Tweet
Hello anh em kỹ thuật 👋,
Bài viết này đi sâu vào phân tích cấu hình của một Cisco Integrated Services Router (ISR), được triển khai làm VPN Gateway chính tại biên mạng. Mục tiêu là làm rõ cách thiết bị tích hợp các dịch vụ mạng, bảo mật và truy cập từ xa trong một nền tảng duy nhất.
🔒 Phân Tích Tổng Quan Cấu Hình Cisco VPN Gateway: vpn1.vnpro.org
Bài viết này tổng hợp và phân tích cấu hình từ một thiết bị Cisco Router (ISR G2 - khả năng là Cisco 2900 Series) đóng vai trò là VPN Gateway chính, hỗ trợ nhiều giao thức truy cập từ xa (Remote Access VPN) và triển khai Zone-Based Firewall (ZBF) để tăng cường bảo mật.
1. ⚙️ Cấu Hình Hệ Thống & Giao Diện Cơ Bản
Gateway này hỗ trợ cả ba loại hình VPN Remote Access phổ biến:
2.1. L2TP/PPTP (VPDN)
VPDN (Virtual Private Dialup Network) được kích hoạt và nhóm vpdn-group 1 được cấu hình để chấp nhận các kết nối L2TP/PPTP, sử dụng Virtual-Template 1 để định cấu hình các tunnel:
2.2. IPsec IKEv1/IKEv2 Remote Access
Router hỗ trợ cả hai phiên bản IKE để thương lượng IPsec SA.
2.3. SSL/AnyConnect VPN (WebVPN)
Đây là giải pháp VPN hiện đại và linh hoạt nhất:
3. 🛡️ Triển Khai Tường Lửa Vùng (Zone-Based Firewall - ZBF)
Router sử dụng ZBF để kiểm soát lưu lượng trạng thái (stateful inspection) giữa các vùng bảo mật (Security Zones).
Thiết bị này được cấu hình như một UTM (Unified Threat Management) Gateway mạnh mẽ, không chỉ cung cấp các dịch vụ VPN truy cập từ xa đa dạng mà còn tăng cường bảo mật lớp 3 và 4 bằng Zone-Based Firewall, đồng thời tích hợp khả năng giám sát ứng dụng (NBAR) và quản lý (SNMP). Đây là một cấu hình điển hình cho một biên mạng cần cung cấp dịch vụ truy cập từ xa linh hoạt và có kiểm soát.
Bài viết này đi sâu vào phân tích cấu hình của một Cisco Integrated Services Router (ISR), được triển khai làm VPN Gateway chính tại biên mạng. Mục tiêu là làm rõ cách thiết bị tích hợp các dịch vụ mạng, bảo mật và truy cập từ xa trong một nền tảng duy nhất.
🔒 Phân Tích Tổng Quan Cấu Hình Cisco VPN Gateway: vpn1.vnpro.org
Bài viết này tổng hợp và phân tích cấu hình từ một thiết bị Cisco Router (ISR G2 - khả năng là Cisco 2900 Series) đóng vai trò là VPN Gateway chính, hỗ trợ nhiều giao thức truy cập từ xa (Remote Access VPN) và triển khai Zone-Based Firewall (ZBF) để tăng cường bảo mật.
1. ⚙️ Cấu Hình Hệ Thống & Giao Diện Cơ Bản
- Phiên bản IOS: Thiết bị đang chạy phiên bản Cisco IOS 15.7.
- Hostname: vpn1.vnpro.org.
- Quản lý Truy cập (AAA): Kích hoạt mô hình AAA mới (aaa new-model) với các phương thức xác thực và ủy quyền (authentication/authorization) sử dụng cơ sở dữ liệu local trên router.
- Vùng IP Cấp Phát (VPN Pool): Định nghĩa một dải IP cấp cho VPN Clients:
Code:
ip local pool SSLVPN-POOL 192.168.11.10 192.168.11.200
- Giao Diện WAN (Public): GigabitEthernet0/0 được cấu hình với một địa chỉ IP và áp dụng Crypto Map, đóng vai trò là điểm cuối VPN (VPN Endpoint):
Code:
interface GigabitEthernet0/0 ip address [WAN_IP_ADDRESS] 255.255.255.0 crypto map VPN-MAP
- Virtual Template: Virtual-Template1 được sử dụng làm khuôn mẫu cấu hình động cho các VPN Tunnel (IPsec/L2TP/SSLVPN), đảm bảo các client nhận được cấu hình nhất quán:
Code:
interface Virtual-Template1 ip unnumbered GigabitEthernet0/0 peer default ip address pool SSLVPN-POOL ppp encrypt mppe auto ppp authentication ms-chap ms-chap-v2 dialin
Gateway này hỗ trợ cả ba loại hình VPN Remote Access phổ biến:
2.1. L2TP/PPTP (VPDN)
VPDN (Virtual Private Dialup Network) được kích hoạt và nhóm vpdn-group 1 được cấu hình để chấp nhận các kết nối L2TP/PPTP, sử dụng Virtual-Template 1 để định cấu hình các tunnel:
Code:
vpdn enable vpdn-group 1 protocol any virtual-template 1
Router hỗ trợ cả hai phiên bản IKE để thương lượng IPsec SA.
