作者：郭颖

来源：《电子技术与软件工程》2019年第08期

        摘要：本文以PacketTracer仿真软件为平台，结合网络工程项目背景，设计了IPsecVPN技术在校园网中应用的仿真实验。通过给出的具体实验方法及过程，使学生掌握IPsecVPN的配置方法，直观地看到实验效果，激发学生自主学习探究的兴趣。

        [关键词]IPsecVPNPacketTracer虛拟仿真

        VPN（VirtualPrivateNetwork，虚拟专用网络）可以在公共网络上虛拟出专用的私有网络，提供端到端的安全数据通信。IPsecVPN是网络层的VPN技术，它灵活地将加密、认证、密钥管理和访问控制结合在一起，为Internet提供了一个标准的、安全的网络环境，已经成为了构建VPN的主要方式。传统IPsecVPN实验，因设备昂贵、数量有限，无法为每位学生提供完整、、反复操作的实训环境，学生学习的自主性、探究性、创造性不高。针对以上问题，通过PacketTracer搭建虚拟仿真单机实验环境，结合网络工程项目内容，设计了基于IPSec的VPN实验。通过实验，增强了学生对IPsecVPN技术相关原理的理解和对实验配置的掌握。

        1IPSecVPN原理和配置流程

        IPsec（IPSecurity）是IETF为保证在Internet上传输数据的私密性、安全性和完整性而制定的框架协议。它包括：AH（AuthenticationHeader，认证头）协议、ESP（EncapsulatingSecurityPayload，封装安全载荷）协议、IKE（InternetKeyExchange，因特网密钥交换）协议和用于网络认证及加密的一些算法等。IPsecVPN的配置流程如图1所示。

        2PacketTracer仿真软件介绍

        PacketTracer是由Cisco公司开发的一个网络仿真软件。使用者可以通过软件提供的集线器、交换机、路由器、无线设备、终端设备，搭建从简单到复杂的仿真网络，满足网络设计、设备配置、故障排除等应用需求。

        3仿真设计与配置分析

        3.1仿真实验目标

        理解IPsecVPN技术的基本原理，实现基于IPsecVPN的配置。

        3.2仿真实验背景与网络拓扑

        某学校因总校区和分校区距离较远，为保障分校区的内网用户（属于172.16.0.0/16網段）和总校区服务器（属于192.168.100.0/24网段）之间关键业务数据传输的安全，使用IPsecVPN技术安全连接两个校区。总校区和分校区连接的网络拓扑结构图如图2所示。

        3.3仿真实验配置

        3.3.1配置路由及NAT

        因为NAT的使用会更改IP数据包的IP头数据，IPsec会认为这是对数据包完整性的破坏，从而丢弃数据包，所以在使用NAT时要将进行IPsec保护的数据从NAT的访问控制列表中排除出来，不进行NAT转换，部分配置命令如下：

        R1（config）#ipaccess-listextendedneiwangR1（config-ext-nacl）#denyip192.168.0.00.0.255.255172.16.0.00.0.255.255//排除从服务器到分校区用户的数据，不进行NAT转换

        R1（config-ext-nacl）#permitipanyany//允许其他数据进行NAT转换

        R2（config）#ipaccess-listextendedneiwangR2（config-ext-nacl）#denyip172.16.0.00.0.255.255192.168.0.00.0.255.255//排除从分校区用户到服务器的数据，不进行NAT转换

        R2（config-ext-nacl）#permitipanyany//允许其他数据进行NAT转换

        3.3.2配置IPsecVPN

        在配置IPsecVPN前，需要通过配置静态或者动态路由的方式实现总校区和分校区的内部网络互通;同时在两个校区出口路由器上配置NAT，实现内部网络用户能够访问Internet。实现上述功能后，在两个校区出口路由器上配置IPsecVPN，具体步骤及命令如下：

        第一步：使用ACL定义要加密的数据流R1（config）#access-list101permitip192.168.100.00.0.0.255172.16.0.00.0.255.255//定义从总校区服务器到分校区用户的数据进行保护

        R2（config）#access-list101permitip172.16.0.00.0.255.255192.168.100.00.0.0.255//定义从分校区用户到总校区服务器的数据进行保护

        第二步：配置IKE阶段一

        R1（config）#cryptoisakmppolicy20//建立ISAKMP策略，指定策略编号为20

        R1（config-isakmp）#encryption3des//指定加密算法为3des

        Rl（config-isakmp）#hashmd5//指定验证过程采用md5的验证功能

        R1（config-isakmp）#authenticationpre-share//指定身份验证方法为预共享密钥

        R1（config-isakmp）#group2//指定DH算法的密钥长度为2

        R1（config-isakmp）#lifetime5000//指定SA生存周期为5000秒

        R1（config）#cryptoisakmpkeytest123address181.1.1.1/1指定加密的密钥为test123，对端地址为181.1.1.11

        R2配置与R1基本相同，只需修改对端地址为180.1.1.1。

        第三步：配置IKE阶段二

        R1（config）#cryptoipsectransform-settestsetesp-3desesp-md-hmac//定义变换集，确定数据如何进行加密处理

        R1（config）#cryptomaptestipsec20ipsec-isakmp//创建加密图

        R1（config-crypto-map）#matchaddress101//匹配需要加密的数据流，此处关联的是第一步创建的ACL编号

        R1（config-crypto-map）#settransform-settestset//关联之前创建的变换集

        R1（config-crypto-map）#setpeer181.1.1.1//指定VPN链路的对端地址

        第四步：將加密图应用在相应接口上R1（config）#interfaceFastEthernet0/1

        R1（config-if）#cryptomaptestipsec

        3.3.3结果及分析

        配置完成后，分校区内网用户PC能够Ping通总校区服务器，如图3所示。

        在分校区R2路由器上，使用“showcryptoisakmpsa”命令查看已经生成的IPsecsa的内容如图4所示。

        4结语

        IPsecVPN因其应用的广泛性成为网络配置技术的一个重点和难点内容。使用PacketTracer仿真软件，不仅解决了学校实训室设备资源有限的问题，而且通过对真实项目环境的模拟，提高了学生对IPsecVPN配置及验证的研究能力，激发学生自主学习探究的兴趣。

        参考文献

        [1]王霞俊，基于H3CHCL的IPSecVPN实验设计与仿真[J].实验室研究与探索，2018，37（03）：118-121.

        [2]杨礼。基于GNS3的GREoverIPSecVPN实验仿真[J].民族大学学报（自然科学版），2019，28（01）：42-46.

        [3]张选波，吴丽征，周金玲.设备调试与网络优化学习指南[M].北京：科学出版社，2009，4：2.下载本文