngoài của router R1 tức router VPN_Server

+ Authentication: cơ chế chứng thực trong đó :

++ Name: chính là tên group mà em đã cấu hình trong phầncấu hình group của router R1

++ Password: chính là key trong phần cấu hình group của router R1

Sau đây em sẽ điền thông tin như sau:

+ Connection Entry: Thuan_Athena

+ Description: Đây là kết nối đến với Win server 2k3

+ Host: 192.16.12.1

+ Authentication: cơ chế chứng thực trong đó :

++ Name: vpnclient ++ Password: 12345678

Bấm save rồi

Sau đó chọn tab Connect thì chương trình yêu cầu username và password của

router R1 Ở đây username là thuan còn password là cisco.

Sau khi chứng thực username và password trùng thì kết nối PVN thành công Vì vậy sau khi kết nối thì client sẽ được cấp một IP mới trong dãy IP mà em đã khai báo ở trên từ 172.16.1.1 > 172.16.1.254 với SM:255.255.0.0

Sau khi đã có IP thì tức nhiên client sẽ có thể liên lạc được với máy server

Sau khi liên lạc được với server thì bây giờ em sẽ trình bày cách máy client xin certificate cho mình Trước tiên client phải mở trình duyệt rồi gõ như sau

Chọn Request a certificate

Chọn advanced certificate request

Chọn Create and submit a request to this CA

Điền phần:

+ Name: Thuan_client@thuan.com

+ Type of certificate needed: chọn Ipsec Certificate

+ Check chọn Store certifiacte in the local computer certificate

store

Chọn Submit

Hộp thoại chọn yes

Việc xin certifiacte đã thành công

Sau đó vào máy server 2k3 kiểm tra lại certificate đã có chưa

Server sẽ phải issue certificate cho client Và kiểm tra lại certificate của client

Tới đây việc cấp certifiacte cho client đã thành công.

Em xin kết thức phần trình bày cấu hình VPN site to site certificate