Chapter 16.2 Cấu hình IPSEC VPN

I. Quy trình xây dựng đường hầm IPSEC-VPN
- Xây dựng IPSEC VPN trải qua 2 giai đoạn
1. IKE phase 1:
- Đàm phán về Policy
- Đàm phán về Diffie hellman
- Xác thực peer- Xây dựng đường hầm ISAKMP sử dụng 1 trong 2 mode :
1.1 Main mode : Thường dùng cho Site-to-site. Sử dụng tất cả 6 thông điệp nói chuyện qua lại. 6 thông điệp đó trải qua 3 bước làm việc gồm :
- Bước 1 : Thống nhất Policy giống nhau (encryption, pre-share key…

• DES: Kiểu mã hóa
• MD5: Thuật toán băm MD5 để xác thực
• Pre-share: Thống nhất sử dụng Pre-share key để xác thực
• DH1: Sử dụng Diffie Hellman group 1 để trao đổi khóa
• Lifetime: Quy đinh thời gian sống của đường hầm

• Bước 2 : Sử dụng DH để sinh ra key chung
• Bước 3 : Chứng thực . Có thể dùng
  • Pre-share key
  • RSA signatures
  • RSA encrypted nonces.

=> Tới đây đường hầm bidirectional (2 chiều) đã được thiết lập

1.2 Agressive mode : Sử dụng 3 thông điệp. Thường dùng chi client-to-site


2. IKE Phase 2
- Xây dựng đường hầm IPSEC thì dùng Quick mode : Đường hầm IPSEC là đường hầm 1 chiều



II. Cấu hình IPSEC site-to-site
1. Các bước cấu hình VPN site-to-site
- Như ở trên thì IPSEC VPN sẽ phải cấu hình qua 2 phase.
- Để cấu hình VPN site-to-site bạn cần trải qua 5 bước cấu hình


1.1 Interesting traffic:
Là traffic cần bảo vệ để đi vào được hầm. ví dụ như gói tin ra internet thì đi bình thường, gói tin đi từ Host A qua Host B mới cần được bảo vệ gọi là Interesting traffic
- Đảm bảo ACL cho phép các traffic của IPSEC-VPN đi qua

• ESP port 50
• AH port 51
• UDP port 500 (ISAKMP)

1.2 Phase 1
- Tạo các Policy để xây dựng đường hầm ISAKMP

• Kiểu mã hóa
• Thuật toán băm MD5 để xác thực
• Kiểu xác thực
• Group DH sử dụng để trao đổi khóa
• Lifetime: Quy đinh thời gian sống của đường hầm

1.3 Cấu hình transform set
- Cấu hình transform set để mã hóa dữ liệu
- Transform set dùng để thương lượng trong suốt quá trình IKE phase 2. Bạn có thể cấu hình nhiều transform set
- Transform set là sự kết hợp giữa:

• Cơ chế cho việc chứng thực: chính sách AH
• Cơ chế cho việc mã hóa: chính sách ESP
• Chế độ IPSec (phương tiện truyền thông cùng với đường hầm bảo mật)

- Transform set được trao đổi trong suốt quá trình trao đổi quick mode ở phase 2 IKE, cả 2 Router sẽ thực hiện tìm kiếm transform set giống nhau ở cả 2 bên. IPsec chỉ chọn 1 transform set duy nhất cho mỗi bên SA
- Khi 1 transform set giống nhau được tìm thấy thì nó sẽ sử dụng để bảo vệ dữ liệu trên đường truyền.
1.4 Crypto ACLs:
- Dùng để mô tả traffic nào cần được bảo vệ và traffic nào thì không cần
1.5 Crypto Map
- Tạo đường hầm IPSEC tạo chính sách tên mymap để:

• Áp policy vào đường hầm
• Khai báo peer (IP của đầu VPN bên kia)

- Cuối cùng là apply vào interface. Và thực hiện cấu hình IPSEC-VPN tương tự với peer bên kia

2. Config


2.1. Đảm bảo traffic VPN không bị ACLs block2.2 Cấu hình IKE phase 1
- Thiết lập các chính sách2.3 Cấu hình transform-sets2.4 Cấu hình crypto ACLs
- Xác định traffic cần được bảo vệ và ACLs được sử dụng là kiểu Extended

• permit: Mã hóa
• deny: không mã hóa

2.5 Cấu hình IPsec crypto Maps
- Xác định peer-VPN- Cuối cùng là apply lên interface- Các bạn thực hiện cấu hình hoàn toàn tương tự trên Router bên kia

3. Show and test
- Các lệnh show- Kiểm tra trạng thái IPSEC