基于eNSP的IPSec VPN实验教学设计

2014-07-24 06:30冯思泉

无线互联科技 2014年5期

冯思泉

摘要：为解决IPSec VPN教学过程中所存在的实验环境难以搭建的问题，本文介绍了IPSec VPN的基本工作原理，重点探讨了基于eNSP仿真软件模拟IPsec VPN的实验教学设计方法。

关键词：IPSec VPN；eNSP；实验设计

1 引言

虚拟专用网（VPN）是指通过共享的公共网络建立私有的数据传输通道，将各个需要接入虚拟网的终端通过通道连接起来，形成一个专用的、具有一定安全性和服务质量保证的网络[1-2]。VPN实现方式可以根据隧道建立所在的层次分为第二层VPN（l2VPN）、第三层VPN（L3VPN）和应用层VPN。而L3 VPN有根据所使用的协议不同，分为GRE VPN和IPSec VPN。IPSec协议是一个保护IP通信的协议族，提供了加密、完整性和身份验证功能[2]。

2 IPsec VPN基本原理

IP安全（IP Security，即IPSec）是基于OSI参考模型中的网络层IP协议所提出的安全协议，是一种可以使用在广域网或者局域网中实现保护IP网络通信安全的解决方案。IPSec VPN体系主要由AH、ESP和IKE协议组成。AH协议主要提供数据源验证、数据完整性校验和发报文重放功能。ESP协议提供数据源验证、数据完整性校验、发报文重放和数据加密功能。IKE协议用于自动协商AH和ESP所使用的密码算法[3]。

IKE协议用于自动协商AH和ESP所使用的密码算法，协商过程分为两个阶段：

第一阶段，通信双方彼此建立一个通过身份验证和安全保护的通道，此阶段建立一个ISAKAMP安全联盟，即IKE SA；第二阶段，在已经建立的安全联盟（IKE SA）基础上为IPSec协商具体的安全联盟，即IPSec SA。而IPSec SA用于最终的IP数据安全传送[4]。

3 实验教学设计

⑴实验拓扑如图1所示，该拓扑结构图用于模拟企业总部与分支结构之间通过公网互联；

⑵网络基本参数规划：在以上拓扑图中，USG_A代表分支机构的出口防火墙，Client1代表分支机构内的某台主机，USG_B代表总部的出口防火墙，Client2代表总部网络的某台主机，现在采用IPSec VPN实现分支机构与总部网络之间的安全通信。规划主机和防火墙各端口的IP地址。

⑶主要配置指令：完成网络规划之后，就可以分别在防火墙USG_A和USG_B上配置IPSec VPN，由于USG_A和USG_B指令相似度很高，因此我们在这里仅写出USG_A的部分主要配置指令。主要指令配置如下：

//配置IKE安全提议

[USG_A]ike proposal 10

[USG_A-ike-proposal-10]authentication-method pre-share

[USG_A-ike-proposal-10]authentication-algorithm sha1

[USG_A-ike-proposal-10]integrity-algorithm hmac-sha1-96

//配置IKE对等体

[USG_A]ike peer b

[USG_A-ike-peer-b]ike-proposal 10

[USG_A-ike-peer-b]remote-address 1.1.1.2

[USG_A-ike-peer-b]pre-shared-key abcde

//配置IPSec安全提议

[USG_A]ipsec proposal tran1

[USG_A-ipsec-proposal-tran1]encapsulation-mode tunnel

[USG_A-ipsec-proposal-tran1]transform esp

[USG_A-ipsec-proposal-tran1]esp authentication-algorithm md5

[USG_A-ipsec-proposal-tran1]esp encryption-algorithm des

//配置安全策略

[USG_A]ipsec policy map1 10 isakmp

[USG_A-ipsec-policy-isakmp-map1-10]security acl 3000

[USG_A-ipsec-policy-isakmp-map1-10]proposal tran1

[USG_A-ipsec-policy-isakmp-map1-10]ike-peer b

[USG_A-ipsec-policy-isakmp-map1-10]quit

//在接口上应用安全策略

[USG_A]interface GigabitEthernet 0/0/1

[USG_A-GigabitEthernet0/0/1]ipsec policy map1

4 实验验证及分析

主机Client1或Client2发出到对方的报文，触发兴趣数据流，导致防火墙USG_A或USG_B发起建立IPSec VPN隧道。结果短暂的延迟后，隧道成功建立。分支机构和总部网络内的主机可以通过隧道相互进行安全通信。

[参考文献]

[1]彭春燕，王得芳.基于IPSec+VPN实验教学设计与仿真[J].电子设计工程，2013，6（21）：12-14.

[2]王丽娜，刘炎，等.基于IPSec和GRE的VPN实验仿真[J].实验室研究与探索，2013，9：70-75.

[3]仲光平，刘金明.基于Packet+Tracer的IPSec+VPN实验教学设计[J].实验科学与技术，2012，3（10）：51-54.

[4]华为技术有限公司.HCDA华为认证工程师培训[M].2013：425-477.