Page 1
TRƯỜNG ĐẠI HỌC ĐIỆN LỰC
KHOA ĐIỆN TỬ VIỄN THÔNG
BÁO CÁO THỰC TẬP TỐT NGHIỆP
TÌM HIỂU ROUTER CISCO 3825 VÀ CẤU HÌNH
VPN TRÊN ROUTER 3825
Giảng viên hướng dẫn : TS. LÊ ANH NGỌC
Sinh viên thực hiện : Phan Thị Thu
Lớp : D4-DTVT
Khoá : 2009-2014
HÀ NỘI – Năm 2013
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 2
TRƯỜNG ĐẠI HỌC ĐIỆN LỰC
KHOA ĐIỆN TỬ VIỄN THÔNG
BÁO CÁO THỰC TẬP TỐT NGHIỆP
Chuyên ngành: Điện tử Viễn thông
TÌM HIỂU ROUTER CISCO 3825 VÀ CẤU HÌNH
VPN TRÊN ROUTER 3825
Giảng viên hướng dẫn : TS. LÊ ANH NGỌC
Sinh viên thực hiện : Phan Thị Thu
Lớp : D4-DTVT
Khoá : 2009 - 2014
HÀ NỘI – Năm 2013
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 3
NHẬN XÉT
(Của cơ quan thực tập)
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
Xác nhận của đơn vị thực tập
(Ký tên, ghi rõ họ tên, đóng dấu)
Người viết nhận xét
(Ký, ghi rõ họ tên)
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 4
NHẬN XÉT
(Của giảng viên hướng dẫn)
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
Giảng viên hướng dẫn
(Ký, ghi rõ họ tên)
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 5
MỤC LỤC
DANH MỤC VIẾT TẮT..................................................................................i
MỤC LỤC HÌNH ẢNH..................................................................................ii
MỤC LỤC BẢNG BIỂU...............................................................................iii
LỜI NÓI ĐẦU.................................................................................................1
Phần 1: GIỚI THIỆU VỀ ĐƠN VỊ THỰC TẬP.............................................2
1. Giới thiệu chung.....................................................................................2
2. Cơ cấu tổ chức........................................................................................3
3. Các dịch vụ kinh doanh..........................................................................3
Phần 2: NỘI DUNG TÌM HIỂU TRONG QUÁ TRÌNH THỰC TẬP...........5
1. Tìm hiểu về router cisco 3825.................................................................5
1.1 Giới thiệu chung về router 3825........................................................5
1.2 Một số hình ảnh minh họa router 3825..............................................6
1.3 Các thông số kĩ thuật của router 3825.................................................7
2. Mạng riêng ảo VPN.................................................................................9
2.1 Khái niệm:..........................................................................................9
2.2. Các mô hình của VPN..........................................................................9
2.2.1 Remote-Access............................................................................9
2.2.2 Site-to-Site..................................................................................10
2.3 Các phương pháp bảo mật.................................................................10
2.4 Các kỹ thuật và các giao thức sử dụng trong VPN..........................11
2.4.1. Các kỹ thuật sử dụng trong VPN..............................................11
2.4.2 Các giao thức của VPN Tunneling............................................12
2.5. Lợi ích của VPN..............................................................................13
3. Cấu hình VPN........................................................................................14
3.1 Mô hình mạng..................................................................................14
3.2 Yêu cầu...........................................................................................14
3.3 Cấu hình.........................................................................................14
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 6
3.3.1 Cấu hình cơ bản trên router........................................................14
3.3.2. Cấu hình VPN ...........................................................................15
DANH MỤC TÀI LIỆU THAM KHẢO.......................................................18
KẾT LUẬN....................................................................................................19
