基于Cisco Packet Tracer的EzVPN仿真探索

◆鐘興宇 韓梅 王春東

基于Cisco Packet Tracer的EzVPN仿真探索

◆鐘興宇 韓梅通訊作者王春東

（天津理工大學聾人工學院 天津 300384）

在新冠肺炎疫情期間，很多學校采取遠程教學方式，師生們希望能夠在公網(wǎng)環(huán)境下安全、便捷地接入校園內(nèi)網(wǎng)，訪問校園網(wǎng)中的內(nèi)部資源。本文設計的仿真實驗采用思科公司的EzVPN遠程接入技術方案，成功實現(xiàn)了遠程用戶接入校園內(nèi)網(wǎng)，并進行內(nèi)網(wǎng)資源的訪問，且該解決方案不用對IPSec客戶端進行配置，大大簡化了網(wǎng)絡管理員的配置工作，能夠為遠程教育教學提供有效的技術支撐。

網(wǎng)絡；遠程訪問；仿真

目前，VPN遠程接入技術受到了很多學者的關注和研究。與傳統(tǒng)接入內(nèi)網(wǎng)的方式不同，它不受地域空間的限制，只要通過了企業(yè)內(nèi)部配置的相關授權(quán)認證，即可接入企業(yè)內(nèi)部網(wǎng)絡。VPN遠程接入技術的出現(xiàn)，給遠程辦公人員帶來了極大的便利，同時也顯著地降低了企業(yè)網(wǎng)絡的管理和維護成本。本文以思科PT進行模擬仿真，驗證EzVPN遠程接入方案的可行性。

1 仿真網(wǎng)絡結(jié)構(gòu)

網(wǎng)絡拓撲如圖1所示。整個網(wǎng)絡架構(gòu)分為辦公網(wǎng)區(qū)域和互聯(lián)網(wǎng)區(qū)域兩部分，左側(cè)是辦公網(wǎng)區(qū)域，包含兩臺接入交換機，一臺核心交換機和1臺3A認證服務器。右側(cè)是互聯(lián)網(wǎng)區(qū)域，包含一臺路由器（模擬ISP）和一臺PC（模擬遠程登錄用戶），左右側(cè)網(wǎng)絡通過EDGER路由器進行連通。本次采用思科PT模擬器進行仿真，通過EDGER路由器結(jié)合3A認證服務器，模擬VPN遠程接入。

本次仿真將實現(xiàn)下列步驟：

（1）EDGER路由器結(jié)合3A認證服務器實現(xiàn)對VPN遠程接入用戶的身份驗證。

（2）VPN遠程接入用戶成功通過驗證，并試圖訪問內(nèi)網(wǎng)服務器資源。

（3）觀察遠程接入用戶如何與EDGER路由器建立路由。

圖1 網(wǎng)絡拓撲圖

2 EzVPN和3A服務器相關配置

2.1 EDGER路由器部分配置

（1）AAA相關配置

aaa new-model

aaa authentication login VPN-ACCESS group radius

aaa authorization network VPN-ACCESS local

（2）配置Radius Server

radius-server host 192.168.99.1 auth-port 1645 key 123456

（3）配置IPSec相關安全策略

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

（4）配置客戶端相關策略

ip local pool ippool 192.168.50.100 192.168.50.200

crypto isakmp client configuration group clientgroup

key 123456

pool ippool

netmask 255.255.255.0

（5）創(chuàng)建IPSec相關加密/驗證算法

crypto ipsec transform-set ipsectrans esp-des esp-md5-hmac

crypto dynamic-map dynamicmap 1

set transform-set ipsectrans

reverse-route // 配置反向路由注入

（6）關聯(lián)相關認證信息

crypto map mymap client authentication list VPN-ACCESS

crypto map mymap isakmp authorization list VPN-ACCESS

crypto map mymap client configuration address respond

crypto map mymap 10 ipsec-isakmp dynamic dynamicmap

（7）將IPSec安全策略綁定到公網(wǎng)出接口上

interface Serial0/2/0

crypto map mymap

2.2 3A認證服務器配置

3A認證服務器配置圖如圖2所示。

圖2 3A認證服務器配置圖

3 系統(tǒng)測試

EzVPN和3A認證服務器配置完成后，遠程登錄用戶通過PC5的Desktop選項卡下的VPN選項，進入到VPN的配置頁面，輸入正確的相關參數(shù)后進行認證，PC5客戶端顯示”VPN is connected”，如圖3所示?？蛻舳双@取到的地址為192.168.50.100，與EDGER路由器上預設的地址池一致。同時，EDGER路由器中產(chǎn)生了一條反向注入的靜態(tài)路由S 192.168.50.100/32 [1/0] via 100.0.0.1，為了驗證PC5能否不受阻礙地訪問服務器資源，在3A認證服務器上同時開啟了http服務，在PC5中自帶的網(wǎng)頁瀏覽器內(nèi)的頁面輸入內(nèi)網(wǎng)服務器地址http://192.168.99.1，發(fā)現(xiàn)目標網(wǎng)頁可以正常訪問，如圖4所示。說明位于外網(wǎng)的PC5，已經(jīng)成功通過思科獨有的解決方案EzVPN技術接入到內(nèi)網(wǎng)中，并可以不受阻礙地訪問到內(nèi)網(wǎng)服務器的所有資源。

圖3 VPN連接效果圖

圖4 PC5訪問內(nèi)網(wǎng)資源效果圖

4 結(jié)束語

本文結(jié)合當代實際遠程接入需求，采用了思科的EzVPN解決方案，并基于思科PT模擬器設計了仿真實驗，實現(xiàn)了Radius認證服務器配合EzVPN遠程接入方案對遠程登錄用戶進行的身份認證。用戶在認證通過后接入到了辦公區(qū)內(nèi)網(wǎng)，并成功地進行內(nèi)網(wǎng)資源的訪問，證實了采用思科EzVPN遠程接入技術方案進行遠程教育教學的可行性。

該VPN解決方案仍有一些待改進之處，受限于思科PT仿真軟件的設計，無法基于用戶、用戶組實施精準的VPN訪問控制。例如用戶通過EzVPN接入內(nèi)網(wǎng)后，可以不受阻礙地訪問到內(nèi)網(wǎng)中的所有資源，無法實現(xiàn)基于用戶、用戶組的權(quán)限管理方法對用戶實施資源訪問控制。

[1]Vijay Bollapragada，Mohamed Khalid.IPSEC VPN設計[M].北京：人民郵電出版社，2012.11.

[2]王達.華為VPN學習指南[M].北京：人民郵電出版社，2017.9.

[3]秦柯.Cisco IPSec VPN實戰(zhàn)指南[M].北京：人民郵電出版社，2012.5.

[4]王真.VPN技術在校園網(wǎng)絡安全體系的應用[J].網(wǎng)絡安全技術與應用，2021（09）：101-103.

[5]高琪琪，華拓.基于PT的Remote Access IPSec VPN仿真[J].電腦迷，2018（04）：84.

[6]俞富榮.VPN技術在局域網(wǎng)中的組網(wǎng)的應用探討[J].網(wǎng)絡安全技術與應用，2021（08）：6-7.