Tweet
Hướng dẫn cấu hình IKEv2 Keyring cho VPN Site-to-Site
Trong bài viết này, mình sẽ chia sẻ về IKEv2 keyring – một thành phần quan trọng nhưng dễ bị bỏ sót trong triển khai IKEv2 VPN. Đặc biệt hữu ích nếu bạn đang cấu hình VPN với pre-shared key (PSK) giữa nhiều site hoặc môi trường phức tạp.
❓ IKEv2 Keyring là gì?
Trong kiến trúc IKEv2, keyring là nơi lưu trữ các khóa chia sẻ trước (pre-shared keys – PSKs) hoặc khóa bất đối xứng (asymmetric keys). Nó được sử dụng trong quá trình xác thực phase 1 của IKEv2, thường giữa các thiết bị đầu cuối như router hoặc firewall.
Nếu bạn đang dùng phương thức xác thực PSK (thay vì RSA Signature), thì keyring là bắt buộc. Và ngay cả khi bạn dùng RSA để xác thực phía remote (ví dụ remote dùng chứng chỉ), bạn vẫn có thể dùng PSK phía local – một tính năng linh hoạt ít ai chú ý.
✅ Ưu điểm khi dùng IKEv2 Keyring
🛠️ Cách cấu hình IKEv2 Keyring cho PSK
Dưới đây là ví dụ cấu hình một keyring đơn giản:
crypto ikev2 keyring MY_KEYRING
peer SITE_A address 203.0.113.1
pre-shared-key vnpro123
peer SITE_B address 203.0.113.2
pre-shared-key secure456
Sau đó, gắn vào IKEv2 profile:
crypto ikev2 profile IKEV2_PROFILE
match identity remote address 203.0.113.0 255.255.255.0
authentication remote pre-share
authentication local pre-share
keyring local MY_KEYRING
Cuối cùng, gắn profile này vào IPsec profile:
crypto ipsec profile IPSEC_PROFILE set ikev2-profile IKEV2_PROFILE
Và áp dụng vào interface tunnel:
interface Tunnel0
tunnel protection ipsec profile IPSEC_PROFILE
🧩 Ghi chú kỹ thuật
🛠️ Gỡ lỗi IKEv2 Keyring không hoạt động
Nếu VPN không lên, thử kiểm tra:
📌 Kết luận
Việc cấu hình IKEv2 keyring là một bước bắt buộc nếu bạn dùng PSK, nhưng rất nhiều kỹ sư mạng còn nhầm lẫn hoặc cấu hình không đầy đủ, dẫn đến VPN không thể establish. Khi triển khai nhiều site với các yêu cầu bảo mật khác nhau, keyring cho phép bạn quản lý tập trung và linh hoạt hơn rất nhiều so với kiểu cấu hình tĩnh IKEv1.
Hãy kiểm tra lại cấu hình VPN hiện tại của bạn – đã chuyển qua IKEv2 và dùng keyring chuẩn chưa? Nếu chưa, đây là lúc cần cập nhật!
"Bạn đã chuyển sang IKEv2 chưa?" Nếu bạn vẫn còn dùng IKEv1 trong các cấu hình VPN site-to-site, đã đến lúc nâng cấp. Cisco đang khuyến nghị mạnh mẽ sử dụng IKEv2 – giao thức thế hệ mới cho quản lý khóa VPN – giúp tăng tính bảo mật, khả năng mở rộng và hỗ trợ các cơ chế xác thực linh hoạt hơn, bao gồm cả PSK và chứng chỉ số RSA.
Trong bài viết này, mình sẽ chia sẻ về IKEv2 keyring – một thành phần quan trọng nhưng dễ bị bỏ sót trong triển khai IKEv2 VPN. Đặc biệt hữu ích nếu bạn đang cấu hình VPN với pre-shared key (PSK) giữa nhiều site hoặc môi trường phức tạp.
❓ IKEv2 Keyring là gì?
Trong kiến trúc IKEv2, keyring là nơi lưu trữ các khóa chia sẻ trước (pre-shared keys – PSKs) hoặc khóa bất đối xứng (asymmetric keys). Nó được sử dụng trong quá trình xác thực phase 1 của IKEv2, thường giữa các thiết bị đầu cuối như router hoặc firewall.
