基于EVE-NG的动态IPSec VPN的实验设计
2020-07-04李云伟
李云伟
摘 要:在实际的应用中,经常需要使用HUB-Spoke类型的组网,即一个企业总部到多个分支机构的组网,分支节点通过PPPoE、DHCP等方式动态获取公网地址,各个分支机构之间的通信由总部节点转发和控制,为保障总部和分支机构间通信的安全,分支节点建立到总部的IPSec隧道。由于實验条件的限制,传统的教学方式中只能进行理论知识的讲解,达不到理想的教学效果。本实验通过新的EVE-NG仿真软件,实现学生从网络结构搭建到设备配置,直到系统测试的全过程仿真。通过实验加强了学生对PPOE,IPSec VPN等知识的进一步理解,增强了学生实际动手能力。
关键词:EVE-NG;IPSec VPN;PPPOE
企业由于业务拓展,在全国各地建立了若干分支机构;总部出口路由器通过运营商专线连接到互联网,分部采用宽带拨号上网(PPPoE)自动获得IP地址方式接入互联网。分部在业务开展过程中需要访问位于总部的服务器,同时需要对分部与总部间通信的数据进行加密,保证业务安全。该场景通过在总部出口路由器上部署动态的IPSECVPN来接受分部的接入,分部通过PPPoE方式获得上网地址。以往的教学方式中,由于真实实验环境搭建结构昂贵,学生在学习动态IPSec VPN过程中只能理解它们的工作原理,不能通过实验来验证分部如何通过PPPoE方式获得上网地址和动态IPSec VPN隧道的建立过程。本文采用的EVE-NG是一款基于B/S结构的通用仿真软件,可以模拟真实的网络设备具有支持的设备类型多、占用资源少等优点。为学生掌握动态IPSec VPN隧道的相关技术,熟悉网络结构搭建和设备的操作创造了环境。
1 EVE-NG仿真平台、PPPoE及IPSec VPN介绍
EVE-NG是深度定制的Ubuntu操作系统,融合了dynamips,基于Linux的互联网操作系统,以及基于内核的虚拟机KVM,可以直接安装在 x86 架构的计算机上。另外它也有开放虚拟化设备(OVA)版本,可以直接导入到VMware 等虚拟机中运行。PPPoE是以太网上的点对点协议,是将点对点协议(PPP)封装在以太网(Ethernet)框架中的一种网络隧道协议。IPSec VPN指采用IPSec协议来实现远程接入的一种VPN技术,是由IETF定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全,在两个公共网关间提供私密数据封包服务。而IPSEC动态隧道一般应用于分支节点较多的总分拓扑结构,在中心点配置动态隧道接受各分支的IPSec VPN接入。中心点配置简单、易于维护、可扩展性强。
2 EVE-NG仿真平台上IPSEC动态隧道的部署实现
2.1 EVE-NG仿真平台上搭建模拟应用场景
在实际的应用中,经常需要使用HUB-Spoke类型的组网,即一个企业总部到多个分支机构的组网。网络整机结构如图1所示。
本实验中涉及总部(HUB)、两个分部(Spoke)以及运营商网络四个主要部分,路由器R1、R2分别仿真分部一和分部二的出口网关设备,并且以PPPoE方式获得接入地址(见图1中的路由器R1、R2);路由器R3模拟运营商网络提供互联网服务和作为PPPoE服务器(见图1中的路由器R3);路由器R4仿真企业总部的出口网关,运营商分配了固定IP地址接入互联网(见图1中的路由器R4)。
2.2 配置路由器接口IP地址
根据图1所示,配置个路由器的接口的IP地址。
配置总部路由器R4。总部路由器R4采用固定IP地址。路由器R3仿真运营商网络,并且作为PPPOE拨号上网的服务器,需要将它配置成PPPOE服务器。同时给两个分部提供动态IP地址,该路由器采用CHAP协议进行认证服务,需要提供认证用户名和密码。
R1、R2的接口ethernet 0/1均作为内部网络的网关地址,配置固定地址即可;而ethernet 0/0接口配置为PPPOE客户端从PPPOE服务器动态获得IP地址。
2.3 配置IPSec VPN
根据图1规划,两个分部通过IPSec VPN隧道访问总部服务器。总部出接口分配固定上网地址,二两个分部均采用ADSL上网方式,通过PPPOE服务动态获取上网地址。分部已知总部的上网地址,采用静态方式建立隧道,可以主动隧道的IKE协商;总部在隧道建立前无法获得分部地址,采用动态方式建立隧道,被动接受IKE协商。
1)在总部出口路由器R4上配置动态IPSecVPN隧道
2)在分部出口路由器R1、R2上配置静态态IPSecVPN隧道
2.4 测试网络连通性
1)给分部PC1、PC2分别配置ip地址:172.16.10.10/24和172.16.20.10/24,总部的SERVER配置地址192.168.10.10/24
2)PC1和PC2通过ping向服务器发送ICMP Request 报文
3)使用命令show crypto isakmp sa和show crypto ipsec sa查看安全联盟。
3 小结
本文使用了EVE-NG的仿真平台实现了很多仿真软件无法完成的实验。涉及IPSec、PPPOE、ACL和静态路由等知识点。使在教学过程中不仅能掌握理论知识,同时能通过实验掌握整个实验从网络规划、网络搭建和设备配置全过程,从而达到最好的教学效果。
参考文献
[1]刘小伟,霍静.在局域网中应用IPSec的主要问题及解决方案[J].天水师范学院学报,2006(05):62-65.
[2]徐宏斌.使用IPSec保护网络安全的研究和实践[J].徐宏斌微计算机信息,2006(27):131-133.
[3]曹雪峰,傅冬颖等.基于EVE_NG的虚拟网络实践教学平台设计与实现[J].实验室技术与原理,2019,36(6):58-161.
