基于Dynamips的企业网VPN仿真研究
来源:用户上传
作者: 蔡加财 许又泉 赵英伟
摘要:文章利用Dynamips模拟器仿真了内联网VPN和远程接入VPN,对VPN设备的配置进行了阐述,对VPN网络进行了测试。实践证明,该方案具有较大的实用和参考价值。
关键词:Dynamips 模拟器 企业网 VPN 仿真
中图分类号:TP3 文献标识码:A 文章编号:1007-9416(2012)02-0122-01
1、Dynamips简介
Dynamips模拟了多种型号的Cisco路由器,用户可以在模拟器中直接加载并运行真正的IOS镜像,这使得Dynamips确保在绝大多数情况下得到的结果与真实设备的结果相同[1]。Dynamips还提供与了与物理网卡和虚拟网卡进行接口桥接的参数,从而实现与真实网络和运行Vmware等软件构建的虚拟网络进行连接,极大地扩展了的Dynamips的应用范围。
2、VPN组网仿真测试
在构建VPN实验环境中,可以通过使用VMware虚拟机技术在单机环境下来构建VPN[2],采用路由器加虚拟机的技术来共同构建VPN实验平台更贴近实际应用。
2.1 仿真拓扑
图1中使用路由器R1和R2模拟公司总部和办事处的两个VPN网关,移动用户模拟公司出差的办公人员,通过Internet公网进行安全可靠的通信。
2.2 资源规划
公司总部向ISP申请的公网IP:Serial0/0 202.103.96.1/30
办公业务IP:Serial0/1 10.10.1.0/24
办事处向ISP申请的公网IP:Serial0/0 202.103.96.5/30
办公业务IP:Serial0/1 10.10.2.0/24
出差用户远程接入VPN的IP地址池:10.10.3.0/24
总部到办事处使用IPSEC VPN进行两地站点互联,出差用户访问总部使用L2TP VPN。
2.3 配置方案
下面只列出了路由器R1上的配置,对于远程接入PC机可以采用VMware模拟。
2.3.1 总部VPN网关R1配置
总公司到办事处的IPSEC VPN配置如下:
启动IKE(即ISAKMP)
R1(config)# crypto isakmp enable
配置第一阶段策略(IKE传输集)
R1(config)# crypto isakmp policy 10
R1(config-isakmp)# encryption 3des
R1(config-isakmp)# hash md5
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# lifetime 86400
配置发送给对端的IKE 标识
R1(config)# crypto isakmp identity address
配置pre-share 共享密钥和对端局域网的边界IP地址
R1(config)# crypto isakmp key 0 cisco address 202.103.96.5
配置第二阶段策略(IPSec传输集)
R1(config)#crypto ipsec transform-set to-R2 esp-3des esp-md5-hmac
R1(cfg-crypto-trans)# mode tunnel
配置要进行IPSEC加密的感兴趣流量
access-list 100 permit ip 10.10.1.0 0.0.0.255 10.10.2.0 0.0.0.255
配置加密图(crypto map):
R1(config)# crypto map to-R2 10 ipsec-isakmp
R1(config-crypto-map)# set peer 202.103.96.5
R1(config-crypto-map)# set transform-set to-R2
R1(config-crypto-map)# match address 100
将加密图(crypto map)应用到接口(应用到感兴趣流量需要做IPSec VPN 的出接口)
R1(config)# interface Serial 0/0
R1(config-if)# crypto map to-R2
2.3.2 出差用户到总公司的L2TP VPN的配置
R1(config)#vpdn
R1(config)#vpdn-group move
R1(config-vpdn)#accept-dialin
R1(config-vpdn-acc-in)#protocol l2tp
R1(config-vpdn-acc-in)#virtual-template 1
R1(config-vpdn)#no l2tp tunnel authentication //不使用L2TP隧道认证
R1(config)#username move password move
R1(config)#ip local pool l2tp-pool 10.10.3.2 10.10.3.254
R1(config)#interface virtual-template 1
R1(config-if)#encapsulation ppp
R1(config-if)#ip address 10.10.3.1 255.255.255.0
R1(config-if)#peer default ip address pool l2tp-pool
R1(config-if)#ppp authentication chap
2.3.3 办事处到总公司IPSEC VPN配置(与总公司配置类似,在此省略)
2.3.4 出差用户到总部L2TP VPN 的客户端主机配置
出差用户先通过PPPOE连入Internet,而后再通过L2TP连入公司网络。由于Windows2000/xp系统缺省情况下启动了IPSec功能,因此在发起VPN请求时应禁止IPSec功能。
3、结语
从实验中可以看出,Dynamips模拟器加VMware虚拟机技术不仅可以模拟VPN环境,当然还可以构建其它各种复杂的网络实验环境,对网络的学习和实践有很大的帮助。
参考文献
[1]王丽娜,何军,侯健敏.基于DynamipsGUI的两类路由协议仿真通信实验[J].实验室研究与探索,2010(6):72-75.
[2]陈建锐.基于虚拟机的VPN 实验环境构建[J].实验室研究与探索,2010(1):59-61.
转载注明来源:https://www.xzbu.com/8/view-1701585.htm