【摘要】针对虚拟专用网络在教学实验中面临的问题,实验硬件设备不足,实验过程单一,实验内容脱离实际应用。借助Packet Tracer软件,设计并仿真虚拟专用网络综合应用场景的教学实验。按照实验设计的基本原则,根据虚拟专用网络的应用领域,将仿真实验划分为独立模块。实验方案既能满足不同层次学生的要求,也可以激发学生继续探索的热情,在实际教学实践中收到较好的效果。
【关键词】虚拟机专用网 VPN实验 Packet Tracer 实验教学 实验仿真
【中图分类号】G64 【文献标识码】A 【文章编号】2095-3089(2015)01-0234-02
虚拟专用网(VPN,Virtual Private Network)是一种在广域网络环境中,通过加密技术、认证技术、隧道技术等手段所实现的专用网络。这种网络是对本地局域网的扩充,使得本地局域网络可以与远程用户或远程网络互相通信,而这种通信就如同发生在本地局域网。在通信时,远程用户或网络的数据需要使用加密技术,通过公共广域网到达本地,再采用解密和认证技术解析数据,其他第三方无法识别通信内容。
虚拟局域网既是一种组网技术,又是一种网络安全技术。它无需重新建立专门的网络,只需要在公共广域网上采用相应技术就可以实现,具有很好的应用价值,在企业、科研和教育单位中使用比较广泛。对于计算机、网络等相关专业的学生,学习并组建VPN网络,是比较重要的,也是教学大纲所要求的。但很多高校实验室的硬件设备无法提供实验环境,而且单一的模拟实验也很难体现虚拟专用网的各种应用场景,无法达到很好的教学效果。本文旨在使用Packet Tracer软件,设计能够模拟虚拟专用网络各种应用场景的实验,并进行仿真。在实验设计过程中采用分层目标的实验设计理念,将不同的应用场景设计为实验模块,学生根据自己的能力自行选择实验内容。
1.虚拟专用网概述
传统的本地局域网与远程局域网互联都是借助造价昂贵的专线或帧中继网络,这种组网方式对于拥有众多远程用户、远程分公司或远程合作伙伴的企业和单位,是一种成本非常高的方案。这就催生了虚拟专用网络技术的出现,在公共的广域网环境中,通过虚拟隧道,传输数据,建立专用网络[1]。使用这种技术,既可以达成本地网络与远程节点的专用通信,又可以降低组建成本。
1.1 应用领域
虚拟专用网可以在广域网上实现局域网连接,提供数据加密、身份认证等安全特性,在目前的网络组建中应用非常广泛。主要的应用场景可以划分为三类:第一,远程用户与本地网络之间的连接。这种连接主要由远程用户发起,通过主机上的客户端软件,登录到本地网络中已配置VPN功能的网关,经验证通过后,即可实现二者的通信。第二,远程网络发起的,与本地网络之间的通信。这种连接主要用于公司总部与各分部之间的通信,借助VPN即可达成将总部的网络与分部网络组成同一个局域网的效果,这也是虚拟专用网在企业组网中最为常见的形式。第三,本地局域网络与远程局域网络的连接,远程网络中的主机可以登录到本地网络,本地网络的主机也可以登录到远程网络。这种连接可以用于企业与合作方之间组建网络。
1.2 实现技术
虚拟专用网的价值主要体现于在广域网中建立专用通信链路,提高数据传输与资源访问的安全等级。在组建过程中涉及到的技术有隧道技术、加密技术、密钥管理和身份认证技术。
隧道技术是虚拟专用网组建的关键技术,它可以在通过对数据的封装,将私有局域网络中的数据透明的在广域网络中传输。根据封装数据具体实现的不同,隧道技术可分为第二层隧道(具体协议有PPTP、L2TP等)、第三层隧道(具体协议有GRE、IPSec等)[2]。IPSec(IP安全协议)可以为任何形式的广域网通信提供安全保障,这是目前虚拟专用组建的最佳选择,也是本次实验所采用的方案。
加密技术是虚拟专用网为了保障数据安全性所依赖的技术,可以确保封装的数据不被第三方识别、篡改。在通信过程中数据的传递主要采用对称加密技术,身份认证和密钥协商主要采用非对称加密技术。
密钥管理可以实现密钥的安全性传递,主要有SKIP和ISAKMP/OAKLEY两种技术。本实验设计方案中采用ISAKMP/OAKLEY技術[3]。
