基于EVE-NG的動(dòng)態(tài)IPSec VPN的實(shí)驗(yàn)設(shè)計(jì)

李云偉

摘 要：在實(shí)際的應(yīng)用中，經(jīng)常需要使用HUB-Spoke類型的組網(wǎng)，即一個(gè)企業(yè)總部到多個(gè)分支機(jī)構(gòu)的組網(wǎng)，分支節(jié)點(diǎn)通過PPPoE、DHCP等方式動(dòng)態(tài)獲取公網(wǎng)地址，各個(gè)分支機(jī)構(gòu)之間的通信由總部節(jié)點(diǎn)轉(zhuǎn)發(fā)和控制，為保障總部和分支機(jī)構(gòu)間通信的安全，分支節(jié)點(diǎn)建立到總部的IPSec隧道。由于實(shí)驗(yàn)條件的限制，傳統(tǒng)的教學(xué)方式中只能進(jìn)行理論知識(shí)的講解，達(dá)不到理想的教學(xué)效果。本實(shí)驗(yàn)通過新的EVE-NG仿真軟件，實(shí)現(xiàn)學(xué)生從網(wǎng)絡(luò)結(jié)構(gòu)搭建到設(shè)備配置，直到系統(tǒng)測試的全過程仿真。通過實(shí)驗(yàn)加強(qiáng)了學(xué)生對PPOE，IPSec VPN等知識(shí)的進(jìn)一步理解，增強(qiáng)了學(xué)生實(shí)際動(dòng)手能力。

關(guān)鍵詞：EVE-NG;IPSec VPN;PPPOE

企業(yè)由于業(yè)務(wù)拓展，在全國各地建立了若干分支機(jī)構(gòu);總部出口路由器通過運(yùn)營商專線連接到互聯(lián)網(wǎng)，分部采用寬帶撥號(hào)上網(wǎng)（PPPoE）自動(dòng)獲得IP地址方式接入互聯(lián)網(wǎng)。分部在業(yè)務(wù)開展過程中需要訪問位于總部的服務(wù)器，同時(shí)需要對分部與總部間通信的數(shù)據(jù)進(jìn)行加密，保證業(yè)務(wù)安全。該場景通過在總部出口路由器上部署動(dòng)態(tài)的IPSECVPN來接受分部的接入，分部通過PPPoE方式獲得上網(wǎng)地址。以往的教學(xué)方式中，由于真實(shí)實(shí)驗(yàn)環(huán)境搭建結(jié)構(gòu)昂貴，學(xué)生在學(xué)習(xí)動(dòng)態(tài)IPSec VPN過程中只能理解它們的工作原理，不能通過實(shí)驗(yàn)來驗(yàn)證分部如何通過PPPoE方式獲得上網(wǎng)地址和動(dòng)態(tài)IPSec VPN隧道的建立過程。本文采用的EVE-NG是一款基于B/S結(jié)構(gòu)的通用仿真軟件，可以模擬真實(shí)的網(wǎng)絡(luò)設(shè)備具有支持的設(shè)備類型多、占用資源少等優(yōu)點(diǎn)。為學(xué)生掌握動(dòng)態(tài)IPSec VPN隧道的相關(guān)技術(shù)，熟悉網(wǎng)絡(luò)結(jié)構(gòu)搭建和設(shè)備的操作創(chuàng)造了環(huán)境。

1 EVE-NG仿真平臺(tái)、PPPoE及IPSec VPN介紹

EVE-NG是深度定制的Ubuntu操作系統(tǒng)，融合了dynamips，基于Linux的互聯(lián)網(wǎng)操作系統(tǒng)，以及基于內(nèi)核的虛擬機(jī)KVM，可以直接安裝在 x86 架構(gòu)的計(jì)算機(jī)上。另外它也有開放虛擬化設(shè)備（OVA）版本，可以直接導(dǎo)入到VMware 等虛擬機(jī)中運(yùn)行。PPPoE是以太網(wǎng)上的點(diǎn)對點(diǎn)協(xié)議，是將點(diǎn)對點(diǎn)協(xié)議（PPP）封裝在以太網(wǎng)（Ethernet）框架中的一種網(wǎng)絡(luò)隧道協(xié)議。IPSec VPN指采用IPSec協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)，是由IETF定義的安全標(biāo)準(zhǔn)框架，在公網(wǎng)上為兩個(gè)私有網(wǎng)絡(luò)提供安全通信通道，通過加密通道保證連接的安全，在兩個(gè)公共網(wǎng)關(guān)間提供私密數(shù)據(jù)封包服務(wù)。而IPSEC動(dòng)態(tài)隧道一般應(yīng)用于分支節(jié)點(diǎn)較多的總分拓?fù)浣Y(jié)構(gòu)，在中心點(diǎn)配置動(dòng)態(tài)隧道接受各分支的IPSec VPN接入。中心點(diǎn)配置簡單、易于維護(hù)、可擴(kuò)展性強(qiáng)。

