基于Packet Tracer 的IPSec VPN虛擬仿真實驗設(shè)計

郭穎

摘要：本文以PacketTracer仿真軟件為平臺，結(jié)合網(wǎng)絡(luò)工程項目背景，設(shè)計了IPsecVPN技術(shù)在校園網(wǎng)中應(yīng)用的仿真實驗。通過給出的具體實驗方法及過程，使學(xué)生掌握IPsecVPN的配置方法，直觀地看到實驗效果，激發(fā)學(xué)生自主學(xué)習(xí)探究的興趣。

[關(guān)鍵詞]IPsecVPNPacketTracer虛擬仿真

VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)）可以在公共網(wǎng)絡(luò)上虛擬出專用的私有網(wǎng)絡(luò)，提供端到端的安全數(shù)據(jù)通信。IPsecVPN是網(wǎng)絡(luò)層的VPN技術(shù)，它靈活地將加密、認(rèn)證、密鑰管理和訪問控制結(jié)合在一起，為Internet提供了一個標(biāo)準(zhǔn)的、安全的網(wǎng)絡(luò)環(huán)境，已經(jīng)成為了構(gòu)建VPN的主要方式。傳統(tǒng)IPsecVPN實驗，因設(shè)備昂貴、數(shù)量有限，無法為每位學(xué)生提供完整、獨立、反復(fù)操作的實訓(xùn)環(huán)境，學(xué)生學(xué)習(xí)的自主性、探究性、創(chuàng)造性不高。針對以上問題，通過PacketTracer搭建虛擬仿真單機(jī)實驗環(huán)境，結(jié)合網(wǎng)絡(luò)工程項目內(nèi)容，設(shè)計了基于IPSec的VPN實驗。通過實驗，增強了學(xué)生對IPsecVPN技術(shù)相關(guān)原理的理解和對實驗配置的掌握。

1IPSecVPN原理和配置流程

IPsec（IPSecurity）是IETF為保證在Internet上傳輸數(shù)據(jù)的私密性、安全性和完整性而制定的框架協(xié)議。它包括：AH（AuthenticationHeader，認(rèn)證頭）協(xié)議、ESP（EncapsulatingSecurityPayload，封裝安全載荷）協(xié)議、IKE（InternetKeyExchange，因特網(wǎng)密鑰交換）協(xié)議和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。IPsecVPN的配置流程如圖1所示。

2PacketTracer仿真軟件介紹

PacketTracer是由Cisco公司開發(fā)的一個網(wǎng)絡(luò)仿真軟件。使用者可以通過軟件提供的集線器、交換機(jī)、路由器、無線設(shè)備、終端設(shè)備，搭建從簡單到復(fù)雜的仿真網(wǎng)絡(luò)，滿足網(wǎng)絡(luò)設(shè)計、設(shè)備配置、故障排除等應(yīng)用需求。

3仿真設(shè)計與配置分析

3.1仿真實驗?zāi)繕?biāo)

理解IPsecVPN技術(shù)的基本原理，實現(xiàn)基于IPsecVPN的配置。

3.2仿真實驗背景與網(wǎng)絡(luò)拓?fù)?/p>

某學(xué)校因總校區(qū)和分校區(qū)距離較遠(yuǎn)，為保障分校區(qū)的內(nèi)網(wǎng)用戶（屬于172.16.0.0/16網(wǎng)段）和總校區(qū)服務(wù)器（屬于192.168.100.0/24網(wǎng)段）之間關(guān)鍵業(yè)務(wù)數(shù)據(jù)傳輸?shù)陌踩?，使用IPsecVPN技術(shù)安全連接兩個校區(qū)?？傂^(qū)和分校區(qū)連接的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖2所示。

3.3仿真實驗配置

3.3.1配置路由及NAT

因為NAT的使用會更改IP數(shù)據(jù)包的IP頭數(shù)據(jù)，IPsec會認(rèn)為這是對數(shù)據(jù)包完整性的破壞，從而丟棄數(shù)據(jù)包，所以在使用NAT時要將進(jìn)行IPsec保護(hù)的數(shù)據(jù)從NAT的訪問控制列表中排除出來，不進(jìn)行NAT轉(zhuǎn)換，部分配置命令如下：

R1（config）#ipaccess-listextendedneiwangR1（config-ext-nacl）#denyip192.168.0.00.0.255.255172.16.0.00.0.255.255//排除從服務(wù)器到分校區(qū)用戶的數(shù)據(jù)，不進(jìn)行NAT轉(zhuǎn)換

R1（config-ext-nacl）#permitipanyany//允許其他數(shù)據(jù)進(jìn)行NAT轉(zhuǎn)換

R2（config）#ipaccess-listextendedneiwangR2（config-ext-nacl）#denyip172.16.0.00.0.255.255192.168.0.00.0.255.255//排除從分校區(qū)用戶到服務(wù)器的數(shù)據(jù)，不進(jìn)行NAT轉(zhuǎn)換

R2（config-ext-nacl）#permitipanyany//允許其他數(shù)據(jù)進(jìn)行NAT轉(zhuǎn)換

3.3.2配置IPsecVPN

在配置IPsecVPN前，需要通過配置靜態(tài)或者動態(tài)路由的方式實現(xiàn)總校區(qū)和分校區(qū)的內(nèi)部網(wǎng)絡(luò)互通;同時在兩個校區(qū)出口路由器上配置NAT，實現(xiàn)內(nèi)部網(wǎng)絡(luò)用戶能夠訪問Internet。實現(xiàn)上述功能后，在兩個校區(qū)出口路由器上配置IPsecVPN，具體步驟及命令如下：

第一步：使用ACL定義要加密的數(shù)據(jù)流R1（config）#access-list101permitip192.168.100.00.0.0.255172.16.0.00.0.255.255//定義從總校區(qū)服務(wù)器到分校區(qū)用戶的數(shù)據(jù)進(jìn)行保護(hù)

R2（config）#access-list101permitip172.16.0.00.0.255.255192.168.100.00.0.0.255//定義從分校區(qū)用戶到總校區(qū)服務(wù)器的數(shù)據(jù)進(jìn)行保護(hù)

第二步：配置IKE階段一

R1（config）#cryptoisakmppolicy20//建立ISAKMP策略，指定策略編號為20

R1（config-isakmp）#encryption3des//指定加密算法為3des

Rl（config-isakmp）#hashmd5//指定驗證過程采用md5的驗證功能

R1（config-isakmp）#authenticationpre-share//指定身份驗證方法為預(yù)共享密鑰

R1（config-isakmp）#group2//指定DH算法的密鑰長度為2

R1（config-isakmp）#lifetime5000//指定SA生存周期為5000秒

R1（config）#cryptoisakmpkeytest123address181.1.1.1/1指定加密的密鑰為test123，對端地址為181.1.1.11