身份验证技术是虚拟专用网中首要解决的问题,确保通信双方的合法身份和访问权限,阻止非法用户尝试访问虚拟专用网络。
2.仿真实验的设计
该实验的仿真软件是Packet Tracer,由思科(Cisco)公司开发,用于设计、模拟、验证、组建计算机网络。
2.1 实验设计原则
教学实验的设计立足于学习者和学习内容,从学习者的差异出发,将学习内容按照复杂度分解,划分为模块,以符合差异化教学方式[4]。学习者根据自身特点,自主选择、主动参与。
实验设计过程中注重教学实验设计的目的性原则、可行性原则、渐进性原则。实验主要针对虚拟专用网络的综合应用,从简单到复杂,将三类应用场景转化为三个实验模块,实验难度依次递进,逐步巩固、深化学习的基本内容和实践技能。
2.2 网络拓扑结构
针对上述虚拟专用网络的三类主要应用场景,本着实验难度分层的原则,虚拟专用网综合实验的网络拓扑结构一共划分为5个部分。分别是A公司总部网络、A公司远程用户、A公司远程分部网络、B公司网络和公共广域网络,实验拓扑结构如图1所示(见文后)。
A公司总部网络为172.16.1.0/24,通过交换机的汇聚,接入A公司网关路由器f0/0端口。A公司网关路由器通过端口f0/1与网络服务运营商路由器ISP的端口f0/1相连(鉴于实验目的是虚拟专用网的应用,路由器之间的连接未使用光纤,都使用交叉双绞线)。ISP路由器的端口f0/0与B公司网关路由器的端口f0/0连接。B公司网关路由器的端口f0/1连接交换机,公司局域网络为10.10.10.0/24。A公司局域网络和B公司局域网络各有两台主机和一台服务器,都与各自的中心交换机相连。
为了能够模拟A公司远程用户和远程分公司的连接,在ISP路由器增加以太网模块,端口e1/0与无线路由器连接,端口e1/1与A公司分部网关路由器的端口f0/0相连。远程用户以无线方式接入广域网络。A公司分部交换机与分部路由器的端口f1/0连接,分部交换机连接有两台主机,局域网络为192.168.1.0/24。
2.3 节点参数设定
该实验所采用的拓扑图中共有4台路由器,1台无线路由器,3台交换机,6台主机,2台服务器,1台笔记本和1台平板电脑,共计18个设备,全网共划分为8个网段。
2.4 IP Sec VPN配置
按照上述节点参数配置,可以实现局域网段内的联通,公有IP地址之间可以联通,但是无法达成私有局域网之间的联通。为使远程用户和分部可以接入A公司网络,需要在A公司网关路由器配置IP SecVPN,具体配置命令如下:(该配置清单是在运行状态下,配置模式中的命令基本一致,配置时注释语句无需键入)
aaa new?鄄model
aaa authentication login admin local
aaa authentication login lg local
aaa authorization network nw local //3A认证
username admin password admin //登录账户和密码均为admin
crypto isakmp policy 10 //IPSec安全参数
hash md5
authentication pre?鄄share
group 2
//配置组名、密码、动态分配的地址池
crypto isakmp client configuration group remote
key key00
pool pool_1
//通过交换集vpn1设置AH和ESP的加密盒认证算法
crypto ipsec transform?鄄set vpn1 esp?鄄3des esp?鄄md5?鄄hmac
crypto dynamic?鄄map dmap 10
set transform?鄄set vpn1
reverse?鄄route
crypto map map1 client authentication list lg //客户端使用3A认证
crypto map map1 isakmp authorization list nw
