馮思泉

摘 要：為解決IPSec VPN教學(xué)過程中所存在的實(shí)驗(yàn)環(huán)境難以搭建的問題，本文介紹了IPSec VPN的基本工作原理，重點(diǎn)探討了基于eNSP仿真軟件模擬IPsec VPN的實(shí)驗(yàn)教學(xué)設(shè)計(jì)方法。

關(guān)鍵詞：IPSec VPN；eNSP；實(shí)驗(yàn)設(shè)計(jì)

1 引言

虛擬專用網(wǎng)（VPN）是指通過共享的公共網(wǎng)絡(luò)建立私有的數(shù)據(jù)傳輸通道，將各個(gè)需要接入虛擬網(wǎng)的終端通過通道連接起來，形成一個(gè)專用的、具有一定安全性和服務(wù)質(zhì)量保證的網(wǎng)絡(luò)[1-2]。VPN實(shí)現(xiàn)方式可以根據(jù)隧道建立所在的層次分為第二層VPN（l2VPN）、第三層VPN（L3VPN）和應(yīng)用層VPN。而L3 VPN有根據(jù)所使用的協(xié)議不同，分為GRE VPN和IPSec VPN。IPSec協(xié)議是一個(gè)保護(hù)IP通信的協(xié)議族，提供了加密、完整性和身份驗(yàn)證功能[2]。

2 IPsec VPN基本原理

IP安全（IP Security，即IPSec）是基于OSI參考模型中的網(wǎng)絡(luò)層IP協(xié)議所提出的安全協(xié)議，是一種可以使用在廣域網(wǎng)或者局域網(wǎng)中實(shí)現(xiàn)保護(hù)IP網(wǎng)絡(luò)通信安全的解決方案。IPSec VPN體系主要由AH、ESP和IKE協(xié)議組成。AH協(xié)議主要提供數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性校驗(yàn)和發(fā)報(bào)文重放功能。ESP協(xié)議提供數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性校驗(yàn)、發(fā)報(bào)文重放和數(shù)據(jù)加密功能。IKE協(xié)議用于自動(dòng)協(xié)商AH和ESP所使用的密碼算法[3]。

IKE協(xié)議用于自動(dòng)協(xié)商AH和ESP所使用的密碼算法，協(xié)商過程分為兩個(gè)階段：

第一階段，通信雙方彼此建立一個(gè)通過身份驗(yàn)證和安全保護(hù)的通道，此階段建立一個(gè)ISAKAMP安全聯(lián)盟，即IKE SA；第二階段，在已經(jīng)建立的安全聯(lián)盟（IKE SA）基礎(chǔ)上為IPSec協(xié)商具體的安全聯(lián)盟，即IPSec SA。而IPSec SA用于最終的IP數(shù)據(jù)安全傳送[4]。

3 實(shí)驗(yàn)教學(xué)設(shè)計(jì)

⑴實(shí)驗(yàn)拓?fù)淙鐖D1所示，該拓?fù)浣Y(jié)構(gòu)圖用于模擬企業(yè)總部與分支結(jié)構(gòu)之間通過公網(wǎng)互聯(lián)；

⑵網(wǎng)絡(luò)基本參數(shù)規(guī)劃：在以上拓?fù)鋱D中，USG_A代表分支機(jī)構(gòu)的出口防火墻，Client1代表分支機(jī)構(gòu)內(nèi)的某臺(tái)主機(jī)，USG_B代表總部的出口防火墻，Client2代表總部網(wǎng)絡(luò)的某臺(tái)主機(jī)，現(xiàn)在采用IPSec VPN實(shí)現(xiàn)分支機(jī)構(gòu)與總部網(wǎng)絡(luò)之間的安全通信。規(guī)劃主機(jī)和防火墻各端口的IP地址。

⑶主要配置指令：完成網(wǎng)絡(luò)規(guī)劃之后，就可以分別在防火墻USG_A和USG_B上配置IPSec VPN，由于USG_A和USG_B指令相似度很高，因此我們在這里僅寫出USG_A的部分主要配置指令。主要指令配置如下：

//配置IKE安全提議

[USG_A]ike proposal 10

[USG_A-ike-proposal-10]authentication-method pre-share

[USG_A-ike-proposal-10]authentication-algorithm sha1

[USG_A-ike-proposal-10]integrity-algorithm hmac-sha1-96

//配置IKE對等體

[USG_A]ike peer b

[USG_A-ike-peer-b]ike-proposal 10

[USG_A-ike-peer-b]remote-address 1.1.1.2

[USG_A-ike-peer-b]pre-shared-key abcde

//配置IPSec安全提議

[USG_A]ipsec proposal tran1

[USG_A-ipsec-proposal-tran1]encapsulation-mode tunnel

[USG_A-ipsec-proposal-tran1]transform esp

[USG_A-ipsec-proposal-tran1]esp authentication-algorithm md5

[USG_A-ipsec-proposal-tran1]esp encryption-algorithm des

//配置安全策略

[USG_A]ipsec policy map1 10 isakmp

[USG_A-ipsec-policy-isakmp-map1-10]security acl 3000

[USG_A-ipsec-policy-isakmp-map1-10]proposal tran1

[USG_A-ipsec-policy-isakmp-map1-10]ike-peer b

[USG_A-ipsec-policy-isakmp-map1-10]quit

//在接口上應(yīng)用安全策略

[USG_A]interface GigabitEthernet 0/0/1

[USG_A-GigabitEthernet0/0/1]ipsec policy map1

4 實(shí)驗(yàn)驗(yàn)證及分析

主機(jī)Client1或Client2發(fā)出到對方的報(bào)文，觸發(fā)興趣數(shù)據(jù)流，導(dǎo)致防火墻USG_A或USG_B發(fā)起建立IPSec VPN隧道。結(jié)果短暫的延遲后，隧道成功建立。分支機(jī)構(gòu)和總部網(wǎng)絡(luò)內(nèi)的主機(jī)可以通過隧道相互進(jìn)行安全通信。

[參考文獻(xiàn)]

[1]彭春燕，王得芳.基于IPSec+VPN實(shí)驗(yàn)教學(xué)設(shè)計(jì)與仿真[J].電子設(shè)計(jì)工程，2013，6（21）：12-14.

[2]王麗娜，劉炎，等.基于IPSec和GRE的VPN實(shí)驗(yàn)仿真[J].實(shí)驗(yàn)室研究與探索，2013，9：70-75.

[3]仲光平，劉金明.基于Packet+Tracer的IPSec+VPN實(shí)驗(yàn)教學(xué)設(shè)計(jì)[J].實(shí)驗(yàn)科學(xué)與技術(shù)，2012，3（10）：51-54.

[4]華為技術(shù)有限公司.HCDA華為認(rèn)證工程師培訓(xùn)[M].2013：425-477.