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 7
i
DANH MỤC VIẾT TẮT
Từ viết tắt
Ngĩa của từ viết tắt
LAN Local Area Network
WAN Wide Area Network
ISP Internet Service Provider - Nhà cung cấp dịch vụ
CCVN Creation Communication Viet Nam
IXP Internet Exchange Provider -Nhà cung cấp đường truyền kết nối
internet
IPLC International private leased circuit - Thuê kênh riêng quốc tế
FTTH Fiber To The Home - Cáp Quang Đến Tận Nhà
VPN Virtual Private Network - Mạng riêng ảo
SDM Security Device Manager
IPS Intrusion Prevention System - Hệ Thống Ngăn Chặn Xâm Nhập
URL Uniform Resource Locator
HWIC High-Speed WAN Interface Card
SFP Single Fiber Pigtail - Sơi dây đơn nối quang
PVDM Packet Voice Data Module
AIM Advanced Integration Module
ISDN Integrated Services Digital Network
SNMP Simple Network Management Protocol
IEEE Institute of Electrical and Electronics Engineers
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 8
2
MỤC LỤC HÌNH ẢNH
Hình 1. Tổng quan mặt trước của router cisco 3825.......................................6
Hình 2. Bảng điều khiển trước của router cisco 3825.....................................6
Hình 3. Tổng quan phía sau của router cisco 3825..........................................7
Hình 4. Bảng điều khiển phía sau của router cisco 3825.................................7
Hình 5. Mô hình mạng cần kết nối 2 chi nhánh của công ty…………...…...14
Hình 6. Kết quả ping từ LAN 118.70.219.0/24 đến
118.70.218.0/24……………………………………………………………..17
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 9
3
MỤC LỤC BẢNG BIỂU
Bảng 1. Bảng chú thích hình 2.........................................................................6
Bảng 2. Bảng chú thích hình 4.........................................................................7
Bảng 3. Thông số kĩ thuật của router 3825......................................................7
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 10
1
LỜI NÓI ĐẦU
Cisco System là hãng chuyên sản xuất các thiết bị và đưa ra các giải pháp
mạng LAN&WAN lớn nhất thế giới hiện nay. Thị phần của hãng chiếm 70% đến
80% thị trường thiết bị mạng trên toàn thế giới. Các thiết bị và giải pháp của hãng
đáp ứng nhu cầu của mọi loại hình doanh nghiệp từ các doanh nghiệp vừa và nhỏ
đến các doanh nghiệp có quy mô lớn và các nhà cung cấp dịch vụ Internet (ISP).
Router là một thiết bị mạng lớp 3, có chức năng chính là định tuyến mạng và
router cũng là sản phẩm mũi nhọn của Cisco. Năm 1986 cisco tung ta sản phẩm
router đầu tiên, tiếp theo đó là hàng loạt các router được tung ra gần đây được bổ
sung thêm nhiều tính năng như router 1800, 1900, 2600, 2800, 2900, 3700, 3800,
3900, 7200, 7600... Trong đó có dòng router 3800 khá phổ biến, đặc biệt là trong
hệ thống mạng Việt Nam hiện nay, với đầy đủ các tính năng và hỗ trợ nhiều dịch vụ
khác.
Trong kì thực tập tại Công Ty Sáng Tạo Truyền Thông Sáng Tạo Việt Nam,
em đã tìm hiểu thực tếmột số thiết bị mạng, trong đó có router cisco 3825. Nội dung
báo cáogồm 2 phần:
Phần 1: Giới thiệu về đơn vị thực tập
Phần 2: Nội dung tìm hiểu trong quá trình thực tập
Tuy nhiên do thời gian và kiến thức còn hạn chế nên bài cáo không thế tránh
khỏi thiếu sót. Rất mong được sự đóng góp ý kiến của thầy cô và các bạn.
Sinh viên thực hiện
Phan Thị Thu
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 11
2
Phần 1: GIỚI THIỆU VỀ ĐƠN VỊ THỰC TẬP
1. Giới thiệu chung
Công ty Cổ Phần Sáng tạo Truyền thông Việt Nam (CCVN) ra đời trên cơ
sở là Trung Tâm Internet Công ty CP Truyền thông Quốc tế INCOM. Với hơn 10
năm kinh nghiệm cung cấp các dịch vụ đường truyền tốc độ cao, đặc biệt các đường
truyền Leaseline kênh riêng quốc tế và trong nước, các dịch vụ hosting,…
Năm 2009, CCVN được thành lập với mục tiêu tập trung và đẩy mạnh dịch
vụ Internet, đặc biệt là các dịch vụ truy cập Internet nhằm chuyên nghiệp hóa đội
ngũ hỗ trợ khách hàng, chuyên nghiệp hóa và tập trung sản phẩm dịch vụ. Hướng
tới phục vụ những khách hàng đang sử dụng ngày một tốt hơn và mang những giá
trị tích lũy có được để phát triển và phục vụ những khách hàng mới.CCVN với
thương hiệu Supernet với mục tiêu tập trung hóa sản phẩm nhằm đem lại cho khách
hàng sự thỏa mãn cao nhất về chất lượng dịch vụ công ty cung cấp.
