基于eNSP的IPSec VPN實驗教學設計

馮思泉

摘 要：為解決IPSec VPN教學過程中所存在的實驗環境難以搭建的問題，本文介紹了IPSec VPN的基本工作原理，重點探討了基于eNSP仿真軟件模擬IPsec VPN的實驗教學設計方法。

關鍵詞：IPSec VPN；eNSP；實驗設計

1 引言

虛擬專用網（VPN）是指通過共享的公共網絡建立私有的數據傳輸通道，將各個需要接入虛擬網的終端通過通道連接起來，形成一個專用的、具有一定安全性和服務質量保證的網絡[1-2]。VPN實現方式可以根據隧道建立所在的層次分為第二層VPN（l2VPN）、第三層VPN（L3VPN）和應用層VPN。而L3 VPN有根據所使用的協議不同，分為GRE VPN和IPSec VPN。IPSec協議是一個保護IP通信的協議族，提供了加密、完整性和身份驗證功能[2]。

2 IPsec VPN基本原理

IP安全（IP Security，即IPSec）是基于OSI參考模型中的網絡層IP協議所提出的安全協議，是一種可以使用在廣域網或者局域網中實現保護IP網絡通信安全的解決方案。IPSec VPN體系主要由AH、ESP和IKE協議組成。AH協議主要提供數據源驗證、數據完整性校驗和發報文重放功能。ESP協議提供數據源驗證、數據完整性校驗、發報文重放和數據加密功能。IKE協議用于自動協商AH和ESP所使用的密碼算法[3]。

IKE協議用于自動協商AH和ESP所使用的密碼算法，協商過程分為兩個階段：

第一階段，通信雙方彼此建立一個通過身份驗證和安全保護的通道，此階段建立一個ISAKAMP安全聯盟，即IKE SA；第二階段，在已經建立的安全聯盟（IKE SA）基礎上為IPSec協商具體的安全聯盟，即IPSec SA。而IPSec SA用于最終的IP數據安全傳送[4]。

3 實驗教學設計

⑴實驗拓撲如圖1所示，該拓撲結構圖用于模擬企業總部與分支結構之間通過公網互聯；

⑵網絡基本參數規劃：在以上拓撲圖中，USG_A代表分支機構的出口防火墻，Client1代表分支機構內的某臺主機，USG_B代表總部的出口防火墻，Client2代表總部網絡的某臺主機，現在采用IPSec VPN實現分支機構與總部網絡之間的安全通信。規劃主機和防火墻各端口的IP地址。

⑶主要配置指令：完成網絡規劃之后，就可以分別在防火墻USG_A和USG_B上配置IPSec VPN，由于USG_A和USG_B指令相似度很高，因此我們在這里僅寫出USG_A的部分主要配置指令。主要指令配置如下：

//配置IKE安全提議

[USG_A]ike proposal 10

[USG_A-ike-proposal-10]authentication-method pre-share

[USG_A-ike-proposal-10]authentication-algorithm sha1

[USG_A-ike-proposal-10]integrity-algorithm hmac-sha1-96

//配置IKE對等體

[USG_A]ike peer b

[USG_A-ike-peer-b]ike-proposal 10

[USG_A-ike-peer-b]remote-address 1.1.1.2

[USG_A-ike-peer-b]pre-shared-key abcde

//配置IPSec安全提議

[USG_A]ipsec proposal tran1

[USG_A-ipsec-proposal-tran1]encapsulation-mode tunnel

[USG_A-ipsec-proposal-tran1]transform esp

[USG_A-ipsec-proposal-tran1]esp authentication-algorithm md5

[USG_A-ipsec-proposal-tran1]esp encryption-algorithm des

//配置安全策略

[USG_A]ipsec policy map1 10 isakmp

[USG_A-ipsec-policy-isakmp-map1-10]security acl 3000

[USG_A-ipsec-policy-isakmp-map1-10]proposal tran1

[USG_A-ipsec-policy-isakmp-map1-10]ike-peer b

[USG_A-ipsec-policy-isakmp-map1-10]quit

//在接口上應用安全策略

[USG_A]interface GigabitEthernet 0/0/1

[USG_A-GigabitEthernet0/0/1]ipsec policy map1

4 實驗驗證及分析

主機Client1或Client2發出到對方的報文，觸發興趣數據流，導致防火墻USG_A或USG_B發起建立IPSec VPN隧道。結果短暫的延遲后，隧道成功建立。分支機構和總部網絡內的主機可以通過隧道相互進行安全通信。

[參考文獻]

[1]彭春燕，王得芳.基于IPSec+VPN實驗教學設計與仿真[J].電子設計工程，2013，6（21）：12-14.

[2]王麗娜，劉炎，等.基于IPSec和GRE的VPN實驗仿真[J].實驗室研究與探索，2013，9：70-75.

[3]仲光平，劉金明.基于Packet+Tracer的IPSec+VPN實驗教學設計[J].實驗科學與技術，2012，3（10）：51-54.

[4]華為技術有限公司.HCDA華為認證工程師培訓[M].2013：425-477.