crypto map map1 client configuration address respond //响应客户端分配地址
crypto map map1 10 ipsec?鄄isakmp dynamic dmap //启用加密图map1
ip local pool pool_1 172.16.2.1 172.16.2.100 //虚拟网卡地池
ip nat inside source list 1 interface FastEthernet0/1 overload //NAT
access?鄄list 1 permit 0.0.0.0 255.255.255.0 //ACL
//接口f0/0配置
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
//接口f0/1配置
interface FastEthernet0/1
ip address 100.1.1.2 255.255.255.0
ip nat outside
duplex auto
speed auto
crypto map map1 //在该接口使用加密图
完成上述配置后,远程用户和分部网络(分部路由器正确配置)都可以接入A公司总部,并且可以访问总部的Web服务器。如果要达成访问B公司Web服务器的目的,需要在B公司的网关配置IP SecVPN,配置命令参考A公司网关路由器的配置,地址、账户、密码等信息可以相应修改。
3.仿真实验的检验
根据选择的实验内容,确定检测实验结果的方案。该实验的目的是练习虚拟局域网的配置,它的前提是各个节点参数的正确设定,所以在检测虚拟局域网之前,确保局域网之内可以互通,公有IP地址之间可以互通。(使用Ping命令测试)
3.1 远程用户接入
打开笔记本终端或平板电脑,切换到Desktop选项卡,选择VPN模拟软件,输入在A公司网关路由器中配置的参数。GroupName远程组名是remote,密码是key00,配置虚拟局域网的路由器接口IP地址是100.1.1.2,用戶名和密码都是admin.
点击Connection按钮连接,获得虚拟网卡地址池中分配的地址,如Client IP:172.16.2.1。(如果出现连接超时,请再次尝试)当成功获得客户端IP地址后,即可与A公司局域网网络互通,可以尝试PingA公司服务器172.16.1.254。打开Web Browser,输入A公司服务器IP地址,可以成功访问。
3.2 分公司接入
在A公司远程分部的任意终端主机上,设定VPN参数,连接A公司总部服务器。A公司的分部可以借助虚拟专用网技术直接连入总部的网络,在访问局域网服务器时,如同本地主机一样。
3.3 A、B公司连接
A公司网络和B公司网络是两个独立的局域网络,如果需要对方能够访问本地的服务器,需要在网关路由器上配置IPSec VPN。如果参数正确设定,从A公司的主机可以直接访问B公司的服务器,从B公司的主机可以直接访问A公司的服务器。
4.结束语
虚拟专用网络能解决很多企业所面临的远程访问问题,而且对访问的数据进行加密,提高了安全等级。学习实践配置虚拟专用网络具有很强的实际应用价值。通过使用Packet Tracer软件,仿真虚拟专用网络的综合应用场景,模拟常用的应用领域,不但可以解决实验资源不足的问题,还能够非常方便的调试配置过程中出现的问题。该教学实验,覆盖教学内容广泛,实验模块独立,由简入深,在实际的教学过程中起到了很好的教学效果,具有较好的推广价值。
参考文献:
[1]张莉.虚拟专用网VPN技术及其企业应用[J]. 中国新通信, 2013(3):59-60.
[2]董辉,于润桥,沈翀.SSL VPN隧道技术研究与应用[J]. 微型机与应用2012(24):54-57.
[3]林涌. VPN背景下的网络安全技术应用研究[J]. 信息与电脑2012(11):43-44.
[4]朱凤山.在项目实践中培养学生的软件开发能力[J].计算机教育2011(12):22-25.
[5]陈红松.网络安全与管理[M].北京:清华大出版社,2010:220-260.
图 1 VPN综合实验拓扑图