Tổng lượt truy cập

Thursday, December 2, 2010

Remote Access VPN Trên Cisco 7200 Router

Trong bài viết này sẽ giới thiệu với các bạn những nhiệm cơ bản để cấu hình một IP-based, remote access VPN trên một Cisco 7200 Router. Trong trường hợp Remote Access VPN business, một remote user đang chạy phần mềm VPN client trên một PC sẽ thiết lập một kết nối đến Cisco 7200 Rouer ở Headquarter.
Những cấu hình thực hiện trong bài viết này đều dựa trên Cisco 7200 Router. Nếu bạn có một Cisco 2600 series router hoặc một Cisco 3600 series router, thì bạn có thể cấu hình khác đi một chút, thông thường sự khác biệt này không đáng kể.

- Trong bài viết này chủ yếu mô tả về những tính năng cơ bản và cách thức cấu hình được sử dụng trong trường hợp Remote Access VPN. Một số những tính năng của Cisco IOS security software không được giới thiệu trong bài viết này cũng có thể được sử dụng để tăng khả năng thực thi và mở rộng cho kết nối VPN của bạn.
- Bài viết này sẽ bao gồm những chủ đề sau:

+ Mô tả trường hợp kết nối
+ Cấu hình một Cisco IOS VPN Gateway để sử dụng với Cisco Secure VPN Client Software
+ Cấu hình một Cisco IOS VPN Gateway để sử dụng với Microsoft Dial-up Networking
+ Cấu hình Cisco IOS Firewall Authentication Proxy
+ Các ví dụ cấu hình.

I. Mô tả trường hợp kết nối

- Hình 1.1 hiển thị mạng của headquaters cung cấp một kết nối truy cập cho một user từ xa đến corporate intranet. Trong trường hợp này, headquarters và remote user đang kết nối trực tiếp thông qua một tunnel bảo mật đã được thiết lập dựa trên kiến trúc IP (chính là Internet). Remote User có khả năng truy cập vào bên trong mạng, truy cập vào các trang web nội bộ và thi hành một số nhiệm vụ khác dựa trên IP. hình 1.1
- Hình 1.2 sẽ hiển thị các thành phần vật lý trong trường hợp này. Mạng Internet cung cấp một kết nối giữa headquarter và remote user. Headquater đang sử dụng một Cisco IOS VPN gateway (là: cisco 7200 series được tích hợp một module ISA hoặc VAM) và remote user đang chạy phần mềm VPN Client của Cisco trên một PC.
- Tunnel đã được cấu hình trên interface serial 1/0 của Headquarter và các router remote office. Interface Fast Ethernet 0/0 của router Headquarter đang kết nối trực tiếp đến một server nội bộ của corporate và Fast Ethernet 0/1 đang kết nối trực tiếp đến Web Server.

hình 1.2
- Các bước cấu hình trong trường hợp này là được thực hiện trên Headquarter Router. Bảng 1.3 là danh sách những tham số cấu hình cần thiết cho các thành phần vật lý của Headquarter Router và Remote User.

hình 1.3
II. Cấu hình một Cisco IOS VPN Gateway để sử dụng với Cisco Secure VPN Client Software

- Sử dụng phần mềm Cisco Secure VPN client, một remote user có thể truy cập vào mạng Corporate Headquarter thông qua một Secure IPSec tunnel. Mặc dù Cisco IOS VPN Gateway có khả năng hỗ trợ phần mềm Cisco Secure VPN Client, nhưng trong bài viết này không đề cập đến phương pháp cấu hình gateway của bạn cho việc sử dụng nó.

III. Cấu hình một Cisco IOS VPN Gateway để sử dụng với Microsoft Dial-up Networking.

- Sử dụng Microsoft Dial-up Networking (DUN), được tích hợp sẵn với Microsoft Windows 95, Microsoft Windows 98, Microsoft Windows NT 4.0, Microsoft Windows 200, XP, một remote user có thể sử dụng Point-to-Point Tunneling Protocol (PPTP) với Microsoft Point-to-Point Encryption (MPPE) để truy cập vào mạng của Corporate Headquater thông qua một tunnel bảo mật.

- Sử dụng PPTP/MPPE, các user có thể sử dụng mọi tài khoản của các ISP khác nhau và địa chỉ IP Internet-routeable để truy cập vào edge của Enterprise Network. Tại edge, thì các gói tin IP sẽ được detunneled và dải địa chỉ IP của Enterprise sẽ được sử dụng để truyền dữ liệu trong Internal Network. MPPE sẽ cung cấp một dịch vụ mã hóa để bảo vệ các luồng dữ liệu được truyền trên Internet. MPPE có khả năng mã hóa với độ dài là 40bit, và 128 bit.

- Như một sự lựa chọn, một Remote User với một phần mềm client được tích hợp sẵn vào hệ điều hành Microsoft Windows 2000 hoặc XP có thể sử dụng Layer 2 Tunneling Protocol (L2TP) với IPSec để truy cập vào hệ thống mạng Corporate Headquarter thông qua một Tunnel bảo mật.