2 EVE-NG仿真平臺(tái)上IPSEC動(dòng)態(tài)隧道的部署實(shí)現(xiàn)

2.1 EVE-NG仿真平臺(tái)上搭建模擬應(yīng)用場景

在實(shí)際的應(yīng)用中，經(jīng)常需要使用HUB-Spoke類型的組網(wǎng)，即一個(gè)企業(yè)總部到多個(gè)分支機(jī)構(gòu)的組網(wǎng)。網(wǎng)絡(luò)整機(jī)結(jié)構(gòu)如圖1所示。

本實(shí)驗(yàn)中涉及總部（HUB）、兩個(gè)分部（Spoke）以及運(yùn)營商網(wǎng)絡(luò)四個(gè)主要部分，路由器R1、R2分別仿真分部一和分部二的出口網(wǎng)關(guān)設(shè)備，并且以PPPoE方式獲得接入地址（見圖1中的路由器R1、R2）;路由器R3模擬運(yùn)營商網(wǎng)絡(luò)提供互聯(lián)網(wǎng)服務(wù)和作為PPPoE服務(wù)器（見圖1中的路由器R3）;路由器R4仿真企業(yè)總部的出口網(wǎng)關(guān)，運(yùn)營商分配了固定IP地址接入互聯(lián)網(wǎng)（見圖1中的路由器R4）。

2.2 配置路由器接口IP地址

根據(jù)圖1所示，配置個(gè)路由器的接口的IP地址。

配置總部路由器R4。總部路由器R4采用固定IP地址。路由器R3仿真運(yùn)營商網(wǎng)絡(luò)，并且作為PPPOE撥號(hào)上網(wǎng)的服務(wù)器，需要將它配置成PPPOE服務(wù)器。同時(shí)給兩個(gè)分部提供動(dòng)態(tài)IP地址，該路由器采用CHAP協(xié)議進(jìn)行認(rèn)證服務(wù)，需要提供認(rèn)證用戶名和密碼。

R1、R2的接口ethernet 0/1均作為內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)地址，配置固定地址即可;而ethernet 0/0接口配置為PPPOE客戶端從PPPOE服務(wù)器動(dòng)態(tài)獲得IP地址。

2.3 配置IPSec VPN

根據(jù)圖1規(guī)劃，兩個(gè)分部通過IPSec VPN隧道訪問總部服務(wù)器?？偛砍鼋涌诜峙涔潭ㄉ暇W(wǎng)地址，二兩個(gè)分部均采用ADSL上網(wǎng)方式，通過PPPOE服務(wù)動(dòng)態(tài)獲取上網(wǎng)地址。分部已知總部的上網(wǎng)地址，采用靜態(tài)方式建立隧道，可以主動(dòng)隧道的IKE協(xié)商;總部在隧道建立前無法獲得分部地址，采用動(dòng)態(tài)方式建立隧道，被動(dòng)接受IKE協(xié)商。

1）在總部出口路由器R4上配置動(dòng)態(tài)IPSecVPN隧道

2）在分部出口路由器R1、R2上配置靜態(tài)態(tài)IPSecVPN隧道

2.4 測試網(wǎng)絡(luò)連通性

1）給分部PC1、PC2分別配置ip地址：172.16.10.10/24和172.16.20.10/24，總部的SERVER配置地址192.168.10.10/24

2）PC1和PC2通過ping向服務(wù)器發(fā)送ICMP Request 報(bào)文

3）使用命令show crypto isakmp sa和show crypto ipsec sa查看安全聯(lián)盟。

3 小結(jié)

本文使用了EVE-NG的仿真平臺(tái)實(shí)現(xiàn)了很多仿真軟件無法完成的實(shí)驗(yàn)。涉及IPSec、PPPOE、ACL和靜態(tài)路由等知識(shí)點(diǎn)。使在教學(xué)過程中不僅能掌握理論知識(shí)，同時(shí)能通過實(shí)驗(yàn)掌握整個(gè)實(shí)驗(yàn)從網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)搭建和設(shè)備配置全過程，從而達(dá)到最好的教學(xué)效果。

參考文獻(xiàn)

[1]劉小偉，霍靜.在局域網(wǎng)中應(yīng)用IPSec的主要問題及解決方案[J].天水師范學(xué)院學(xué)報(bào)，2006（05）：62-65.

[2]徐宏斌.使用IPSec保護(hù)網(wǎng)絡(luò)安全的研究和實(shí)踐[J].徐宏斌微計(jì)算機(jī)信息，2006（27）：131-133.

[3]曹雪峰，傅冬穎等.基于EVE_NG的虛擬網(wǎng)絡(luò)實(shí)踐教學(xué)平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[J].實(shí)驗(yàn)室技術(shù)與原理，2019，36（6）：58-161.