Nếu bạn đang dùng phương thức xác thực PSK (thay vì RSA Signature), thì keyring là bắt buộc. Và ngay cả khi bạn dùng RSA để xác thực phía remote (ví dụ remote dùng chứng chỉ), bạn vẫn có thể dùng PSK phía local – một tính năng linh hoạt ít ai chú ý.
✅ Ưu điểm khi dùng IKEv2 Keyring
- Quản lý linh hoạt theo từng site
Bạn có thể cấu hình nhiều khóa PSK khác nhau cho từng peer (từng site), giúp tăng tính bảo mật và dễ quản trị. - Hỗ trợ cả symmetric và asymmetric keys
Có thể mix giữa site A dùng PSK và site B dùng RSA certificate, rất phù hợp cho các hệ thống có yêu cầu bảo mật khác nhau. - Tích hợp tốt với IKEv2 profile/IPSec profile
Keyring được attach vào IKEv2 profile, và profile này lại attach vào IPsec profile gắn với interface cụ thể → cấu hình rõ ràng, logic phân tách tốt. - Tự động chọn khóa theo identity
Khi có nhiều entry trong keyring, thiết bị sẽ tự chọn PSK đúng dựa vào identity của peer → rất hữu ích khi một thiết bị phải làm hub cho nhiều site.
🛠️ Cách cấu hình IKEv2 Keyring cho PSK
Dưới đây là ví dụ cấu hình một keyring đơn giản:
crypto ikev2 keyring MY_KEYRING
peer SITE_A address 203.0.113.1
pre-shared-key vnpro123
peer SITE_B address 203.0.113.2
pre-shared-key secure456
Sau đó, gắn vào IKEv2 profile:
crypto ikev2 profile IKEV2_PROFILE
match identity remote address 203.0.113.0 255.255.255.0
authentication remote pre-share
authentication local pre-share
keyring local MY_KEYRING
Cuối cùng, gắn profile này vào IPsec profile:
crypto ipsec profile IPSEC_PROFILE set ikev2-profile IKEV2_PROFILE
Và áp dụng vào interface tunnel:
interface Tunnel0
tunnel protection ipsec profile IPSEC_PROFILE
🧩 Ghi chú kỹ thuật
- Initiator vs Responder: Trong IKEv2, phía khởi tạo gọi là Initiator, bên nhận là Responder. Điều này ảnh hưởng đến việc chọn identity và key trong keyring.
- Chọn key theo identity: Nếu match identity không khớp với address hoặc fqdn của peer, keyring sẽ không được chọn đúng → gây lỗi phase 1.
- Xác thực hỗn hợp: Bạn có thể cấu hình authentication remote rsa-sig + authentication local pre-share, nhưng vẫn cần keyring để cung cấp PSK phía local.
🛠️ Gỡ lỗi IKEv2 Keyring không hoạt động
Nếu VPN không lên, thử kiểm tra:
- Lỗi xác thực:
show crypto ikev2 sa debug crypto ikev2 debug crypto isakmp - Sai PSK hoặc identity: Kiểm tra địa chỉ hoặc FQDN trong keyring có khớp với peer không?
- Không attach đúng profile: Đảm bảo IPsec profile có gắn IKEv2 profile, và IKEv2 profile có keyring.
📌 Kết luận
Việc cấu hình IKEv2 keyring là một bước bắt buộc nếu bạn dùng PSK, nhưng rất nhiều kỹ sư mạng còn nhầm lẫn hoặc cấu hình không đầy đủ, dẫn đến VPN không thể establish. Khi triển khai nhiều site với các yêu cầu bảo mật khác nhau, keyring cho phép bạn quản lý tập trung và linh hoạt hơn rất nhiều so với kiểu cấu hình tĩnh IKEv1.
Hãy kiểm tra lại cấu hình VPN hiện tại của bạn – đã chuyển qua IKEv2 và dùng keyring chuẩn chưa? Nếu chưa, đây là lúc cần cập nhật!
Attached Files