Thương hiệu Supernet đã được đăng ký bảo hộ số 162462 do Cục Sở hữu Trí
tuệ - Bộ Khoa học và Công nghệ cấp theo Quyết định số 7658/QĐ-SHTT.
Địa chỉ công ty:
- Trụ sở tại Hà Nội: Tầng 3, Tòa Nhà Technosoft, phố Duy Tân, Phường Dịch
Vọng, Quận Cầu Giấy, Hà Nội, Việt Nam.
- Trụ Sở tại Thành phố Hồ Chí Minh: Lầu 1, Sài Gòn Trade Center, 37 Tôn
Đức Thắng, Quận 1, Tp Hồ Chí Minh, Việt Nam.
- Số điện thoại Hotline: 01.699.633.688
Giấy phép cung cấp dịch vụ viên thông:
- Ngày 23/1/2009 Công ty được Bộ Thông tin và Truyền thông cấp giấp phép
Cung cấp dịch vụ Viễn thông (còn gọi là Giấy phép ISP) .
- Ngày 06/5/2010 Công ty được Bộ Thông tin và Truyền thông cấp Giấy phép
Cung cấp dịch vụ Viễn thông mới (còn gọi là Giấy phép IXP) và trở thành một 10
nhà cung cấp dịch vụ được cấp phép giấy phép Loại hình IXP đầu tiên tại Việt nam,
Nội dung bao gồm:
Dịch vụ Kết nối Internet
Dịch vụ Truy cập Internet
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 12
3
Dịch vụ Ứng dụng Internet trong Viễn thông bao gồm: Dịch vụ thư
điện tử, Dịch vụ điện thoại Internet loại hình PC-to-PC quốc tế, PC-to-Phone chiều
đi Quốc tế.
2. Cơ cấu tổ chức.
Cơ cấu tổ chức của công ty:
- Phòng giám đốc: 1 giám đốc.
- Phòng kế toán : 2 nhân viên.
- Phòng kinh doanh: 4 nhân viên.
- Phòng kĩ thuật: 3 nhân viên.
3. Các d ch v kinh doanh.ị ụ
- Dịch vụ kênh thuê riêng Internet Leased-line Quốc tế và Trong nước: Cung
cấp đường truyền kết nối tốc độ cao (Internet Leaseline) tới các Bộ, ban ngành,
khối chính phủ và văn phòng, các toà nhà, khách sạn lớn, các Đại Sứ Quán và tổ
chức nước ngoài.
- Dịch vụ cung cấp đường truyền trực tiếp IPLC Quốc tế, dịch vụ WAN Metro
Nội hạt và Liên tỉnh: Cung cấp đường truyền kết nối WAN IPLC đi Quốc tế cho các
Văn phòng đại diện nước ngoài tại Việt Nam. Các dịch vụ Metro WAN cho các cơ
quan tổ chức trong nước.
- Dịch vụ Server Hosting, cho thuê Datacenter: Cung cấp dịch vụ cho phép
khách hàng tự mang máy chủ đưa lên mạng Internet, đảm bảo tốc độ và băng thông
lớn nhất, khả năng bảo mật cao nhất.
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Giám đốc
Phòng k toán ế
+ nh n sậ ự
Phòng kinh
doanh
Phòng kĩ thuật
Page 13
4
- Dịch vụ Mail, Web Hosting: Cung cấp dịch vụ thuê hộp thư theo domain của
các cơ quan, cá nhân, tổ chức với độ bảo mật và an toàn thông tin cao nhất, giao
diện thân thiện và hoàn toàn là tiếng Việt
- Dịch vụ Voice VNN: Cung cấp dịch vụ gọi điện thoại quốc tế giá rẻ trên nền
công nghệ IP
- Dịch vụ FTTH: Dịch vụ Internet Cáp quang cho các Doanh nghiệp
- Dịch vụ Cloud Computing: Dịch vụ Điện toán Đám mây
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 14
5
Phần 2: NỘI DUNG TÌM HIỂU TRONG QUÁ TRÌNH THỰC TẬP
1. Tìm hiểu về router cisco 3825.
1.1 Giới thiệu chung về router 3825.
Router Cisco 3825 là một trong những router được tích hợp nhiều dịch vụ
bao gồm: thoại, video và dữ liệu. Tác dụng của các router này là tạo ra một hạ tầng
kết nối các thiết bị mạng cho phép truy cập nhanh, ổn định và an toàn vào những
ứng dụng kinh doanh cấp thiết với độ bảo mật tối ưu. Đây là lần đầu tiên Cisco áp
dụng tích hợp thoại và bảo mật mạng vào một bộ định tuyến giúp thêm tính năng ,
tiết kiệm chi phí và đặc biệt là không ảnh hưởng đến tốc độ mạng. Router Cisco
3825 cung cấp các hỗ trợ sau :
- Hiệu suất Wire-speed cho các dịch vụ đồng thời như bảo mật, thoại, và các
dịch vụ mở rộng tốc độ T3/E3.
