Hướng dẫn thiết lập mô hình site to site VPN trên hệ thống Cisco ASA

Quản Trị Mạng - Trong bài viết dưới đây, chúng tôi sẽ trình bày 1 số bước cơ bản để thiết lập, cấu hình chế độ site to site VPN với hệ thống Cisco ASA. Hiện tại, những khái niệm và ứng dụng của VPN mang lại cho người sử dụng có rất nhiều, điển hình có thể kể đến là: site to site, remote access IPSec, client-less, SSL, DMVPN... và sẽ rất khó khăn để đề cập cụ thể đến 1 thành phần bất kỳ. Do vậy, chúng tôi sẽ cố gắng đề cập đến những thông tin...
Nội dung trích xuất từ tài liệu:
Hướng dẫn thiết lập mô hình site to site VPN trên hệ thống Cisco ASA Hướng dẫn thiết lập mô hình site to site VPN trên hệ thống Cisco ASAQuản Trị Mạng - Trong bài viết dưới đây, chúng tôi sẽ trình bày 1 số bước cơ bảnđể thiết lập, cấu hình chế độ site to site VPN với hệ thống Cisco ASA. Hiện tại,những khái niệm và ứng dụng của VPN mang lại cho người sử dụng có rất nhiều,điển hình có thể kể đến là: site to site, remote access IPSec, client-less, SSL,DMVPN... và sẽ rất khó khăn để đề cập cụ thể đến 1 thành phần bất kỳ. Do vậy,chúng tôi sẽ cố gắng đề cập đến những thông tin và các bước cấu hình, thiệt lập cơbản nhất về VPN, thiết lập site to site VPN từ CLI với miêu tả cụ thể cho từngbước. Bên cạnh đó, phương pháp thiết lập VPN qua ASDM sử dụng VPN wizardvô cùng đơn giản và dễ dàng. Đó cũng là lý do tại sao chúng ta tập trung chủ yếuvào phần CLI.Trước khi bắt đầu, chúng ta hãy tham khảo qua một số thông tin có liên quan đếnVPN. Là cụm từ viết tắt của Virtual Private Network, về cơ bản đây là kết nối từ 1vị trí này tới vị trí khác để hình thành mô hình mạng LAN với những dịch vụ hỗtrợ như email, intranet... chỉ được truy cập khi người dùng khai báo đúng các thôngtin đã được thiết lập sẵn. Và nhìn chung, có 2 loại mô hình VPN phổ biến hiện nay: - Remote access: hay còn gọi là Remote access VPN hoặc easy VPN, dành chonhững người dùng có nhu cầu đơn giản. Cách thức làm việc chung là chỉ cần càiđặt phần mềm client trên máy tính cá nhân, PC hoặc laptop, qua đó người sử dụngsẽ thiết lập kết nối tới máy tính tại văn phòng làm việc, đăng nhập bằng thông sốusername và password đã được gán quyền trước đó. Sau khi tunnel đã được thaythế, người dùng có thể làm việc và truy cập tới server trực tiếp như khi ở vănphòng, giao thức kết nối tunnel này được xây dựng dựa trên IPSec hoặc SSL. - Site to site: hệ thống này thường được sử dụng giữa các chi nhánh của 1 tổ chứchoặc mạng lưới công ty nào đó. Tại đây, bạn phải sử dụng 1 thiết bị hỗ trợ VPNnhư Cisco ASA hoặc router của Cisco. Người sử dụng có thể cấu hình cả 2 thiết bịđể thiết lập hệ thống tunnel lẫn nhau, và toàn bộ mô hình của công ty hoặc vănphòng sẽ sử dụng qua tunnel tại cùng 1 thời điểm (trong khi các kết nối truy cậpVPN từ xa chỉ có thể được thực hiện trên PC đã được thiết lập tunnel sẵn) để truycập tới các nguồn tài nguyên trong cùng 1 hệ thống.Quá trình thiết lập tunnel thông thường được chia làm 2 giai đoạn. Giả sử, trongbài thử nghiệm của chúng ta sẽ áp dụng dựa trên tình huống sau: trong 1 công ty có100 người sử dụng, hệ thống server với mô hình mạng LAN để dùng cho nhữngdịch vụ như email, intranet, và sử dụng thiết bị Cisco ASA 5520 làm Internetgateway.Địa chỉ của mạng LAN tại đây là 10.0.0.0/24, thông số gateway (ASA) có địa chỉbên trong 10.0.0.254 và bên ngoài là 1.1.1.1. Hiện tại, công ty này đã mở thêm chinhánh với 10 người sử dụng, văn phòng này có thêm 10 máy tính cá nhân và khôngtrang thị thêm bất cứ server nào, có kết nối Internet và dùng ASA 5510 với vai tròcủa thiết bị bảo mật. Địa chỉ LAN của văn phòng này là 192.168.0.0/24, gateway(ASA) với địa chỉ IP bên trong là 192.168.0.254, bên ngoài là 1.1.1.2. Mô hình tổng quan của hệ thống mạngVà yêu cầu từ phía ban lãnh đạo là muốn các máy tính tại chi nhánh kết nối đượctới trụ sở văn phòng qua mô hình site to site VPN.Bắt đầu:Bây giờ là thời điểm chúng ta cần thực hiện 1 số thao tác thiết lập, cụ thể như sau: - Các địa chỉ thường xuyên sử dụng được khởi tạo trong danh sách cho phép truycập.- Danh sách này sẽ được truy cập qua các traffic VPN từ giao thức NAT (NAT0).- Cơ chế chuyển đổi thiết lập IPSec sẽ đảm nhận nhiệm vụ mã hóa IPSec.- Hệ thống map chuyển đổi sẽ khởi tạo các tunnel thật sự dành cho IPSec. - Chính sách isakmp khởi tạo các thiết lập cần thiết cho yêu cầu từ hệ thống ởbước 1.- Các nhóm tunnel thiết lập thuộc tính dành cho tunnel.Để đảm bảo hệ thống hoạt động ổn định và không gặp lỗi trong quá trình thiết lập,các bạn hãy cố gắng đáp ứng được những yêu cầu trên. Tiếp đó là việc kiểm tragiao thức NAT và các danh sách đã được đề cập.Interesting traffic:1 điểm cần chú ý khi tạo tunnel VPN, các bạn cần phải “thông báo” với ASA vềnhững traffic được gửi qua tunnel này – được gọi chung là interesting traffic,chúng ta có thể tạo được phần này bằng cách dùng access – list. Trên 1 hệ thốngsite to site VPN thì người dùng phải thiết lập được cả 2 phía của tunnel, đồng thờichúng ta cũng phải cẩn thận khi tạo access – list tương ứng. Cụ thể, trên phần siteđầu tiên, ASA sẽ nhận được yêu cầu từ phía hệ thống rằng tunnel traffic sẽ đượcchuyển từ trụ sở văn phòng chính tới chi nhánh. Còn với site còn lại, ASA sẽ đảmnhận nhiệm vụ ngược lại, đó là chuyển tunnel traffic từ chi nhánh về trụ sở chính.Cấu trúc lệnh cơ bản như sau: access-list VPN_cryptomap extended permit ip 10.0.0.0 255.255.255.0 192.168.0.0 255.255.255.0Chúng ta có thể thấy rằng danh sác ...