- Bởi vì L2TP là một giao thức chuẩn, nên các Enterprise có thể có nhiều lựa chọn dùng L2TP với các sản phẩm của các hãng khác nhau. Triển khai L2TP là một giải pháp cung cấp một tính năng mềm dẻo, khả năng mở rộng cho môi trường mạng truy cập từ xa mà không cần bận tâm nhiều đến vấn đề bảo mật dữ liệu truyền.
- Trong phần này sẽ bao gồm một số chủ đề quan trọng sau:

+ Cấu hình PPTP/MPPE
+ Kiểm tra PPTP/MPPE
+ Cấu hình L2TP/IPSec

1. Cấu hình PPTP/MPPE

-PPTP là một giao thức cho phép tạo ra một đường truyền dữ liệu bảo mật của data từ một remote client đến một private enterprise serser bằng cách tạo một VPN thông qua các mạng truyền dữ liệu dựa trên TCP/IP. PPTP có khả năng hỗ trợ on-demand, nhiều giao thức, mạng VPN trên các mạng public, như Internet.
- MPPE là một công nghệ mã hóa được phát triển bởi Microsoft để mã hóa các liên kết point-to-point. Những kết nối này có thể được tạo trên một đường dialup hoặc trên một VPN Tunnel. MPPE làm việc như một tính năng con của giao thức Microsoft Point-to-Point Compression (MPPC).

- MPPE sử dụng thuật toán RC4 với hai loại khóa 40 và 128 bit. Tất cả các khóa sẽ được truyền dưới dạng cleartext. RC4 là một stream cipher; vì vậy, các frame sẽ được mã hóa và giải mã đều có kích thước như nhau. Cisco triển khai giao thức MPPE để cho phép tương thích với Microsoft và sử dụng tất cả các tùy chọn có thể, bao gồm chế độ Historyless. Chế độ Historyless có thể làm tăng thêm thông lượng thực sự trong môi trường high-loss như VPN.

- Trong phần cấu hình PPTP/MPPE sẽ bao gồm những nhiệm vụ sau:

+ Cấu hình một Virtual Template cho các phiên Dial-in
+ Cấu hình PPTP
+ Cấu hình MPPE

a. Cấu hình Virtual Template cho các phiên Dial-in

- Sử dụng Virtual Templates, bạn có thể cấu hình các interface virtual-access với các thông số cấu hình đã được định nghĩa trước. Để cấu hình Cisco IOS VPN gateway tạo các interface Virtual-access từ một Virtual Template cho các cuộc gọi đến của PPTP, sử dụng những câu lệnh ở dưới đây bắt đầu từ chế độ global configuration:

example:
hq-sanjose(config)# interface virtual-template 1
hq-sanjose(config-if)# ip unnumbered fastethernet 0/0
hq-sanjose(config-if)# ppp authentication ms-chap
hq-sanjose(config-if)# ip local pool default 10.1.3.10 10.1.3.100
hq-sanjose(config-if)# peer default ip address pool default
hq-sanjose(config-if)# ip mroute-cache
hq-sanjose(config-if)# ppp encrypt mppe 128 stateful

b. Cấu hình PPTP

- Để cấu hình một Cisco 7200 Series router để chập nhận các kết nối tunneled PPP từ một client, sử dụng những câu lệnh dưới đây bắt đầu từ chế độ global configuration:

example:
hq-sanjose(config)# vpdn-enable
hq-sanjose(config)# vpdn-group 1
hq-sanjose(config-vpdn)# accept dialin
hq-sanjose(config-vpdn-acc-in)# protocol pptp
hq-sanjose(config-vpdn-acc-in)# virtual-template 1
hq-sanjose(config-vpdn-acc-in)# exit
hq-sanjose(config-vpdn)# local name hq-sanjose

c. Cấu hình MPPE.

- Để cấu hình MPPE trên Cisco 7200 Series router (với module ISA), sử dụng những câu lệnh bên dưới đây trong chế độ global configuration:
example:
hq-sanjose(config)# controller isa 1/0
hq-sanjose(config-controller)# encryption mppe

2. Kiểm tra PPTP/MPPE

- Sau khi bạn hoàn thành một kết nối, bạn có thể nhập câu lệnh: show vpdn tunnel hoặc show vpdn session ở chế độ Privileged EXEC để kiểm tra cấu hình PPTP và MPPE.

3. Cấu hình L2TP/IPSec

- L2TP là một giao thức mở rộng của Point-to-Point (PPP) và nó thường là một khối xây dựng cơ bản cho VPN. L2TP đã kết hợp những tính năng tốt nhất của hai giao thức Tunneling đó là: Layer 2 Forwarding (L2F) của Cisco Systems và PPTP của Microsfot. L2TP là một chuẩn của IETF.
- Phần cấu hình L2TP/IPSec sẽ bao gồm những nhiệm vụ sau:
+ Cấu hình Virtual Template cho các phiên Dial-in
+ Cấu hình L2TP
+ Cấu hình mã hóa và IPSec.

a. Cấu hình một Virtual Template cho các phiên Dial-In.

