基于Packet tracer的IPSEC VPN实验仿真.docVIP

基于Packet tracer的IPSEC VPN实验仿真 摘要：在网络应用情境下，经常面临企业总部与分支机构或者与合作伙伴之间的安全互连问题，一种通常的解决办法是利用IP安全（IP Security）技术建立逻辑隧道，从而跨越不安全的互联网建立虚拟专用网（VPN）。本文主要论述了IPSEC VPN的技术原理，并利用思科的Packet tracer软件进行点到点的实验仿真研究。 关键词：Packet tracer IPSEC VPN 虚拟专用网 中图分类号：TP393.1 文献标识码：A 文章编号：1007-9416（2015）05-0000-00 随着企业业务的发展，总部与分支机构或者与合作伙伴之间的的安全互连成为关系企业信息安全的重要问题。传统的解决方式一般采用租用专用线路来解决，保证业务数据在专用网中安全传输，但是这种方式通常费用高，扩展性差满足不了企业不断发展的需求。目前比较流行的解决方式是以Internet为基础，利用IPSEC对数据流加密，从而确保业务数据安全传输，在应用上达到实际专用网的效果，同时具有资费低，接入灵活，扩展性好的特点[1]。 1 主要技术原理 在实施VPN时，为了实现专用网的效果要解决两个问题，一是要建立隧道，二是要实现数据加密，两者缺一不可，这里主要探讨解决这两个问题的常用技术。 1.1 IPSEC 的封装模式 （1）传输模式（Transport mode）；在传输模式下，IPsec并不提供隧道支持，只提供数据加密。 在传输模式下，IPSec头被插入到原IP头之后但在所有传输层协议之前，或所有其他IPSec协议之前。当Internet互连的两个分支机构欲通过私网地址相互访问时，由于最外层是源IP头，目的IP无法路由，导致无法访问。（2）隧道模式（Tunnel mode）；在隧道模式下，IPSEC本身供隧道支持，同时提供数据加密功能，实现实现VPN的重要手段 。在隧道模式下，当包到达目的端路由器时，剥离最外层公网IP，然后再根据私网IP转发到真正地址。由于隧道模式下将真正的源IP和目的IP都被加密了，因此更加安全[2]。 1.2 主要加密技术 为IPSEC服务的协议主要有三个，分别是IKE（Internet Key Exchange）、ESP（Encapsulating Security Protocol）、AH（Authentication Header）。其中IKE协议主要负责密钥安全，包括密钥的交换、传输及存储。ESP和AH主要负责数据加密。 2 实验仿真 2.1 实验拓扑 假设某公司在北京设立总部，上海是其分公司，由于业务需求，总部和分公司之间需要建立安全连接来交换敏感数据，由于经费有限，北京总部和上海分公司各自申请了一个公网IP，内网使用私有地址，实验拓扑如图1 所示。 在图1中，R1模拟北京总部路由器，R3模拟上海分公司路由器，R2模拟公网路由器。 2.2 实验配置 在完成端口IP基础配置后，下面是在R1上配置IKE策略 R1（config）#crypto isakmp policy 1 R1（config-isakmp）#encryption 3des R1（config-isakmp）#hash sha R1（config-isakmp）#authentication pre-share R1（config-isakmp）#group 2 R1（config）# crypto isakmp key cisco address 110.10.1.3 R1（config）#crypto ipsec transform-set ptp esp-3des esp-sha-hmac R1（config）#access-list 100 permit ip 192.168.1.0 0.0.0.255 172.168.1.0 0.0.0.255 R1（config）#crypto map 121 10 ipsec-isakmp R1（config-crypto-map）#set peer 110.10.1.3 R1（config-crypto-map）#set transform-set ptp R1（config-crypto-map）#match address 100 上述配置中，在R1上配置crypto map为l2l，序号为10，即第10组策略，其中指定加密数据发往的对端为110.10.1.3，即和110.10.1.3建立IPsec隧道，调用的IPsec transform为ptp，并且指定ACL 100中的流量为被保护的流量。 R1（config）#int s0/3/0 R1（config-if）#crypto map 121 上述配置中，将crypto map应用在去往北京总部的接