- Tăng sự bảo vệ thông qua việc tăng hiệu suất và kết nối mo đun.
- Tăng mật độ thông qua khe cắm giao diện WAN tốc độ cao (bốn)
- Tăng khe cắm mạng
- Hai cổng tích hợp GE với sự hỗ trợ kết nối bằng cáp đồng hoặc quang
- Lựa chọn chuyển mạch Layer 2 hỗ trợ Power over Ethernet (PoE) (lựa
chọn),hỗ trợ mô đun 36 cổng Cisco EtherSwitch ( NMD-36ESW)
- Bảo mật
Mã hóa On-board
Hỗ trợ lên đến 2500 đường hầm(tunnel) VPN với mô đun AIM-
EPII-PLUS
Hỗ trợ phòng chống virus thông qua Network Admission Control
(NAC)
Chống xâm nhập (Intrusion Prevention) như kiểm soát trạng thái của
Cisco IOS Firewall hỗ trợ, và nhiều đặc tính bảo mật khác
- Thoại:
Hỗ trợ cuộc gọi số hoặc analog.
Lựa chọn hỗ trợ voice mail.
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 15
6
Lựa chọn hỗ trợ Cisco CallManager Express (Cisco CME) cho việc
xử lý cuộc gọi cục bộ cho doanh nghiệp lên đến 240 IP thoại
Lựa chọn hỗ trợ Survivable Remote Site Telephony, lên đến 720 IP
thoại.
1.2 Một số hình ảnh minh họa router 3825
Hình 1. Tổng quan mặt trước của router cisco 3825
Hình 2. Bảng điều khiển trước của router cisco 3825
Bảng 1. Bảng chú thích hình 2
1 Cổng kết nối hệ thống nguồn dự phòng 4 Chỉ thị LED
2 Khe cắp thẻ nhớ Flash 5 Công tắc nguồn
3 Cổng USB 6 Kết nối nguồn (AC)
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 16
7
Hình 3. Tổng quan phía sau của router cisco 3825
Hình 4. Bảng điều khiển phía sau của router cisco 3825
Bảng 2. Bảng chú thích hình 4
1 Khe cắm module mạng (2) 6 Khe cắm HWIC (2)
2 Các lỗ ốc vít 7 Khe cắm HWIC (0)
3 Khe cắm module mạng (1) 8 Cổng console và cổng AUX
4 Khe cắm HWIC (3) 9 2 cổng Gigaethernet
5 Khe cắm HWIC (1) 10 khe cắp SFP
1.3 Các thông số kĩ thuật của router 3825
Chi tiết về router 3825 được miêu tả bởi bảng sau:
Bảng 3. Thông số kĩ thuật của router 3825
Thông số Kĩ thuật
Kích thước(H×W×D) (8.9×43.3×37.3) cm
Khối lượng 10.5kg
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 17
8
Nguồn AC vào:
Điện áp
Tần số
100-240 VAC
47- 63 Hz
Công suất tiêu thụ 300 W
Console or AUX port RJ-45 connector
Nhiệt độ vận hành 0-45℃
Nonoperating temperature -40- 85℃
Độ ẩm vận hành 5 – 95 % không ngưng tụ
Độ cao vận hành Lên đến 2,000m
Mức ồn Lớn nhất 53dBA
Chứng chỉ an toàn UL 60950; CAN/CSA C22.2 No. 60950-00;
EN 60950; AS/NZS 3260
Các cổng kêt nối 2 cổng Gigaethernet
2 cổng USB
1 cổng SFP
1 cổng console
Tiêu chuẩn mạng IEEE 802.3, IEEE 802.3u
Giao thức:
Giao thức chuyển mạch
Giao thức liên kết dữ liệu
Các giao thức quản lý
Giao thức mạng lưới được hỗ trợ
ISDN
Ethernet, Fast Ethernet, Gigabit
EthernetHTTP, SNMP 3
IPSec
Hỗ trợ mạng riêng ảo (VPN) DES, 3DES
Hỗ trợ Power Over Ethernet(POE) Có
Giao diện Ethernet RJ45
Công nghệ kết nối Có dây
Các module mở rộng hỗ trợ
4xPVDMslots ( Packet Voice Data Module)
4 x HWIC slots (High-Speed WAN Interface
Card)
2 x AIM slots (Advanced Integration Module)
2 x Network module slot
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 18
9
2. Mạng riêng ảo VPN
2.1 Khái niệm:
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là
Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ
sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số,
VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ
chức với địa điểm hoặc người sử dụng ở xa.
