基于Dynamips的企业网VPN仿真研究

来源:用户上传      作者: 蔡加财 许又泉 赵英伟

　　摘要：文章利用Dynamips模拟器仿真了内联网VPN和远程接入VPN，对VPN设备的配置进行了阐述，对VPN网络进行了测试。实践证明，该方案具有较大的实用和参考价值。
　　关键词：Dynamips 模拟器 企业网 VPN 仿真
　　中图分类号：TP3 文献标识码：A 文章编号：1007-9416(2012)02-0122-01
　　
　　1、Dynamips简介
　　Dynamips模拟了多种型号的Cisco路由器，用户可以在模拟器中直接加载并运行真正的IOS镜像，这使得Dynamips确保在绝大多数情况下得到的结果与真实设备的结果相同[1]。Dynamips还提供与了与物理网卡和虚拟网卡进行接口桥接的参数，从而实现与真实网络和运行Vmware等软件构建的虚拟网络进行连接，极大地扩展了的Dynamips的应用范围。
　　2、VPN组网仿真测试
　　在构建VPN实验环境中，可以通过使用VMware虚拟机技术在单机环境下来构建VPN[2]，采用路由器加虚拟机的技术来共同构建VPN实验平台更贴近实际应用。
　　2.1 仿真拓扑
　　图1中使用路由器R1和R2模拟公司总部和办事处的两个VPN网关,移动用户模拟公司出差的办公人员,通过Internet公网进行安全可靠的通信。
　　2.2 资源规划
　　公司总部向ISP申请的公网IP：Serial0/0 202.103.96.1/30
　　办公业务IP：Serial0/1 10.10.1.0/24
　　办事处向ISP申请的公网IP：Serial0/0 202.103.96.5/30
　　办公业务IP：Serial0/1 10.10.2.0/24
　　出差用户远程接入VPN的IP地址池：10.10.3.0/24
　　总部到办事处使用IPSEC VPN进行两地站点互联，出差用户访问总部使用L2TP VPN。
　　2.3 配置方案
　　下面只列出了路由器R1上的配置，对于远程接入PC机可以采用VMware模拟。
　　2.3.1 总部VPN网关R1配置
　　总公司到办事处的IPSEC VPN配置如下：
　　启动IKE（即ISAKMP）
　　R1(config)# crypto isakmp enable
　　配置第一阶段策略（IKE传输集）
　　R1(config)# crypto isakmp policy 10
　　R1(config-isakmp)# encryption 3des
　　R1(config-isakmp)# hash md5
　　R1(config-isakmp)#authentication pre-share
　　R1(config-isakmp)# group 2
　　R1(config-isakmp)# lifetime 86400
　　配置发送给对端的IKE 标识
　　R1(config)# crypto isakmp identity address
　　配置pre-share 共享密钥和对端局域网的边界IP地址
　　R1(config)# crypto isakmp key 0 cisco address 202.103.96.5
　　配置第二阶段策略（IPSec传输集）
　　R1(config)#crypto ipsec transform-set to-R2 esp-3des esp-md5-hmac
　　R1(cfg-crypto-trans)# mode tunnel
　　配置要进行IPSEC加密的感兴趣流量
　　access-list 100 permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
　　配置加密图（crypto map）：
　　R1(config)# crypto map to-R2 10 ipsec-isakmp
　　R1(config-crypto-map)# set peer 202.103.96.5
　　R1(config-crypto-map)# set transform-set to-R2
　　R1(config-crypto-map)# match address 100
　　将加密图（crypto map）应用到接口（应用到感兴趣流量需要做IPSec VPN 的出接口）
　　R1(config)# interface Serial 0/0
　　R1(config-if)# crypto map to-R2
　　2.3.2 出差用户到总公司的L2TP VPN的配置
　　R1(config)#vpdn
　　R1(config)#vpdn-group move
　　R1(config-vpdn)#accept-dialin
　　R1(config-vpdn-acc-in)#protocol l2tp
　　R1(config-vpdn-acc-in)#virtual-template 1
　　R1(config-vpdn)#no l2tp tunnel authentication //不使用L2TP隧道认证
　　R1(config)#username move password move
　　R1(config)#ip local pool l2tp-pool 10.10.3.2 10.10.3.254
　　R1(config)#interface virtual-template 1
　　R1(config-if)#encapsulation ppp
　　R1(config-if)#ip address 10.10.3.1 255.255.255.0
　　R1(config-if)#peer default ip address pool l2tp-pool
　　R1(config-if)#ppp authentication chap
　　2.3.3 办事处到总公司IPSEC VPN配置（与总公司配置类似，在此省略）
　　2.3.4 出差用户到总部L2TP VPN 的客户端主机配置
　　出差用户先通过PPPOE连入Internet，而后再通过L2TP连入公司网络。由于Windows2000/xp系统缺省情况下启动了IPSec功能，因此在发起VPN请求时应禁止IPSec功能。
　　3、结语
　　从实验中可以看出，Dynamips模拟器加VMware虚拟机技术不仅可以模拟VPN环境，当然还可以构建其它各种复杂的网络实验环境，对网络的学习和实践有很大的帮助。
　　参考文献
　　[1]王丽娜,何军,侯健敏.基于DynamipsGUI的两类路由协议仿真通信实验[J].实验室研究与探索,2010(6):72-75.
　　[2]陈建锐.基于虚拟机的VPN 实验环境构建[J].实验室研究与探索,2010(1):59-61.

转载注明来源:https://www.xzbu.com/8/view-1701585.htm