基于H3C HCL的IPSec VPN實(shí)驗(yàn)設(shè)計(jì)與仿真

王 霞 俊

(常州輕工職業(yè)技術(shù)學(xué)院 信息工程與技術(shù)學(xué)院，江蘇 常州 213164)

0 引 言

虛擬專(zhuān)用網(wǎng)絡(luò)(Virtual Private Network，VPN)[1-2]已經(jīng)成為目前最廣泛應(yīng)用的網(wǎng)絡(luò)技術(shù)之一，也是高職院校計(jì)算機(jī)網(wǎng)絡(luò)相關(guān)專(zhuān)業(yè)的必修課程和信息安全課程和網(wǎng)絡(luò)工程課程的重要內(nèi)容[3-4]。高職院校尤其重視學(xué)生的動(dòng)手實(shí)踐能力，注重教師以實(shí)操方式指導(dǎo)學(xué)生在網(wǎng)絡(luò)組建、安全管理及維護(hù)等方面能力的提高[5]。目前的VPN實(shí)驗(yàn)中，存在以下幾個(gè)常見(jiàn)問(wèn)題[6-7]：①網(wǎng)絡(luò)設(shè)備昂貴，受限于實(shí)驗(yàn)室設(shè)備條件，實(shí)驗(yàn)實(shí)訓(xùn)條件難以滿(mǎn)足要求；②理論與實(shí)踐脫節(jié)，實(shí)驗(yàn)知識(shí)點(diǎn)分散且孤立，缺乏有機(jī)綜合性；③實(shí)驗(yàn)方案照搬教材，實(shí)驗(yàn)內(nèi)容簡(jiǎn)單，實(shí)驗(yàn)?zāi)Ｊ絾我唬虎軐?shí)驗(yàn)難度定位不準(zhǔn)確，不易于學(xué)生理解消化；⑤自主性、探究性學(xué)習(xí)不強(qiáng)，創(chuàng)造性不高。

針對(duì)以上問(wèn)題，結(jié)合高職院校學(xué)生的實(shí)際特點(diǎn)，本文以工程項(xiàng)目為背景，提出了一種利用H3C的HCL網(wǎng)絡(luò)模擬器模擬企業(yè)IPSec VPN實(shí)驗(yàn)設(shè)計(jì)方案，并給出具體的實(shí)現(xiàn)方法。這對(duì)于增強(qiáng)學(xué)生對(duì)VPN理論知識(shí)的理解，激發(fā)學(xué)生的學(xué)習(xí)興趣[8]，提高學(xué)生實(shí)踐動(dòng)手能力能起到積極的促進(jìn)作用。

1 重要知識(shí)點(diǎn)分析

1.1 VPN技術(shù)

虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)技術(shù)在公共網(wǎng)絡(luò)中建立專(zhuān)用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的“加密隧道”在公共網(wǎng)絡(luò)中傳播。它在互聯(lián)網(wǎng)上通過(guò)使用加密和認(rèn)證手段，建立屬于自己的專(zhuān)用網(wǎng)絡(luò)，以滿(mǎn)足企業(yè)在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)的安全性[9-14]。

VPN主要采用隧道(Tunnel)、封裝(Encapsulation)、加密(Encryption)和解密(Decryption)、驗(yàn)證(Authentication)和授權(quán)(Authorization)4 方面的安全技術(shù)來(lái)保障數(shù)據(jù)傳輸?shù)耐暾?。隧道技術(shù)是將分組封裝(Capsule)的技術(shù)，通過(guò)一種協(xié)議傳送另外一種協(xié)議的技術(shù)，它是VPN實(shí)現(xiàn)以?xún)?nèi)部網(wǎng)地址通信與多協(xié)議通信的重要功能，PPTP(Point to Point Tunneling Protocol)、L2TP(Layer 2 Tunneling Protocol)、IPSec(Internet Protocol Security)、GRE(Generic Routing Encapsulation)和GTP(GPRS Tunneling Protocol)已被廣泛采用。加密和解密用于保護(hù)VPN數(shù)據(jù)，常用技術(shù)IPSec和SSL(Secure Sockets Layer 安全套接層)。驗(yàn)證和授權(quán)協(xié)議在遠(yuǎn)程訪(fǎng)問(wèn)VPN中，用于對(duì)VPN連接的安全保護(hù)，AAA技術(shù)廣泛應(yīng)用于驗(yàn)證和授權(quán)領(lǐng)域。在遠(yuǎn)程訪(fǎng)問(wèn)VPN中，使用了用戶(hù)名及口令，它們被用來(lái)判斷用戶(hù)名是否有權(quán)訪(fǎng)問(wèn)。PPP采用了PAP(Password Authentication Protocol)及CHAP(Challenge Handshake Authentication Protocol)等規(guī)程進(jìn)行認(rèn)證。PPTP及L2TP等隧道協(xié)議采用這種PPP的認(rèn)證協(xié)議。

