基于Packet tracer的IPSEC VPN实验仿真

摘要：在网络应用情境下，经常面临企业总部与分支机构或者与合作伙伴之间的安全互连问题，一种通常的解决办法是利用IP安全（IP Security）技术建立逻辑隧道，从而跨越不安全的互联网建立虚拟专用网（VPN）。本文主要论述了IPSEC VPN的技术原理，并利用思科的Packet tracer软件进行点到点的实验仿真研究。

关键词：Packet tracer IPSEC VPN 虚拟专用网

中图分类号：TP393.1 文献标识码：A 文章编号：1007-9416（2015）05-0000-00

随着企业业务的发展，总部与分支机构或者与合作伙伴之间的的安全互连成为关系企业信息安全的重要问题。传统的解决方式一般采用租用专用线路来解决，保证业务数据在专用网中安全传输，但是这种方式通常费用高，扩展性差满足不了企业不断发展的需求。目前比较流行的解决方式是以Internet为基础，利用IPSEC对数据流加密，从而确保业务数据安全传输，在应用上达到实际专用网的效果，同时具有资费低，接入灵活，扩展性好的特点[1]。

1 主要技术原理

在实施VPN时，为了实现专用网的效果要解决两个问题，一是要建立隧道，二是要实现数据加密，两者缺一不可，这里主要探讨解决这两个问题的常用技术。

1.1 IPSEC 的封装模式

（1）传输模式（Transport mode）；在传输模式下，IPsec并不提供隧道支持，只提供数据加密。 在传输模式下，IPSec头入到原IP头之后但在所有传输层协议之前，或所有其他IPSec协议之前。当Internet互连的两个分支机构欲通过私网地址相互访问时，由于最外层是源IP头，目的IP无法路由，导致无法访问。（2）隧道模式（Tunnel mode）；在隧道模式下，IPSEC本身供隧道支持，同时提供数据加密功能，实现实现VPN的重要手段 。在隧道模式下，当包到达目的端路由器时，剥离最外层公网IP，然后再根据私网IP转发到真正地址。由于隧道模式下将真正的源IP和目的IP都被加密了，因此更加安全[2]。

1.2 主要加密技术

为IPSEC服务的协议主要有三个，分别是IKE（Internet Key Exchange）、ESP（Encapsulating Security Protocol）、AH（Authentication Header）。其中IKE协议主要负责密钥安全，包括密钥的交换、传输及存储。ESP和AH主要负责数据加密。

2 实验仿真

2.1 实验拓扑

假设某公司在北京设立总部，上海是其分公司，由于业务需求，总部和分公司之间需要建立安全连接来交换敏感数据，由于经费有限，北京总部和上海分公司各自申请了一个公网IP，内网使用私有地址，实验拓扑如图1 所示。

在图1中，R1模拟北京总部路由器，R3模拟上海分公司路由器，R2模拟公网路由器。

2.2 实验配置

在完成端口IP基础配置后，下面是在R1上配置IKE策略

R1（config）#crypto isakmp policy 1

R1（config-isakmp）#encryption 3des

R1（config-isakmp）#hash sha

R1（config-isakmp）#authentication pre-share

R1（config-isakmp）#group 2

R1（config）# crypto isakmp key cisco address 110.10.1.3

R1（config）#crypto ipsec transform-set ptp esp-3des esp-sha-hmac

R1（config）#access-list 100 permit ip 192.168.1.0 0.0.0.255 172.168.1.0 0.0.0.255

R1（config）#crypto map 121 10 ipsec-isakmp

R1（config-crypto-map）#set peer 110.10.1.3

R1（config-crypto-map）#set transform-set ptp

R1（config-crypto-map）#match address 100

上述配置中，在R1上配置crypto map为l2l，序号为10，即第10组策略，其中指定加密数据发往的对端为110.10.1.3，即和110.10.1.3建立IPsec隧道，调用的IPsec transform为ptp，并且指定ACL 100中的流量为被保护的流量。

R1（config）#int s0/3/0

R1（config-if）#crypto map 121

上述配置中，将crypto map应用在去往北京总部的接口s0/3/0上。

至此，R1上配置全部完成，R3的配置和R1配置基本类似。

2.3 实验测试

在R1使用ping 命令，模拟北京总部的路由器向上海分公司的路由器发送流量，如图2所示。从图中可以看出，从R1向R3发送的11据包中，有9个成功穿越internet ，说明双方建立了IPSEC隧道，实现了VPN的功能。

上述实验结果表明，总部的PC0可以直接和分部的PC1，可以直接使用私网地址通信，并且对数据进行了安全加密。

3 结语

本文采用思科的packet tracer软件提出了VPN的实验方案，实验实现了私有网络在不使用网络地址转换的情况下通过IPSEC VPN实现点到点安全通信，并且验证了方案的可行性，该方案具有很高的扩展性，可满足不同的设计需求。

参考文献

[1] 周振斌，唐剑琪，邓辉，常鹏.基于负载均衡的高吞吐量IPsec VPN系统[J].计算机工程与应用，2012（36）：85-89.

[2] Plamen Nedehchev.远程接入网络疑难解析[M].北京：人民邮电出版社，2009：431-502.