基于EVE-NG的動態(tài)IPSec VPN的實驗設計

李云偉

摘 要：在實際的應用中，經(jīng)常需要使用HUB-Spoke類型的組網(wǎng)，即一個企業(yè)總部到多個分支機構的組網(wǎng)，分支節(jié)點通過PPPoE、DHCP等方式動態(tài)獲取公網(wǎng)地址，各個分支機構之間的通信由總部節(jié)點轉發(fā)和控制，為保障總部和分支機構間通信的安全，分支節(jié)點建立到總部的IPSec隧道。由于實驗條件的限制，傳統(tǒng)的教學方式中只能進行理論知識的講解，達不到理想的教學效果。本實驗通過新的EVE-NG仿真軟件，實現(xiàn)學生從網(wǎng)絡結構搭建到設備配置，直到系統(tǒng)測試的全過程仿真。通過實驗加強了學生對PPOE，IPSec VPN等知識的進一步理解，增強了學生實際動手能力。

關鍵詞：EVE-NG;IPSec VPN;PPPOE

企業(yè)由于業(yè)務拓展，在全國各地建立了若干分支機構;總部出口路由器通過運營商專線連接到互聯(lián)網(wǎng)，分部采用寬帶撥號上網(wǎng)（PPPoE）自動獲得IP地址方式接入互聯(lián)網(wǎng)。分部在業(yè)務開展過程中需要訪問位于總部的服務器，同時需要對分部與總部間通信的數(shù)據(jù)進行加密，保證業(yè)務安全。該場景通過在總部出口路由器上部署動態(tài)的IPSECVPN來接受分部的接入，分部通過PPPoE方式獲得上網(wǎng)地址。以往的教學方式中，由于真實實驗環(huán)境搭建結構昂貴，學生在學習動態(tài)IPSec VPN過程中只能理解它們的工作原理，不能通過實驗來驗證分部如何通過PPPoE方式獲得上網(wǎng)地址和動態(tài)IPSec VPN隧道的建立過程。本文采用的EVE-NG是一款基于B/S結構的通用仿真軟件，可以模擬真實的網(wǎng)絡設備具有支持的設備類型多、占用資源少等優(yōu)點。為學生掌握動態(tài)IPSec VPN隧道的相關技術，熟悉網(wǎng)絡結構搭建和設備的操作創(chuàng)造了環(huán)境。

1 EVE-NG仿真平臺、PPPoE及IPSec VPN介紹

EVE-NG是深度定制的Ubuntu操作系統(tǒng)，融合了dynamips，基于Linux的互聯(lián)網(wǎng)操作系統(tǒng)，以及基于內(nèi)核的虛擬機KVM，可以直接安裝在 x86 架構的計算機上。另外它也有開放虛擬化設備（OVA）版本，可以直接導入到VMware 等虛擬機中運行。PPPoE是以太網(wǎng)上的點對點協(xié)議，是將點對點協(xié)議（PPP）封裝在以太網(wǎng)（Ethernet）框架中的一種網(wǎng)絡隧道協(xié)議。IPSec VPN指采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術，是由IETF定義的安全標準框架，在公網(wǎng)上為兩個私有網(wǎng)絡提供安全通信通道，通過加密通道保證連接的安全，在兩個公共網(wǎng)關間提供私密數(shù)據(jù)封包服務。而IPSEC動態(tài)隧道一般應用于分支節(jié)點較多的總分拓撲結構，在中心點配置動態(tài)隧道接受各分支的IPSec VPN接入。中心點配置簡單、易于維護、可擴展性強。

2 EVE-NG仿真平臺上IPSEC動態(tài)隧道的部署實現(xiàn)

2.1 EVE-NG仿真平臺上搭建模擬應用場景

在實際的應用中，經(jīng)常需要使用HUB-Spoke類型的組網(wǎng)，即一個企業(yè)總部到多個分支機構的組網(wǎng)。網(wǎng)絡整機結構如圖1所示。

本實驗中涉及總部（HUB）、兩個分部（Spoke）以及運營商網(wǎng)絡四個主要部分，路由器R1、R2分別仿真分部一和分部二的出口網(wǎng)關設備，并且以PPPoE方式獲得接入地址（見圖1中的路由器R1、R2）;路由器R3模擬運營商網(wǎng)絡提供互聯(lián)網(wǎng)服務和作為PPPoE服務器（見圖1中的路由器R3）;路由器R4仿真企業(yè)總部的出口網(wǎng)關，運營商分配了固定IP地址接入互聯(lián)網(wǎng)（見圖1中的路由器R4）。

2.2 配置路由器接口IP地址

根據(jù)圖1所示，配置個路由器的接口的IP地址。

配置總部路由器R4。總部路由器R4采用固定IP地址。路由器R3仿真運營商網(wǎng)絡，并且作為PPPOE撥號上網(wǎng)的服務器，需要將它配置成PPPOE服務器。同時給兩個分部提供動態(tài)IP地址，該路由器采用CHAP協(xié)議進行認證服務，需要提供認證用戶名和密碼。

R1、R2的接口ethernet 0/1均作為內(nèi)部網(wǎng)絡的網(wǎng)關地址，配置固定地址即可;而ethernet 0/0接口配置為PPPOE客戶端從PPPOE服務器動態(tài)獲得IP地址。

2.3 配置IPSec VPN

根據(jù)圖1規(guī)劃，兩個分部通過IPSec VPN隧道訪問總部服務器。總部出接口分配固定上網(wǎng)地址，二兩個分部均采用ADSL上網(wǎng)方式，通過PPPOE服務動態(tài)獲取上網(wǎng)地址。分部已知總部的上網(wǎng)地址，采用靜態(tài)方式建立隧道，可以主動隧道的IKE協(xié)商;總部在隧道建立前無法獲得分部地址，采用動態(tài)方式建立隧道，被動接受IKE協(xié)商。

1）在總部出口路由器R4上配置動態(tài)IPSecVPN隧道

2）在分部出口路由器R1、R2上配置靜態(tài)態(tài)IPSecVPN隧道

2.4 測試網(wǎng)絡連通性

1）給分部PC1、PC2分別配置ip地址：172.16.10.10/24和172.16.20.10/24，總部的SERVER配置地址192.168.10.10/24

2）PC1和PC2通過ping向服務器發(fā)送ICMP Request 報文

3）使用命令show crypto isakmp sa和show crypto ipsec sa查看安全聯(lián)盟。

3 小結

本文使用了EVE-NG的仿真平臺實現(xiàn)了很多仿真軟件無法完成的實驗。涉及IPSec、PPPOE、ACL和靜態(tài)路由等知識點。使在教學過程中不僅能掌握理論知識，同時能通過實驗掌握整個實驗從網(wǎng)絡規(guī)劃、網(wǎng)絡搭建和設備配置全過程，從而達到最好的教學效果。

參考文獻

[1]劉小偉，霍靜.在局域網(wǎng)中應用IPSec的主要問題及解決方案[J].天水師范學院學報，2006（05）：62-65.

[2]徐宏斌.使用IPSec保護網(wǎng)絡安全的研究和實踐[J].徐宏斌微計算機信息，2006（27）：131-133.

[3]曹雪峰，傅冬穎等.基于EVE_NG的虛擬網(wǎng)絡實踐教學平臺設計與實現(xiàn)[J].實驗室技術與原理，2019，36（6）：58-161.