1.2 HCL仿真軟件

華三云實(shí)驗(yàn)室(H3C Cloud Lab，HCL)又稱(chēng)為H3C模擬器，是H3C公司推出的界面圖形化的全真網(wǎng)絡(luò)設(shè)備模擬軟件[15]。

用戶(hù)可以通過(guò)該軟件實(shí)現(xiàn)H3C公司多種型號(hào)設(shè)備的虛擬組網(wǎng)、配置、調(diào)試。該軟件具備友好易用的圖象界面，可以模擬路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的全部功能，用戶(hù)可以使用它在個(gè)人電腦上搭建虛擬的網(wǎng)絡(luò)環(huán)境。

2 實(shí)驗(yàn)設(shè)計(jì)

2.1 實(shí)驗(yàn)?zāi)康?/h3>

掌握IPSec VPN的工作原理和配置，提高學(xué)生計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備實(shí)踐操作能力。

2.2 實(shí)驗(yàn)項(xiàng)目背景

某企業(yè)總部在上海、北京有分公司，兩地都有一定規(guī)模的企業(yè)網(wǎng)絡(luò)(內(nèi)部網(wǎng)絡(luò))。由于兩地相距較遠(yuǎn)，內(nèi)部主機(jī)不能直接交流信息。現(xiàn)在要求使用IPSec VPN技術(shù)將兩地內(nèi)部網(wǎng)絡(luò)安全地連接起來(lái)，使兩地的內(nèi)部網(wǎng)構(gòu)成一個(gè)大的公司網(wǎng)絡(luò)，即企業(yè)內(nèi)部VPN。

2.3 實(shí)驗(yàn)仿真環(huán)境搭建

整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖1所示。實(shí)驗(yàn)在模擬器H3C Cloud Lab上實(shí)現(xiàn)，包括路由器3 臺(tái)、交換機(jī)2臺(tái)、PC 若干臺(tái)、直通線(xiàn)和串口線(xiàn)若干。整個(gè)實(shí)驗(yàn)區(qū)分為三大塊，分別為上海總公司網(wǎng)、北京分公司網(wǎng)以及互聯(lián)網(wǎng)。圖中，路由器RouterISP模擬公網(wǎng)(因特網(wǎng))。分別模擬上海總公司和北京分公司的出口路由器RouterSH和RouterBJ與公網(wǎng)路由器RouterISP之間采用OSPF路由協(xié)議互聯(lián)互通。

圖1 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D

2.4 實(shí)驗(yàn)網(wǎng)絡(luò)配置

(1) 網(wǎng)絡(luò)參數(shù)規(guī)劃。對(duì)于圖1所示的網(wǎng)絡(luò)拓?fù)鋱D中，假設(shè)上海網(wǎng)的網(wǎng)絡(luò)地址、子網(wǎng)掩碼為10.1.1.0/24；北京網(wǎng)的網(wǎng)絡(luò)地址、子網(wǎng)掩碼為10.1.2.0/24。上海、北京網(wǎng)內(nèi)的終端、服務(wù)器都分配有私有IP地址，網(wǎng)關(guān)要分別設(shè)置成：10.1.1.254和10.1.2.254。各終端、服務(wù)器、路由器相關(guān)參數(shù)如圖1所示。路由器RouterSH、RouterBJ和路由器RouterISP之間采用OSPF路由協(xié)議通信。

(2) 配置路由器RouterSH。

//修改系統(tǒng)名

[H3C]sysname RouterSH

//給接口配置ip

[RouterSH]int g0/0

[RouterSH-GigabitEthernet0/0]ip add 10.1.1.254 24

[RouterSH-GigabitEthernet0/0]int s1/0

[RouterSH-Serial1/0]ip add 219.230.139.1 24

//啟用ospf進(jìn)程號(hào)為1，區(qū)域?yàn)?