Một số đặc điểm của VPN:
-Bảo mật (security)
- Tin cậy (reliability)
-Khả năng mở rộng (scalability)
-Khả năng quản trị hệ thống mạng (network management)
-Khả năng quản trị chính sách (policy management)
2.2. Các mô hình của VPN.
2.2.1 Remote-Access.
Hay cũng được gọi là Virtual Private Dial-up Network (VPDN), đây là
dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết
nối tới mạng riêng (private network) từ các địa điểm từ xa. Điển hình, mỗi công ty
có thể hy vọng rằng cài đặt một mạng kiểu Remote-Access diện rộng theo các tài
nguyên từ một nhà cung cấp dịch vụ ESP (Enterprise Service Provider). ESP cài đặt
một một công nghệ Network Access Server (NAS) và cung cấp cho các user ở xa
với phần mềm client trên mỗi máy của họ. Các nhân viên từ xa này sau đó có thể
quay một số từ 1-800 để kết nối được theo chuẩn NAS và sử dụng các phần mềm
VPN client để truy cập mạng công ty của họ. Các công ty khi sử dụng loại kết nối
này là những hãng lớnvới hàng trăm nhân viên thương mại. Remote-access VPNs
đảm bảo các kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các
nhân viên từ xa qua một nhà cung cấp dịch vụ thứ ba (third-party).
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 19
10
2.2.2 Site-to-Site.
Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng,
mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như
Internet.
Các mạng Site-to-site VPN có thể thuộc một trong hai dạng sau:
- Intranet-based: Áp dụng trong truờng hợp công ty có một hoặc nhiều
địa điểm ở xa, mỗi địa điểm đều đã có 1 mạng cục bộ LAN. Khi đó họ có thể xây
dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ đó trong 1 mạng riêng
thống nhất.
- Extranet-based: Khi một công ty có một mối quan hệ mật thiết với
một công ty khác (ví dụ như, một đồng nghiệp, nhà hỗ trợ hay khách hàng), họ có
thể xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan với mạng Lan và
cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài
nguyên.
2.3 Các phương pháp bảo mật.
Một VPN được thiết kế tốt thường sử dụng vài phương pháp để duy trì kết
nối và giữ an toàn khi truyền dữ liệu:
- Bức tường lửa - một tường lửa (firewall) cung cấp biện pháp ngăn
chặn hiệu quả giữa mạng riêng của người dùng với Internet. Người dùng có thể sử
dụng tường lửa ngăn chặn các cổng được mở, loại gói tin được phép truyền qua và
giao thức sử dụng.
- Mã hoá - đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính
theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ
thống mã hoá máy tính thuộc về 1 trong 2 loại sau:
Mã hoá sử dụng khoá riêng (Symmetric-key encryption)
Mã hoá sử dụng khoá công khai (Public-key encryption)
Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử dụng
để mã hoá các gói tin trước khi truyền đi. Khoá riêng này cần được cài trên mỗi
máy tính có trao đổi thông tin sử dụng mã hoá riêng và máy tính phải biết được
trình tự giải mã đã được quy ước trrước. Mã bí mật thì sử dụng để giải mã gói tin.
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 20
11
Máy tính gửi mã hoá dữ liệu cần gửi bằng khoá bí mật (symetric key),
sau đó mã hoá chính khóa bí mật (symetric key) bằng khoá công khai của người
nhận (public key). Máy tính nhận sử dụng khoá riêng của nó (private key) tương
ứng với khoá public key để giải mã khoá bí mật (symetric key), sau đó sử dụng
khoá bí mật này để giải mã dữ liệu.
Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá
công cộng để thực hiện mã hoá, giải mã. Khoá riêng chỉ sử dụng tại máy tính đó,
còn khoá công cộng được truyền đi đến các máy tính khác mà nó muốn trao đổi
thông tin bảo mật. Để giải mã dữ liệu mã hoá, máy tính kia phải sử dụng khoá công
cộng nhận được, và khoá riêng của chính nó. Một phần mềm mã hóa công khai
thông dụng là Pretty Good Privacy (PGP) cho phép mã hoá đựợc hầu hết mọi thứ.
Người sử dụng có thể xem thêm thông tin tại trang chủ PGP.
2.4 Các kỹ thuật và các giao thức sử dụng trong VPN.
2.4.1. Các kỹ thuật sử dụng trong VPN.
Kỹ thuật VPN dựa vào ý tưởng đường hầm (tunneling). Kỹ thuật VPN
tunneling đề cập đến việc thiết lập, duy trì kết nối mạng logic (có thể có các chặng
trung gian). Với kết nối này các gói được xây dựng dựa vào định dạng của các giao
thức VPN và được đóng gói vào các giao thức khác (chẳng hạn như gói TCP/IP)
sau đó đuợc truyền đi đến client hay server và được khôi phục từ đầu thu. Có rất
nhiều giao thức VPN để đóng gói vào gói IP. Các giao thức của VPN cũng hỗ trợ
việc nhận dạng và mă hóa để bảo mật đường hầm.
Các dạng đường hầm của VPN: VPN hổ trợ hai dạng đường hầm là “tự
nguyện” và “bắt buộc”:
- Đối với đường hầm tự nguyện: VPN client quản lý việc thiết lập kết
nối. Trước tiên client thực hiện việc kết nối đến ISP, sau đó VPN ứng dụng tạo ra
đường hầm đến VPN server qua đường hầm kết nối trực tiếp này.
- Đối với đường hầm bắt buộc nhà cung cấp mạng (ISP) quản lý việc
thiết lập kết nối VPN. Trước tiên VPN client kết nối đến ISP và ISP thực hiện kết
nối giữa client và VPN server. Nếu đứng ở VPN client thì việc kết nối chỉ thực hiện
1 bước (so với 2 bước nếu sử dụng tunneling tự nguyện). VPN tunneling bắt buộc
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 21
12
sẽ nhận dạng client và kết hợp chúng với VPN server chỉ định bằng các kết nối
logic được xây dựng sẵn trong các thiết bị kết nối gọi là VPN FEP (Front End
Processor), hay NAS, POS.
2.4.2 Các giao thức của VPN Tunneling.
Các giao thức để tạo nên cơ chế đường ống bảo mật cho VPN là:
1) L2TP.
- L2TP được sử dụng để tạo kết nối độc lập, đa giao thức cho mạng
riêng ảo quay số (Virtual Private Dail-up Network). L2TP cho phép người dùng có
thể kết nối thông qua các chính sách bảo mật của công ty (security policies) để tạo
VPN hay VPDN như là sự mở rộng của mạng nội bộ công ty.
- L2TP không cung cấp mã hóa.
- L2TP là sự kết hợp của PPP(giao thức Point-to-Point) với giao thức
L2F(Layer 2 Forwarding) của Cisco do đó rất hiệu quả trong kết nối mạng dial,
ADSL, và các mạng truy cập từ xa khác. Giao thức mở rộng này sử dụng PPP để
cho phép truy cập VPN bởi những người sử dụng từ xa.
2) GRE.
- Đây là đa giao thức truyền thông đóng gói IP, CLNP và tất cả cá gói dữ liệu
bên trong đường ống IP (IP tunnel).
- Với GRE Tunnel, Cisco router sẽ đóng gói cho mỗi vị trí một giao thức đặc
trưng chỉ định trong gói IP header, tạo một đường kết nối ảo (virtual point-to-point)
tới Cisco router cần đến. Và khi gói dữ liệu đến đích IP header sẽ được mở ra.
- Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi
trường có một giao thức chính. GRE tunneling cho phép các giao thức khác có thể
thuận lợi trong việc định tuyến cho gói IP.
3) IPSec.
- IPSec là sự lựa chọn cho việc bảo mật trên VPN. IPSec là một khung bao
gồm bảo mật dữ liệu (data confidentiality), tính tòan vẹn của dữ liệu (integrity) và
việc chứng thực dữ liệu.
- IPSec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏa thuận các giao
thức và thuật tóan trên nền chính sách cục bộ (group policy) và sinh ra các khóa bảo
mã hóa và chứng thực được sử dụng trong IPSec.