- Để cấu hình Cisco 7200 Series Router tạo các interface Virtual-Access từ một Virtual template cho các cuộc gọi từ L2TP, thì các bạn có thể xem lại phần trên.

b. Cấu hình L2TP

- Để cấu hình một Cisco 7200 Series router để chấp nhận các phiên kết nối Tunneled L2TP từ một client, sử dụng những câu lệnh dưới đây ở chế độ global configuration:

example:
hq-sanjose(config)# vpdn-enable
hq-sanjose(config)# vpdn-group 1
hq-sanjose(config-vpdn)# accept dialin
hq-sanjose(config-vpdn-acc-in)# protocol l2tp
hq-sanjose(config-vpdn-acc-in)# virtual-template 1
hq-sanjose(config-vpdn-acc-in)# exit
hq-sanjose(config-vpdn)# local name hq-sanjose

- Để kiểm tra L2TP dùng câu lệnh: show vpdn tennel ở chế độ Privileged EXEC.

c. Cấu hình mã hóa và IPSec.

Những thông tin chi tiết về cấu hình mã hóa và IPSec, phần này rất dài, các bạn có thể tự tìm hiểu. Mình chỉ đưa ra các từ cần thiết để bạn tự tìm trên google:

- Cấu hình IKE Prolicies
- Kiểm tra IKE Policies
- Tạo Crypto Access Lists
- Kiểm tra Crypto Access Lists
- Định nghĩa Transform Sets và Cấu hình IPSec Tunnel Mode
- Kiểm tra Transform Sets và IPSec Tunnel Mode.
- Tạo Crypte Map Entries
- Kiểm tra Crypto Map Entries
- Áp dụng Crypto Maps vào các interface.

IV. Cấu hình Cisco IOS Firewall Authenticaiton Proxy.

- Sử dụng tính năng Cisco IOS firewall authentication proxy, người quản trị mạng có thể áp dụng các chính sách bảo mật đặc biệt cho từng user. Các User có thể được định nghĩa và được cấp quyền dựa trên các chính sách của mỗi một user, và các quyền truy cập đặc biệt trên một người dùng dựa trên khả năng của người dùng đó, trong trường hợp khác thì một chính sách có thể được áp dụng cho nhiều user.

- Với tính năng Authentication Proxy, các user có thể log vào mạng hoặc truy cập Internet thông qua HTTP, và các chính sách truy cập đặc biệt sẽ tự động được lấy về và áp dụng từ một authentication server. Các chính sách người dùng sẽ được hoạt động duy nhất khi các lưu lượng được hoạt động từ chính các user đã được xác thực.

- Authentication Proxy được tích hợp với Network Address Translation (NAT), Context-Based Acces Controll (CBAC), IP Security (IPSec) encryption, và phần mềm VPN Client.

- Phần này sẽ bao gồm các bước để cấu hình Cisco IOS Firewall Authentication Proxy:

+ Cấu hình Authentication, Authorization, và Accounting
+ Cấu hình HTTP Server
+ Cấu hình Authentication Proxy
+ Kiểm tra Authenticaiton Proxy

1. Cấu hình Authentication, Authorization, và Accounting

- Bạn có thể cấu hình Authenticaiton Proxy cho các dịch vụ Authenticaiton, Authorization và Accouting (AAA). Sử dụng những câu lệnh bên dưới đây ở chế độ global configuration để enable Authorization và để định nghĩa các phương thức Authorization:

example
hq-sanjose(config)# aaa new-model
hq-sanjose(config)# aaa authentication login default raidus tacacs+
hq-sanjose(config)# aaa authorization auth-proxy default tacacs+ radius
hq-sanjose(config)# tacacs-server host 172.31.54.143
hq-sanjose(config)# tacacs-server key vne
hq-sanjose(config)# radius-server host 172.31.54.143
hq-sanjose(config)# radius-server key vne

2. Cấu hình HTTP server

- Để sử dụng Authentication Proxy, bạn sẽ phải enable HTTP server trên firewall và cấu hình HTTP server authentication sử dụng phương thức AAA. Nhập những câu lệnh bên dưới đây ở chế độ global configuration để thực hiện cấu hình:

example:
hq-sanjose(config)# ip http server
hq-sanjose(config)# ip http authentication aaa

3. Cấu hình Authentication Proxy.

- Để cấu hình Authentication Proxy, sử dụng những câu lệnh sau đây ở chế độ global configuration:

example:
hq-sanjose(config)# ip auth-proxy auth-cache-time 60
hq-sanjose(config)# ip auth-proxy auth-proxy-banner
hq-sanjose(config)# ip auth-proxy name VNE_User http
hq-sanjose(config)# interface fa0/0
hq-sanjose(config-if)# ip auth-proxy VNE_User
hq-sanjose(config)# exit
hq-sanjose# copy run start