您好, 访客   登录/注册

基于Dynamips的企业网VPN仿真研究

来源:用户上传      作者: 蔡加财 许又泉 赵英伟

  摘要:文章利用Dynamips模拟器仿真了内联网VPN和远程接入VPN,对VPN设备的配置进行了阐述,对VPN网络进行了测试。实践证明,该方案具有较大的实用和参考价值。
  关键词:Dynamips 模拟器 企业网 VPN 仿真
  中图分类号:TP3 文献标识码:A 文章编号:1007-9416(2012)02-0122-01
  
  1、Dynamips简介
  Dynamips模拟了多种型号的Cisco路由器,用户可以在模拟器中直接加载并运行真正的IOS镜像,这使得Dynamips确保在绝大多数情况下得到的结果与真实设备的结果相同[1]。Dynamips还提供与了与物理网卡和虚拟网卡进行接口桥接的参数,从而实现与真实网络和运行Vmware等软件构建的虚拟网络进行连接,极大地扩展了的Dynamips的应用范围。
  2、VPN组网仿真测试
  在构建VPN实验环境中,可以通过使用VMware虚拟机技术在单机环境下来构建VPN[2],采用路由器加虚拟机的技术来共同构建VPN实验平台更贴近实际应用。
  2.1 仿真拓扑
  图1中使用路由器R1和R2模拟公司总部和办事处的两个VPN网关,移动用户模拟公司出差的办公人员,通过Internet公网进行安全可靠的通信。
  2.2 资源规划
  公司总部向ISP申请的公网IP:Serial0/0 202.103.96.1/30
  办公业务IP:Serial0/1 10.10.1.0/24
  办事处向ISP申请的公网IP:Serial0/0 202.103.96.5/30
  办公业务IP:Serial0/1 10.10.2.0/24
  出差用户远程接入VPN的IP地址池:10.10.3.0/24
  总部到办事处使用IPSEC VPN进行两地站点互联,出差用户访问总部使用L2TP VPN。
  2.3 配置方案
  下面只列出了路由器R1上的配置,对于远程接入PC机可以采用VMware模拟。
  2.3.1 总部VPN网关R1配置
  总公司到办事处的IPSEC VPN配置如下:
  启动IKE(即ISAKMP)
  R1(config)# crypto isakmp enable
  配置第一阶段策略(IKE传输集)
  R1(config)# crypto isakmp policy 10
  R1(config-isakmp)# encryption 3des
  R1(config-isakmp)# hash md5
  R1(config-isakmp)#authentication pre-share
  R1(config-isakmp)# group 2
  R1(config-isakmp)# lifetime 86400
  配置发送给对端的IKE 标识
  R1(config)# crypto isakmp identity address
  配置pre-share 共享密钥和对端局域网的边界IP地址
  R1(config)# crypto isakmp key 0 cisco address 202.103.96.5
  配置第二阶段策略(IPSec传输集)
  R1(config)#crypto ipsec transform-set to-R2 esp-3des esp-md5-hmac
  R1(cfg-crypto-trans)# mode tunnel
  配置要进行IPSEC加密的感兴趣流量
  access-list 100 permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
  配置加密图(crypto map):
  R1(config)# crypto map to-R2 10 ipsec-isakmp
  R1(config-crypto-map)# set peer 202.103.96.5
  R1(config-crypto-map)# set transform-set to-R2
  R1(config-crypto-map)# match address 100
  将加密图(crypto map)应用到接口(应用到感兴趣流量需要做IPSec VPN 的出接口)
  R1(config)# interface Serial 0/0
  R1(config-if)# crypto map to-R2
  2.3.2 出差用户到总公司的L2TP VPN的配置
  R1(config)#vpdn
  R1(config)#vpdn-group move
  R1(config-vpdn)#accept-dialin
  R1(config-vpdn-acc-in)#protocol l2tp
  R1(config-vpdn-acc-in)#virtual-template 1
  R1(config-vpdn)#no l2tp tunnel authentication //不使用L2TP隧道认证
  R1(config)#username move password move
  R1(config)#ip local pool l2tp-pool 10.10.3.2 10.10.3.254
  R1(config)#interface virtual-template 1
  R1(config-if)#encapsulation ppp
  R1(config-if)#ip address 10.10.3.1 255.255.255.0
  R1(config-if)#peer default ip address pool l2tp-pool
  R1(config-if)#ppp authentication chap
  2.3.3 办事处到总公司IPSEC VPN配置(与总公司配置类似,在此省略)
  2.3.4 出差用户到总部L2TP VPN 的客户端主机配置
  出差用户先通过PPPOE连入Internet,而后再通过L2TP连入公司网络。由于Windows2000/xp系统缺省情况下启动了IPSec功能,因此在发起VPN请求时应禁止IPSec功能。
  3、结语
  从实验中可以看出,Dynamips模拟器加VMware虚拟机技术不仅可以模拟VPN环境,当然还可以构建其它各种复杂的网络实验环境,对网络的学习和实践有很大的帮助。
  参考文献
  [1]王丽娜,何军,侯健敏.基于DynamipsGUI的两类路由协议仿真通信实验[J].实验室研究与探索,2010(6):72-75.
  [2]陈建锐.基于虚拟机的VPN 实验环境构建[J].实验室研究与探索,2010(1):59-61.


转载注明来源:https://www.xzbu.com/8/view-1701585.htm