基于Dynamips企业网VPN仿真研究.docVIP

基于Dynamips企业网VPN仿真研究 　　摘要：文章利用Dynamips模拟器仿真了内联网VPN和远程接入VPN，对VPN设备的配置进行了阐述，对VPN网络进行了测试。实践证明，该方案具有较大的实用和参考价值。 　　关键词：Dynamips 模拟器 企业网 VPN 仿真 　　中图分类号：TP3 文献标识码：A 文章编号：1007-9416(2012)02-0122-01 　　 　　1、Dynamips简介 　　Dynamips模拟了多种型号的Cisco路由器，用户可以在模拟器中直接加载并运行真正的IOS镜像，这使得Dynamips确保在绝大多数情况下得到的结果与真实设备的结果相同[1]。Dynamips还提供与了与物理网卡和虚拟网卡进行接口桥接的参数，从而实现与真实网络和运行Vmware等软件构建的虚拟网络进行连接，极大地扩展了的Dynamips的应用范围。 　　2、VPN组网仿真测试 　　在构建VPN实验环境中，可以通过使用VMware虚拟机技术在单机环境下来构建VPN[2]，采用路由器加虚拟机的技术来共同构建VPN实验平台更贴近实际应用。 　　2.1 仿真拓扑 　　图1中使用路由器R1和R2模拟公司总部和办事处的两个VPN网关,移动用户模拟公司出差的办公人员,通过Internet公网进行安全可靠的通信。 　　2.2 资源规划 　　公司总部向ISP申请的公网IP：Serial0/0 202.103.96.1/30 　　办公业务IP：Serial0/1 10.10.1.0/24 　　办事处向ISP申请的公网IP：Serial0/0 202.103.96.5/30 　　办公业务IP：Serial0/1 10.10.2.0/24 　　出差用户远程接入VPN的IP地址池：10.10.3.0/24 　　总部到办事处使用IPSEC VPN进行两地站点互联，出差用户访问总部使用L2TP VPN。 　　2.3 配置方案 　　下面只列出了路由器R1上的配置，对于远程接入PC机可以采用VMware模拟。 　　2.3.1 总部VPN网关R1配置 　　总公司到办事处的IPSEC VPN配置如下： 　　启动IKE（即ISAKMP） 　　R1(config)# crypto isakmp enable 　　配置第一阶段策略（IKE传输集） 　　R1(config)# crypto isakmp policy 10 　　R1(config-isakmp)# encryption 3des 　　R1(config-isakmp)# hash md5 　　R1(config-isakmp)#authentication pre-share 　　R1(config-isakmp)# group 2 　　R1(config-isakmp)# lifetime 86400 　　配置发送给对端的IKE 标识 　　R1(config)# crypto isakmp identity address 　　配置pre-share 共享密钥和对端局域网的边界IP地址 　　R1(config)# crypto isakmp key 0 cisco address 202.103.96.5 　　配置第二阶段策略（IPSec传输集） 　　R1(config)#crypto ipsec transform-set to-R2 esp-3des esp-md5-hmac 　　R1(cfg-crypto-trans)# mode tunnel 　　配置要进行IPSEC加密的感兴趣流量 　　access-list 100 permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255 　　配置加密图（crypto map）： 　　R1(config)# crypto map to-R2 10 ipsec-isakmp 　　R1(config-crypto-map)# set peer 202.103.96.5 　　R1(config-crypto-map)# set transform-set to-R2 　　R1(config-crypto-map)# match address 100 　　将加密图（crypto map）应用到接口（应用到感兴趣流量需要做IPSec VPN 的出接口） 　　R1(config)# interface Serial 0/0 　　R1(config-if)# crypto map to-R2 　　2.3.2 出差用户到总公司的L2TP VPN的配置 　　R1(config)#vpdn 　　R1(config)#vp