- IKEv2: Sử dụng các thuật toán mạnh mẽ (aes-cbc-256, sha256, group 14). Cấu hình Keyring và Profile để xác thực bằng Pre-Shared Key (PSK).
- IKEv1: Cấu hình Client Configuration Group (RA_GROUP) để cung cấp thông tin (PSK, IP Pool, ACL) cho các client VPN.
Code:
ip access-list extended TRAFFIC_MAHOA permit ip 192.168.11.0 0.0.0.255 [INTERNAL_NETWORK_IP] 0.0.1.255
Đây là giải pháp VPN hiện đại và linh hoạt nhất:
- Gateway: Nghe trên cổng 443 (hoặc 1025 cho DTLS) trên giao diện WAN. Sử dụng Trustpoint SSLVPN-TP cho chứng chỉ số SSL.
- Context: SSLVPN-GATEWAY được cấu hình.
- Policy Group (policy_1): Bật tính năng SVC (AnyConnect), chỉ định cấp IP từ SSLVPN-POOL, và triển khai Split Tunneling:
👉 Việc sử dụng Split Tunneling giúp tối ưu hóa hiệu suất bằng cách chỉ gửi lưu lượng truy cập mạng nội bộ qua VPN tunnel, trong khi truy cập Internet vẫn đi trực tiếp.Code:
webvpn context SSLVPN-GATEWAY policy group policy_1 functions svc-enabled svc address-pool "SSLVPN-POOL" netmask 255.255.255.255 svc split include [INTERNAL_NETWORK_RANGE]
- AnyConnect Package: Router đã lưu trữ file cài đặt client (anyconnect-win-4.5.03040-webdeploy-k9.pkg) để phân phối cho người dùng.
3. 🛡️ Triển Khai Tường Lửa Vùng (Zone-Based Firewall - ZBF)
Router sử dụng ZBF để kiểm soát lưu lượng trạng thái (stateful inspection) giữa các vùng bảo mật (Security Zones).
- Các Vùng Bảo Mật: Định nghĩa các vùng LAN, WAN, VPN, và DMZ.
- Policy Map (LAN-WAN-POLICY): Định nghĩa chính sách kiểm tra trạng thái (Inspect) cho lưu lượng dịch vụ Web (HTTP) và Others (HTTPS, SMTP, FTP, DNS, ICMP, v.v.). Bất kỳ lưu lượng nào không khớp sẽ bị Drop Log theo mặc định, đảm bảo bảo mật cao.
- Zone-Pair: Áp dụng chính sách kiểm tra cho cặp vùng LAN-WAN:
Code:
zone-pair security LAN-WAN source LAN destination WAN service-policy type inspect LAN-WAN-POLICY
- SNMP: Kích hoạt SNMPv2c với Community string đã được che giấu, và cấu hình gửi traps đến một máy chủ giám sát ([LOGGING_SERVER_IP]).
- Logging: Gửi các thông báo log đến máy chủ bên ngoài:
Code:
logging host [LOGGING_SERVER_IP]
- NetFlow: Cấu hình flow record và flow monitor cho tính năng NBAR Application Monitoring (nbar-appmon), giúp phân tích loại ứng dụng đang sử dụng băng thông
Thiết bị này được cấu hình như một UTM (Unified Threat Management) Gateway mạnh mẽ, không chỉ cung cấp các dịch vụ VPN truy cập từ xa đa dạng mà còn tăng cường bảo mật lớp 3 và 4 bằng Zone-Based Firewall, đồng thời tích hợp khả năng giám sát ứng dụng (NBAR) và quản lý (SNMP). Đây là một cấu hình điển hình cho một biên mạng cần cung cấp dịch vụ truy cập từ xa linh hoạt và có kiểm soát.
Attached Files