◆钟兴宇 韩梅 王春东

基于Cisco Packet Tracer的EzVPN仿真探索

◆钟兴宇 韩梅通讯作者王春东

（天津理工大学聋人工学院 天津 300384）

在新冠肺炎疫情期间，很多学校采取远程教学方式，师生们希望能够在公网环境下安全、便捷地接入校园内网，访问校园网中的内部资源。本文设计的仿真实验采用思科公司的EzVPN远程接入技术方案，成功实现了远程用户接入校园内网，并进行内网资源的访问，且该解决方案不用对IPSec客户端进行配置，大大简化了网络管理员的配置工作，能够为远程教育教学提供有效的技术支撑。

网络；远程访问；仿真

目前，VPN远程接入技术受到了很多学者的关注和研究。与传统接入内网的方式不同，它不受地域空间的限制，只要通过了企业内部配置的相关授权认证，即可接入企业内部网络。VPN远程接入技术的出现，给远程办公人员带来了极大的便利，同时也显著地降低了企业网络的管理和维护成本。本文以思科PT进行模拟仿真，验证EzVPN远程接入方案的可行性。

1 仿真网络结构

网络拓扑如图1所示。整个网络架构分为办公网区域和互联网区域两部分，左侧是办公网区域，包含两台接入交换机，一台核心交换机和1台3A认证服务器。右侧是互联网区域，包含一台路由器（模拟ISP）和一台PC（模拟远程登录用户），左右侧网络通过EDGER路由器进行连通。本次采用思科PT模拟器进行仿真，通过EDGER路由器结合3A认证服务器，模拟VPN远程接入。

本次仿真将实现下列步骤：

（1）EDGER路由器结合3A认证服务器实现对VPN远程接入用户的身份验证。

（2）VPN远程接入用户成功通过验证，并试图访问内网服务器资源。

（3）观察远程接入用户如何与EDGER路由器建立路由。

图1 网络拓扑图

2 EzVPN和3A服务器相关配置

2.1 EDGER路由器部分配置

（1）AAA相关配置

aaa new-model

aaa authentication login VPN-ACCESS group radius

aaa authorization network VPN-ACCESS local

（2）配置Radius Server

radius-server host 192.168.99.1 auth-port 1645 key 123456

（3）配置IPSec相关安全策略

crypto isakmp policy 10

encr 3des

hash md5

authentication pre-share

（4）配置客户端相关策略

ip local pool ippool 192.168.50.100 192.168.50.200

crypto isakmp client configuration group clientgroup

key 123456

pool ippool

netmask 255.255.255.0

（5）创建IPSec相关加密/验证算法

crypto ipsec transform-set ipsectrans esp-des esp-md5-hmac

crypto dynamic-map dynamicmap 1

set transform-set ipsectrans

reverse-route // 配置反向路由注入

（6）关联相关认证信息

crypto map mymap client authentication list VPN-ACCESS

crypto map mymap isakmp authorization list VPN-ACCESS

crypto map mymap client configuration address respond

crypto map mymap 10 ipsec-isakmp dynamic dynamicmap

（7）将IPSec安全策略绑定到公网出接口上

interface Serial0/2/0

crypto map mymap

2.2 3A认证服务器配置

3A认证服务器配置图如图2所示。

图2 3A认证服务器配置图

3 系统测试

EzVPN和3A认证服务器配置完成后，远程登录用户通过PC5的Desktop选项卡下的VPN选项，进入到VPN的配置页面，输入正确的相关参数后进行认证，PC5客户端显示”VPN is connected”，如图3所示。客户端获取到的地址为192.168.50.100，与EDGER路由器上预设的地址池一致。同时，EDGER路由器中产生了一条反向注入的静态路由S 192.168.50.100/32 [1/0] via 100.0.0.1，为了验证PC5能否不受阻碍地访问服务器资源，在3A认证服务器上同时开启了http服务，在PC5中自带的网页浏览器内的页面输入内网服务器地址http://192.168.99.1，发现目标网页可以正常访问，如图4所示。说明位于外网的PC5，已经成功通过思科独有的解决方案EzVPN技术接入到内网中，并可以不受阻碍地访问到内网服务器的所有资源。

图3 VPN连接效果图

图4 PC5访问内网资源效果图

4 结束语

本文结合当代实际远程接入需求，采用了思科的EzVPN解决方案，并基于思科PT模拟器设计了仿真实验，实现了Radius认证服务器配合EzVPN远程接入方案对远程登录用户进行的身份认证。用户在认证通过后接入到了办公区内网，并成功地进行内网资源的访问，证实了采用思科EzVPN远程接入技术方案进行远程教育教学的可行性。

该VPN解决方案仍有一些待改进之处，受限于思科PT仿真软件的设计，无法基于用户、用户组实施精准的VPN访问控制。例如用户通过EzVPN接入内网后，可以不受阻碍地访问到内网中的所有资源，无法实现基于用户、用户组的权限管理方法对用户实施资源访问控制。

[1]Vijay Bollapragada，Mohamed Khalid.IPSEC VPN设计[M].北京：人民邮电出版社，2012.11.

[2]王达.华为VPN学习指南[M].北京：人民邮电出版社，2017.9.

[3]秦柯.Cisco IPSec VPN实战指南[M].北京：人民邮电出版社，2012.5.

[4]王真.VPN技术在校园网络安全体系的应用[J].网络安全技术与应用，2021（09）：101-103.

[5]高琪琪，华拓.基于PT的Remote Access IPSec VPN仿真[J].电脑迷，2018（04）：84.

[6]俞富荣.VPN技术在局域网中的组网的应用探讨[J].网络安全技术与应用，2021（08）：6-7.