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 22
13
4) Point to Point Tunneling Protocol (PPTP).
PPTP (Point-to-Point Tunneling Protocol) là nghi thức biến thể của Point to
Point Protocol dùng truyền qua mạng dial up. PPTP thích hợp cho ứng dụng truy
cập từ xa của VPN nhưng cũng hỗ trợ trong LAN Internetworking. PPTP hoạt động
ở lớp 2 của mô h¥nh OSI.
Sử dụng PPTP: PPTP đóng gói dữ liệu trong gói PPP và sau đó tích hợp
trong gói IP và truyền qua đường hầm VPN. PPTP hỗ trợ việc mã hóa dữ liệu và
nén các gói dữ liệu này. PPTP cũng sử dụng dạng GRE (Generic Routing
Encapsulation) để lấy dữ liệu và đưa đến đích cuối cùng.
Trong PPTP thì VPN tunnel được tạo ra qua 2 quá trình:
PPTP client kết nối đến ISP qua đường dial up hoặc ISDN.
Qua thiết bị kết nối PPTP tạo ra kết nối điều khiển TCP giữa VPN
client và VPN server để thiết lập tunnel. PPTP sử dụng TCP port 1723 cho các kết
nối. này.
PPTP bảo mật: PPTP cũng hỗ trợ nhận dạng, mã hóa và lọc gói dữ liệu. Nhận
dạng của PPTP cũng sử dụng EAP (Extensible Authentication Protocol), CHAP
(Challenge Hanhdshake Authentication), PAP (Password Authentication Protocol).
PPTP cũng hỗ trợ lọc gói dữ liệu trên VPN server.
2.5. Lợi ích của VPN.
Một số lợi ích của VPN mạng lại như :
- Mở rộng kết nối ra ngoài.
- Cung cấp dịch vụ một cách nhanh chóng (Dịch vụ nội bộ).
- Tăng cường an ninh mạng.
- Hỗ trợ truy cập, làm việc từ xa và tăng khả năng tương tác.
- Đơn giản hoá mô hình kiến trúc mạng.
- Quản trị hệ thống mạng từ xa hiệu quả.
- Quản lý dễ dàng: có thể quản lý số lượng người sử dụng (khả năng
thêm, xoá kênh kết nối liên tục, nhanh chóng).
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 23
14
3. Cấu hình VPN.
3.1 Mô hình mạng.
Hình 3.1 : Mô hình mạng kết nối 2 chi nhánh của công ty.
3.2 Yêu cầu.
Cấu hình VPN cho phép 2 LAN ở router core01_TSB_3825 và router TSB
liên lạc được với nhau.
3.3 Cấu hình.
3.3.1 Cấu hình cơ bản trên router.
- Router ISP: chỉ cấu hình hostname và IP của các interface như mô hình
trên.
- Router core01_TSB_3825 : cấu hình hostname và ip theo mô hình, sau
đó cấu hình default route:
Core01_TSB_3825(config)#0.0.0.0 0.0.0.0 100.3.252.1
- Router TSB: cấu hình hostname và ip theo mô hình, sau đó cấu hình
default route:
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 24
15
TSB(config)# 0.0.0.0 0.0.0.0 100.3.254.1
3.3.2. Cấu hình VPN .
Cấu hình VPN theo các bước sau :
Trên router core01_TSB_3825 .
Bước 1: Tạo Internet Key Exchange (IKE) key policy.
Core01_TSB_3825(config)#crypto isakmp policy 9
Core01_TSB_3825(config-isakmp)#hash md5
Core01_TSB_3825(config-isakmp)#authentication pre-share
Bước 2: Tạo shared key để sử dụng cho kết nối VPN.
Core01_TSB_3825(config)#crypto isakmp key CCVN address 100.3.254.2
Bước 3:Quy định lifetime
Core01_TSB_3825(config)#crypto ipsec security-association lifetime
seconds 86400
Bước 4:Cấu hình ACL dãy IP có thể VPN.
Core01_TSB_3825(config)#access-list 111 permit ip 118.70.218.0 0.0.0.255
118.70.219.0 0.0.0.255
Bước 5: Chọn mã hóa bảo mật là: ESP-3DES
Core01_TSB_3825(config)#crypto ipsec transform-set LZT-VN esp-3des esp-
md5-hmac
Bước 6: Tạo cypto-map cho các transform, setname
Core01_TSB_3825(config)#crypto map TSB 10 ipsec-isakmp
Core01_TSB_3825(config-crypto-map)#set peer 100.3.254.2
Core01_TSB_3825(config-crypto-map)#set transform-set LZT-VN
Core01_TSB_3825(config-crypto-map)#match address 111
Bước 7: gán interface
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 25
16
Core01_TSB_3825(config)#inter G0/0
Core01_TSB_3825(config-if)#crypto map TSB
Trên router TSB.
