基于eNSP的IPSec雙鏈路備份仿真實驗

王獻(xiàn)宏，魏雁天

摘要：VPN成為總公司和分公司安全通信的首要選擇，為提高傳輸?shù)目煽啃裕偣静捎秒p出口連接互聯(lián)網(wǎng)，一條鏈路作為主鏈路提供VPN的通信，另一條鏈路作為備份，主鏈路出故障時，自動切換到備份鏈路，用eNSP仿真環(huán)境模擬雙鏈路備份，主備鏈路能夠切換，實現(xiàn)可靠通信，為真實網(wǎng)絡(luò)環(huán)境配置提供可靠的參考。

關(guān)鍵詞：VPN;eNSP;鏈路備份

中圖分類號：TP311? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2021）21-0051-02

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

互聯(lián)網(wǎng)的IP數(shù)據(jù)傳輸多采用明文傳輸，對于總公司和分公司的通信造成安全威脅，使用專線可以保證數(shù)據(jù)的安全，但專線的高昂使用成本一般企業(yè)難以承受，采用IPSec、VPN技術(shù)可以解決企業(yè)的困境，隨著公司的壯大和業(yè)務(wù)的發(fā)展，總公司網(wǎng)絡(luò)的出口帶寬的壓力逐漸增大，網(wǎng)絡(luò)一旦出現(xiàn)故障，分公司和總公司的業(yè)務(wù)流將出現(xiàn)中斷，給公司造成損失，為避免此情況出現(xiàn)，總公司需要在出口增加一條鏈路，既可以提高帶寬，又可以保證鏈路的可靠性。

1 IPSec技術(shù)

IPSec提供的服務(wù)是數(shù)據(jù)的保密性、完整性，防重放攻擊的保護(hù)，這些服務(wù)建立在對稱密鑰密碼學(xué)之上。

1.1 加密和驗證

增加兩個IP擴(kuò)展頭部，AH（驗證頭）和ESP（封裝安全載荷），AH檢查完整性，不支持加密，ESP處理保密性，也可以檢查完整性，使用的加密算法DES、3DES、AES對數(shù)據(jù)的來源進(jìn)行驗證的驗證算法有SHA和 MD5。

1.2 安全封裝

隧道模式，原始IP報文生成一個新的報文首部，ESP或AH插到新的報文首部和IP頭部之間，新的報文首部地址是公網(wǎng)IP地址，隱藏內(nèi)部的IP地址信息，當(dāng)前常用的隧道模式。

傳輸模式，原始IP首部和傳輸層之間插入ESP或AH，只能保護(hù)發(fā)出的信息，不能保護(hù)網(wǎng)絡(luò)的消息，僅適用于二臺主機(jī)之間通信。

1.3 安全聯(lián)盟

IPSec雙方通信建立的連接稱為安全聯(lián)盟SA，使用相同的加密算法、加密密鑰，驗證密鑰、驗證算法、封裝模式，通信雙方建立雙向的SA[1]。

2仿真實驗

2.1 仿真平臺

仿真平臺采用華為eNSP，總公司和分公司采用防火墻USG5500連接互聯(lián)網(wǎng)。

2.2 實驗拓?fù)?/p>

2.3 主要配置

總公司防火墻主要配置如下：

配置ip-link，監(jiān)控主鏈路的狀態(tài)是否正常

[master]ip-link check enable? ? ?//使能ip-link

[Master]ip-link 1 destination 3.3.3.1 interface g0/0/1 mode icmp next-hop 1.1.1.2 //監(jiān)控主鏈路

路由配置

[Master]ip route-static 192.168.1.0 24 1.1.1.2 preference 20 track ip-link 1? //配置到分公司的路由，G0/0/1為主鏈路

[Master]ip route-static 192.168.1.0 24 2.2.2.2 preference 30? ? ? //配置到分公司的路由，G0/0/2為備用鏈路

[Master]ip route-static 0.0.0.0 0 1.1.1.2 preference 20 track ip-link 1? ?//配置默認(rèn)路由，G0/0/1為主鏈路

[Master]ip route-static 0.0.0.0 0 2.2.2.2 preference 30 //配置默認(rèn)路由，G0/0/2為備用鏈路

配置保護(hù)的流量

定義二個ACL，配置規(guī)則相同

[Master]acl 3100

[Master-acl-adv-3100]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

[Master-acl-adv-3100]acl 3200

[Master-acl-adv-3200]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

配置IPSec安全提議

[Master]ipsec proposal pro1

[Master-ipsec-proposal-pro1]encapsulation-mode tunnel

[Master-ipsec-proposal-pro1]transform esp

[Master-ipsec-proposal-pro1]esp authentication-algorithm sha1

[Master-ipsec-proposal-pro1]esp encryption-algorithm aes

配置IKE安全提議

[Master]ike proposal 20

[Master-ike-proposal-20]authentication-method pre-share