[RouterSH] ospf 1

[RouterSH-ospf-1]area 0

[RouterSH-ospf-1-area-0.0.0.0]network 219.230.139.0 0.0.0.255

[RouterSH-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255

配置ipsec vpn

定義IKE第1階段策略

//創(chuàng)建IKE keychain，并進(jìn)入IKE keychain視圖配置

[RouterSH]ike keychain key1

//設(shè)置對(duì)等體的ip地址并使用預(yù)設(shè)口令身份驗(yàn)證

[RouterSH-ike-keychain-key1]pre-shared-key address 202.96.34.1 key simple ike

//創(chuàng)建IKE提議，進(jìn)入IKE提議視圖并使用默認(rèn)配置

[RouterSH]ike proposal 1

[RouterSH-ike-proposal-1]quit

//創(chuàng)建一個(gè)IKE協(xié)議框架，并進(jìn)入IKE協(xié)議框架視圖

[RouterSH]ike profile profile1

//配置本端身份信息

[RouterSH-ike-profile-profile1]local-identity address 219.230.139.1

//配置IKE profile引用的IKE提議

[RouterSH-ike-profile-profile1]proposal 1

//配置采用預(yù)共享密鑰驗(yàn)證時(shí)所使用的keychain

[RouterSH-ike-profile-profile1]keychain key1

//配置匹配對(duì)端身份的規(guī)則

[RouterSH-ike-profile-profile1]match remote identity address 202.96.34.1

定義IPSEC第2階段策略

//創(chuàng)建安全提議，并進(jìn)入安全提議視圖

[RouterSH]ipsec transform-set tran1

//選擇工作模式

[RouterSH-ipsec-transform-set-tran1]encapsulation-mode tunnel

//選擇安全協(xié)議

[RouterSH-ipsec-transform-set-tran1]protocol esp

//配置ESP協(xié)議采用的驗(yàn)證算法

[RouterSH-ipsec-transform-set-tran1]esp authentication-algorithm sha1

//配置ESP協(xié)議采用的加密算法

[RouterSH-ipsec-transform-set-tran1]esp encryption-algorithm 3des-cbc

定義acl第3階段策略

//配置高級(jí)acl 3000

[RouterSH]acl advanced 3000

//定義可以通過(guò)acl的源和目的

[RouterSH-acl-ipv4-adv-3000]rule permit ip source 10.1.1.0 0.0.0.255 destination

10.1.2.0 0.0.0.255

//創(chuàng)建一個(gè)安全策略模板，并進(jìn)入模板視圖

[RouterSH]ipsec policy policy1 10 isakmp

//配置安全策略模板引用的ACL

[RouterSH-ipsec-policy-isakmp-policy1-10]security acl 3000

//配置安全策略模板引用的IKE 協(xié)議框架

[RouterSH-ipsec-policy-isakmp-policy1-10]ike-profile profile1

//配置安全策略模板引用的安全提議

[RouterSH-ipsec-policy-isakmp-policy1-10]transform-set tran1

//配置IPSec隧道的對(duì)端IP地址

[RouterSH-ipsec-policy-isakmp-policy1-10]remote-address 202.96.34.1

//在接口上應(yīng)用安全策略

[RouterSH-Serial1/0]ipsec apply policy policy1

(3) 配置路由器RouterISP。

//修改系統(tǒng)名

[H3C]sysname RouterISP

//給接口配置ip

[RouterISP-GigabitEthernet0/0]int s1/0

[RouterSH-Serial1/0]ip add 219.230.139.2 24

[RouterISP-GigabitEthernet0/0]int s2/0

[RouterISP-Serial2/0]ip add 202.96.34.2 24

//啟用ospf進(jìn)程號(hào)為1，區(qū)域?yàn)?