Bước 1: Tạo Internet Key Exchange (IKE) key policy.
LZT-VN(config)#crypto isakmp policy 9
LZT-VN(config-isakmp)#hash md5
LZT-VN(config-isakmp)#authentication pre-share
Bước 2 :Tạo shared key để sử dụng cho kết nối VPN
LZT-VN(config)#crypto isakmp key CCVN address 100.3.252.54
Bước 3 :Quy định lifetime
LZT-VN(config)#crypto ipsec security-association lifetime seconds 86400
Bước 4:Cấu hình ACL dãy IP có thể VPN.
LZT-VN(config)#access-list 111 permit ip
118.70.219.0 0.0.0.255 118.70.218.0 0.0.0.255
Bước 5: Chọn mã hóa bảo mật là: ESP-3DES
LZT-VN(config)#crypto ipsec transform-set LZT-VN esp-3des esp-md5-hmac
Bước 6: Tạo cypto-map cho các transform, setname
LZT-VN(config)#crypto map TSB 10 ipsec-isakmp LZT-VN(config-crypto-
map)#set peer 100.3.252.54
LZT-VN(config-crypto-map)#set transform-set LZT-VN
LZT-VN(config-crypto-map)#match address 111
Bước 7:Gán vào interface
LZT-VN(config)#inter G0/0 LZT-VN(config-if)#crypto map TSB
Kết quả ping từ LAN 118.70.219.0/24 đến 118.70.218.0/24 đã thành công được
hiện thị ở hình bên dưới:
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 26
17
Hình 3.3.2: kết quả ping ping từ LAN 118.70.219.0/24 đến 118.70.218.0/24
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 27
18
DANH MỤC TÀI LIỆU THAM KHẢO
1. Ngọc Huyền,Cisco Việt Nam giới thiệu loạt router mới,
http://www.vietbao.vn, , truy cập 25 / 9 / 2013.
2. Nguyễn Thượng Triều, Giới Thiệu Các Dòng Thiết Bị Cisco (Phần 1),
http://www.kenhgiaiphap.vn, truy cập 25/ 9/ 2013.
3. Cisco systems, Cisco Systems Corporate Timeline,
http://www.newroom.cisco.cm, truy cập 26/ 9/ 2013.
4. Cisco systems, Introduction to Cisco 3800 Series Routers Hardware
Documentation, http://www.cisco.com, truy cập 20/ 9/ 2013.
5. Cisco systems,Overview of Cisco 3800 Series Routers,
http://www.cisco.com, truy cập 15/ 9/ 2013.
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị
Page 28
19
KẾT LUẬN
Sau khi hoàn thành kì thực tập tại công ty cổ phần sang tạo truyền thông
Việt Nam, em đã tìm hiểu được một số vấn đề thực tế, để trau dồi thêm kiến thức
chuyên ngành cũng như kiến thức xã hội:
Tìm hiểu được cơ cấu tổ chức của công ty, được làm việc trong môi
trường nghiêm túc kỉ luật, học hỏi được nhiều kinh nghiệm làm việc từ các nhân
viên công ty
Tìm hiểu thực tế một số thiết bị mạng từ hình dạng bên ngoài, cấu tạo,
hoạt động, đặc biệt là router cisco 3825
Nắm được một số kiến thức về cấu hình thiết bị mạng cisco
Những kiến thức và kinh nghiệm học hỏi được trong quá trình thực tập sẽ
giúp em rất nhiều cho quá trình học tập cũng như làm việc sau này.
Cuối cùng em xin chân thành cảm ơn Giám đốc và các nhân viên công ty cổ
phần sang tạo truyền thông Việt Nam đã tạo điều kiện giúp đỡ em được làm việc và
hoàn thành kì thực tập này. Em cũng xin chân thành cảm ơn thầy giáo TS. Lê Anh
Ngọc đã tận tình giúp đỡ , hướng dẫn em hoàn thành bài báo cáo này.
Sinh viên
Phan Thị Thu
GVHD: TS.Lê Anh Ng c SVTH: Phan Th Thuọ ị