王獻(xiàn)宏，魏雁天

摘要：VPN成為總公司和分公司安全通信的首要選擇，為提高傳輸?shù)目煽啃裕偣静捎秒p出口連接互聯(lián)網(wǎng)，一條鏈路作為主鏈路提供VPN的通信，另一條鏈路作為備份，主鏈路出故障時(shí)，自動(dòng)切換到備份鏈路，用eNSP仿真環(huán)境模擬雙鏈路備份，主備鏈路能夠切換，實(shí)現(xiàn)可靠通信，為真實(shí)網(wǎng)絡(luò)環(huán)境配置提供可靠的參考。

關(guān)鍵詞：VPN;eNSP;鏈路備份

中圖分類(lèi)號(hào)：TP311? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）21-0051-02

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

互聯(lián)網(wǎng)的IP數(shù)據(jù)傳輸多采用明文傳輸，對(duì)于總公司和分公司的通信造成安全威脅，使用專(zhuān)線(xiàn)可以保證數(shù)據(jù)的安全，但專(zhuān)線(xiàn)的高昂使用成本一般企業(yè)難以承受，采用IPSec、VPN技術(shù)可以解決企業(yè)的困境，隨著公司的壯大和業(yè)務(wù)的發(fā)展，總公司網(wǎng)絡(luò)的出口帶寬的壓力逐漸增大，網(wǎng)絡(luò)一旦出現(xiàn)故障，分公司和總公司的業(yè)務(wù)流將出現(xiàn)中斷，給公司造成損失，為避免此情況出現(xiàn)，總公司需要在出口增加一條鏈路，既可以提高帶寬，又可以保證鏈路的可靠性。

1 IPSec技術(shù)

IPSec提供的服務(wù)是數(shù)據(jù)的保密性、完整性，防重放攻擊的保護(hù)，這些服務(wù)建立在對(duì)稱(chēng)密鑰密碼學(xué)之上。

1.1 加密和驗(yàn)證

增加兩個(gè)IP擴(kuò)展頭部，AH（驗(yàn)證頭）和ESP（封裝安全載荷），AH檢查完整性，不支持加密，ESP處理保密性，也可以檢查完整性，使用的加密算法DES、3DES、AES對(duì)數(shù)據(jù)的來(lái)源進(jìn)行驗(yàn)證的驗(yàn)證算法有SHA和 MD5。

1.2 安全封裝

隧道模式，原始IP報(bào)文生成一個(gè)新的報(bào)文首部，ESP或AH插到新的報(bào)文首部和IP頭部之間，新的報(bào)文首部地址是公網(wǎng)IP地址，隱藏內(nèi)部的IP地址信息，當(dāng)前常用的隧道模式。

傳輸模式，原始IP首部和傳輸層之間插入ESP或AH，只能保護(hù)發(fā)出的信息，不能保護(hù)網(wǎng)絡(luò)的消息，僅適用于二臺(tái)主機(jī)之間通信。

1.3 安全聯(lián)盟

IPSec雙方通信建立的連接稱(chēng)為安全聯(lián)盟SA，使用相同的加密算法、加密密鑰，驗(yàn)證密鑰、驗(yàn)證算法、封裝模式，通信雙方建立雙向的SA[1]。

2仿真實(shí)驗(yàn)

2.1 仿真平臺(tái)

仿真平臺(tái)采用華為eNSP，總公司和分公司采用防火墻USG5500連接互聯(lián)網(wǎng)。

2.2 實(shí)驗(yàn)拓?fù)?/p>

2.3 主要配置

總公司防火墻主要配置如下：

配置ip-link，監(jiān)控主鏈路的狀態(tài)是否正常

[master]ip-link check enable? ? ?//使能ip-link

[Master]ip-link 1 destination 3.3.3.1 interface g0/0/1 mode icmp next-hop 1.1.1.2 //監(jiān)控主鏈路

路由配置

[Master]ip route-static 192.168.1.0 24 1.1.1.2 preference 20 track ip-link 1? //配置到分公司的路由，G0/0/1為主鏈路

[Master]ip route-static 192.168.1.0 24 2.2.2.2 preference 30? ? ? //配置到分公司的路由，G0/0/2為備用鏈路

[Master]ip route-static 0.0.0.0 0 1.1.1.2 preference 20 track ip-link 1? ?//配置默認(rèn)路由，G0/0/1為主鏈路

[Master]ip route-static 0.0.0.0 0 2.2.2.2 preference 30 //配置默認(rèn)路由，G0/0/2為備用鏈路

配置保護(hù)的流量

定義二個(gè)ACL，配置規(guī)則相同

[Master]acl 3100

[Master-acl-adv-3100]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

[Master-acl-adv-3100]acl 3200

[Master-acl-adv-3200]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

配置IPSec安全提議

[Master]ipsec proposal pro1

[Master-ipsec-proposal-pro1]encapsulation-mode tunnel

[Master-ipsec-proposal-pro1]transform esp

[Master-ipsec-proposal-pro1]esp authentication-algorithm sha1

[Master-ipsec-proposal-pro1]esp encryption-algorithm aes

配置IKE安全提議

[Master]ike proposal 20

[Master-ike-proposal-20]authentication-method pre-share