[RouterISP] ospf 1

[RouterISP-ospf-1]area 0

[RouterISP-ospf-1-area-0.0.0.0]network 219.230.139.0 0.0.0.255

[RouterISP-ospf-1-area-0.0.0.0]network 202.96.34.0 0.0.0.255

(4) 配置RouterBJ。

//修改系統(tǒng)名

[H3C]sysname RouterBJ

//給接口配置ip

[RouterBJ]int g0/0

[RouterBJ -GigabitEthernet0/0]ip add 10.1.2.254 24

[RouterBJ -GigabitEthernet0/0]int s2/0

[RouterBJ -Serial2/0]ip add 202.96.34.1 24

//啟用ospf進(jìn)程號(hào)為1，區(qū)域?yàn)?

[RouterBJ] ospf 1

[RouterBJ -ospf-1]area 0

[RouterBJ -ospf-1-area-0.0.0.0]network 202.96.34.0 0.0.0.255

[RouterBJ -ospf-1-area-0.0.0.0]network 10.1.2.0 0.0.0.255

配置ipsec vpn

定義IKE第1階段策略

//創(chuàng)建IKE keychain，并進(jìn)入IKE keychain視圖配置

[RouterBJ]ike keychain key1

//設(shè)置對(duì)等體的ip地址并使用預(yù)設(shè)口令身份驗(yàn)證

[RouterBJ -ike-keychain-key1]pre-shared-key address 219.230.139.1 key simple ike

//創(chuàng)建IKE提議，進(jìn)入IKE提議視圖并使用默認(rèn)配置

[RouterBJ]ike proposal 1

[RouterBJ -ike-proposal-1]quit

//創(chuàng)建一個(gè)IKE協(xié)議框架，并進(jìn)入IKE協(xié)議框架視圖

[RouterBJ]ike profile profile1

//配置本端身份信息

[RouterBJ -ike-profile-profile1]local-identity address 202.96.34.1

//配置IKE profile引用的IKE提議

[RouterBJ -ike-profile-profile1]proposal 1

//配置采用預(yù)共享密鑰驗(yàn)證時(shí)所使用的keychain

[RouterBJ -ike-profile-profile1]keychain key1

//配置匹配對(duì)端身份的規(guī)則

[RouterBJ -ike-profile-profile1]match remote identity address 219.230.139.1

定義IPSEC第2階段策略

//創(chuàng)建安全提議，并進(jìn)入安全提議視圖

[RouterBJ]ipsec transform-set tran1

//選擇工作模式

[RouterBJ -ipsec-transform-set-tran1]encapsulation-mode tunnel

//選擇安全協(xié)議

[RouterBJ -ipsec-transform-set-tran1]protocol esp

//配置ESP協(xié)議采用的驗(yàn)證算法

[RouterBJ -ipsec-transform-set-tran1]esp authentication-algorithm sha1

//配置ESP協(xié)議采用的加密算法

[RouterBJ -ipsec-transform-set-tran1]esp encryption-algorithm 3des-cbc

定義acl第3階段策略

//配置高級(jí)acl 3000

[RouterBJ]acl advanced 3000

//定義可以通過(guò)acl的源和目的

[RouterBJ -acl-ipv4-adv-3000]rule permit ip source 10.1.2.0 0.0.0.255 destination

10.1.1.0 0.0.0.255

//創(chuàng)建一個(gè)安全策略模板，并進(jìn)入模板視圖

[RouterBJ]ipsec policy policy1 10 isakmp

//配置安全策略模板引用的ACL

[RouterBJ -ipsec-policy-isakmp-policy1-10]security acl 3000

//配置安全策略模板引用的IKE 協(xié)議框架

[RouterBJ -ipsec-policy-isakmp-policy1-10]ike-profile profile1

//配置安全策略模板引用的安全提議

[RouterBJ -ipsec-policy-isakmp-policy1-10]transform-set tran1

//配置IPSec隧道的對(duì)端IP地址

[RouterBJ -ipsec-policy-isakmp-policy1-10]remote-address 219.230.139.1

//在接口上應(yīng)用安全策略

[RouterBJ-Serial2/0]ipsec apply policy policy1

2.5 實(shí)驗(yàn)結(jié)果驗(yàn)證

經(jīng)過(guò)以上的網(wǎng)絡(luò)設(shè)備配置，上?？偛烤W(wǎng)、北京分公司網(wǎng)內(nèi)的終端、服務(wù)器能正常運(yùn)行，相互之間能進(jìn)行通信。結(jié)果表明：利用IPSec VPN，兩個(gè)內(nèi)網(wǎng)主機(jī)可以相互進(jìn)行訪(fǎng)問(wèn)。

