基于eNSP的IPSec VPN實驗教學設計

馮思泉

摘 要：為解決IPSec VPN教學過程中所存在的實驗環(huán)境難以搭建的問題，本文介紹了IPSec VPN的基本工作原理，重點探討了基于eNSP仿真軟件模擬IPsec VPN的實驗教學設計方法。

關鍵詞：IPSec VPN；eNSP；實驗設計

1 引言

虛擬專用網(wǎng)（VPN）是指通過共享的公共網(wǎng)絡建立私有的數(shù)據(jù)傳輸通道，將各個需要接入虛擬網(wǎng)的終端通過通道連接起來，形成一個專用的、具有一定安全性和服務質(zhì)量保證的網(wǎng)絡[1-2]。VPN實現(xiàn)方式可以根據(jù)隧道建立所在的層次分為第二層VPN（l2VPN）、第三層VPN（L3VPN）和應用層VPN。而L3 VPN有根據(jù)所使用的協(xié)議不同，分為GRE VPN和IPSec VPN。IPSec協(xié)議是一個保護IP通信的協(xié)議族，提供了加密、完整性和身份驗證功能[2]。

2 IPsec VPN基本原理

IP安全（IP Security，即IPSec）是基于OSI參考模型中的網(wǎng)絡層IP協(xié)議所提出的安全協(xié)議，是一種可以使用在廣域網(wǎng)或者局域網(wǎng)中實現(xiàn)保護IP網(wǎng)絡通信安全的解決方案。IPSec VPN體系主要由AH、ESP和IKE協(xié)議組成。AH協(xié)議主要提供數(shù)據(jù)源驗證、數(shù)據(jù)完整性校驗和發(fā)報文重放功能。ESP協(xié)議提供數(shù)據(jù)源驗證、數(shù)據(jù)完整性校驗、發(fā)報文重放和數(shù)據(jù)加密功能。IKE協(xié)議用于自動協(xié)商AH和ESP所使用的密碼算法[3]。

IKE協(xié)議用于自動協(xié)商AH和ESP所使用的密碼算法，協(xié)商過程分為兩個階段：

第一階段，通信雙方彼此建立一個通過身份驗證和安全保護的通道，此階段建立一個ISAKAMP安全聯(lián)盟，即IKE SA；第二階段，在已經(jīng)建立的安全聯(lián)盟（IKE SA）基礎上為IPSec協(xié)商具體的安全聯(lián)盟，即IPSec SA。而IPSec SA用于最終的IP數(shù)據(jù)安全傳送[4]。

3 實驗教學設計

⑴實驗拓撲如圖1所示，該拓撲結構圖用于模擬企業(yè)總部與分支結構之間通過公網(wǎng)互聯(lián)；

⑵網(wǎng)絡基本參數(shù)規(guī)劃：在以上拓撲圖中，USG_A代表分支機構的出口防火墻，Client1代表分支機構內(nèi)的某臺主機，USG_B代表總部的出口防火墻，Client2代表總部網(wǎng)絡的某臺主機，現(xiàn)在采用IPSec VPN實現(xiàn)分支機構與總部網(wǎng)絡之間的安全通信。規(guī)劃主機和防火墻各端口的IP地址。

⑶主要配置指令：完成網(wǎng)絡規(guī)劃之后，就可以分別在防火墻USG_A和USG_B上配置IPSec VPN，由于USG_A和USG_B指令相似度很高，因此我們在這里僅寫出USG_A的部分主要配置指令。主要指令配置如下：

//配置IKE安全提議

[USG_A]ike proposal 10

[USG_A-ike-proposal-10]authentication-method pre-share

[USG_A-ike-proposal-10]authentication-algorithm sha1

[USG_A-ike-proposal-10]integrity-algorithm hmac-sha1-96

//配置IKE對等體

[USG_A]ike peer b

[USG_A-ike-peer-b]ike-proposal 10

[USG_A-ike-peer-b]remote-address 1.1.1.2

[USG_A-ike-peer-b]pre-shared-key abcde

//配置IPSec安全提議

[USG_A]ipsec proposal tran1

[USG_A-ipsec-proposal-tran1]encapsulation-mode tunnel

[USG_A-ipsec-proposal-tran1]transform esp

[USG_A-ipsec-proposal-tran1]esp authentication-algorithm md5

[USG_A-ipsec-proposal-tran1]esp encryption-algorithm des

//配置安全策略

[USG_A]ipsec policy map1 10 isakmp

[USG_A-ipsec-policy-isakmp-map1-10]security acl 3000

[USG_A-ipsec-policy-isakmp-map1-10]proposal tran1

[USG_A-ipsec-policy-isakmp-map1-10]ike-peer b

[USG_A-ipsec-policy-isakmp-map1-10]quit

//在接口上應用安全策略

[USG_A]interface GigabitEthernet 0/0/1

[USG_A-GigabitEthernet0/0/1]ipsec policy map1

4 實驗驗證及分析

主機Client1或Client2發(fā)出到對方的報文，觸發(fā)興趣數(shù)據(jù)流，導致防火墻USG_A或USG_B發(fā)起建立IPSec VPN隧道。結果短暫的延遲后，隧道成功建立。分支機構和總部網(wǎng)絡內(nèi)的主機可以通過隧道相互進行安全通信。

[參考文獻]

[1]彭春燕，王得芳.基于IPSec+VPN實驗教學設計與仿真[J].電子設計工程，2013，6（21）：12-14.

[2]王麗娜，劉炎，等.基于IPSec和GRE的VPN實驗仿真[J].實驗室研究與探索，2013，9：70-75.

[3]仲光平，劉金明.基于Packet+Tracer的IPSec+VPN實驗教學設計[J].實驗科學與技術，2012，3（10）：51-54.

[4]華為技術有限公司.HCDA華為認證工程師培訓[M].2013：425-477.