3 結(jié) 語(yǔ)

實(shí)踐動(dòng)手能力對(duì)于高職院校的學(xué)生來(lái)說(shuō)是一項(xiàng)基本的要求。而實(shí)驗(yàn)教學(xué)是學(xué)生提高實(shí)踐動(dòng)手能力的重要手段。本文以工程項(xiàng)目為背景，設(shè)計(jì)了一種利用H3C的HCL網(wǎng)絡(luò)模擬器模擬企業(yè)IPSec VPN實(shí)驗(yàn)設(shè)計(jì)方案，并給出具體的實(shí)現(xiàn)方法和過(guò)程，使得學(xué)生可以更直觀地觀察到實(shí)驗(yàn)的效果，激發(fā)了學(xué)生的學(xué)習(xí)興趣，提高了學(xué)生實(shí)踐動(dòng)手能力。在此實(shí)驗(yàn)方案基礎(chǔ)上，可以進(jìn)一步延伸和豐富實(shí)驗(yàn)內(nèi)容。比如，增加多個(gè)分公司，添加防火墻、NAT等。

參考文獻(xiàn)(References)：

[1] 張 衛(wèi),俞黎陽(yáng).計(jì)算機(jī)網(wǎng)絡(luò)工程[M].北京:清華大學(xué)出版社,2010.

[2] 杭州華三通信技術(shù)有限公司.路由交換技術(shù) 第4卷 [M].北京:清華大學(xué)出版社,2016.

[3] 朱慶云.VPN網(wǎng)絡(luò)的通信安全與應(yīng)用[J].信息通信,2017(2):227-228.

[4] 韋曉麟.中小型企業(yè)網(wǎng)絡(luò)環(huán)境下VPN技術(shù)應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2017(3):134-135.

[5] 褚建立.中小型網(wǎng)絡(luò)組建[M].北京:中國(guó)鐵道出版社,2010．

[6] 溫賀平,曹文梁,劉 慶.一種模擬校園網(wǎng)的綜合組網(wǎng)實(shí)驗(yàn)設(shè)計(jì)[J]. 實(shí)驗(yàn)室研究與探索,2017,36(2):141-144.

[7] 劉艷芳,張力軍,焦福菊.面向創(chuàng)新能力培養(yǎng)的計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)教學(xué)[J].實(shí)驗(yàn)技術(shù)與管理,2014,31(4):28-31.

[8] 邊勝琴,王建萍,崔曉龍.計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室建設(shè)與實(shí)驗(yàn)教學(xué)改革[J]. 實(shí)驗(yàn)室研究與探索,2017(2):259-262.

[9] 彭春燕,王得芳. 基于 IPSec VPN 實(shí)驗(yàn)教學(xué)設(shè)計(jì)與仿真[J].電子設(shè)計(jì)工程,2013,21(6):12-14.

[10] 朱 梅,樊中奎.VPN技術(shù)應(yīng)用[J].電腦知識(shí)與技術(shù), 2015,11(27):42-44.

[11] 劉東霖.SSL VPN技術(shù)研究及仿真分析[J].現(xiàn)代電子技術(shù),2013,36(13):102-104.

[12] 劉炳芳.VPN技術(shù)分析與比較[J].電子世界,2015(16):31-32,35.

[13] 陳 勇.主流VPN技術(shù)的比較及應(yīng)用分析[J].信息系統(tǒng)工程,2010(7):74-75.

[14] 李紅軍.主流VPN技術(shù)的比較與分析[J].數(shù)字技術(shù)與應(yīng)用,2010(4):31-32.

[15] HCL_7.1.59.[EB/OL][2016-10-12].http://www.h3c.com.cn/Service/Software_Download/Other_Product/H3C_Cloud_Lab/HCL/HCL/201410/842486_30005_0.htm.

[16] 徐 巖.面向計(jì)算機(jī)基礎(chǔ)教學(xué)的Hadoop實(shí)驗(yàn)設(shè)計(jì)[J].實(shí)驗(yàn)室研究與探索,2016,35(1):169-172.