唐燈平

(南京鐵道職業(yè)技術(shù)學(xué)院蘇州校區(qū)，江蘇蘇州 215137)

引 言

教育部十六號(hào)文件明確提出“人才培養(yǎng)模式改革的重點(diǎn)是教學(xué)過程的實(shí)踐性、開放性和職業(yè)性，實(shí)驗(yàn)、實(shí)訓(xùn)、實(shí)習(xí)是三個(gè)關(guān)鍵環(huán)節(jié)。要重視學(xué)生校內(nèi)學(xué)習(xí)與實(shí)際工作的一致性?！盵1]對(duì)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生的培養(yǎng)同樣應(yīng)該遵循該原則。為了提高計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)學(xué)生實(shí)踐能力，各高職院校加大了對(duì)校內(nèi)實(shí)訓(xùn)室的建設(shè)力度。但由于實(shí)際工作環(huán)境的特殊要求，加上資金投入等多方面因素的影響，在一定的時(shí)間內(nèi)并不能立即建設(shè)成與實(shí)際工作環(huán)境相一致的實(shí)訓(xùn)場(chǎng)所。仿真技術(shù)可以幫助我們解決這個(gè)矛盾，它可以仿真出真實(shí)的網(wǎng)絡(luò)工程項(xiàng)目，幫助學(xué)生獨(dú)立完成整個(gè)網(wǎng)絡(luò)工程的分析、設(shè)計(jì)、配置、測(cè)試以及運(yùn)行等過程，達(dá)到很好的教學(xué)效果。[2]本文討論了基于Packet Tracer的VPN配置實(shí)驗(yàn)教學(xué)設(shè)計(jì)過程。

1 IPSec VPN工作原理

1.1 VPN定義與常見類型

VPN(Virtual Private Network)即“虛擬專用網(wǎng)”。它是利用加密的通訊協(xié)議，在和因特網(wǎng)相連接的不同地理位置的企業(yè)內(nèi)部網(wǎng)之間建立通訊線路。常見的VPN通信方式有IPSec VPN、SSL VPN等。

1.2 IPSec VPN定義與介紹

IPSec(Internet Protocol Security) VPN是采用IPSec協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)，用以提供公用和專用網(wǎng)絡(luò)的端對(duì)端加密和驗(yàn)證服務(wù)。IPsec通過對(duì)數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性?/p>

2 Packet Tracer軟件應(yīng)用

Packet Tracer軟件是思科公司為方便其網(wǎng)絡(luò)學(xué)院老師上課而開發(fā)的教學(xué)仿真軟件。使用者可以在軟件的圖形用戶界面上直接拖曳物件建立網(wǎng)絡(luò)拓?fù)?，并可在仿真的設(shè)備上進(jìn)行網(wǎng)絡(luò)設(shè)備的配置，最終可驗(yàn)證整個(gè)網(wǎng)絡(luò)工程項(xiàng)目配置的正確性。目前最高版本為Packet Tracer 5.3.1，能夠滿足CCNA和部分CCNP的仿真實(shí)驗(yàn)。

3 IPSec VPN配置實(shí)驗(yàn)

3.1 實(shí)驗(yàn)?zāi)康?/h3>

①了解IPSec VPN的工作原理；②理解IPSec VPN的適用場(chǎng)合；③掌握IPSec VPN的配置過程；④掌握Packet Tracer的使用。

3.2 實(shí)驗(yàn)的指導(dǎo)思想和具體實(shí)驗(yàn)項(xiàng)目

IPSec VPN配置實(shí)驗(yàn)的指導(dǎo)思想是遵循基于工作過程系統(tǒng)化，以真實(shí)的工程項(xiàng)目的實(shí)施為主線貫穿整個(gè)實(shí)訓(xùn)過程，包括項(xiàng)目的分析、設(shè)計(jì)、配置、測(cè)試、運(yùn)行以及維護(hù)等過程。具體的項(xiàng)目為：南京鐵道職業(yè)技術(shù)學(xué)院目前為兩地辦學(xué)，分別為南京本部和蘇州校區(qū)，兩地都有規(guī)模龐大的校園網(wǎng)絡(luò)，由于兩地相距很遠(yuǎn)，導(dǎo)致校園網(wǎng)不能聯(lián)網(wǎng)，很多工作不能方便地完成，這給日常的工作帶來了麻煩?，F(xiàn)在要求使用IPSec VPN技術(shù)將兩地安全地連接起來，使兩地的校園網(wǎng)絡(luò)構(gòu)成一個(gè)大的校園網(wǎng)絡(luò)。[3]

3.3 實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)分析、設(shè)計(jì)

圖1 IPSec VPN配置實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)圖

整個(gè)網(wǎng)絡(luò)工程結(jié)構(gòu)上總體分為三大塊，分別為南京本部校園網(wǎng)、蘇州校區(qū)校園網(wǎng)以及Internet網(wǎng)。兩部分校園網(wǎng)均連入了Internet網(wǎng)絡(luò)。為了完成該實(shí)驗(yàn)，設(shè)計(jì)了如圖1所示的網(wǎng)絡(luò)拓?fù)鋱D：圖中路由器R1為南京本部的出口路由器，路由器R4為蘇州校區(qū)出口路由器，路由器R2和R3屬于電信部門的路由器，用它們來模擬Internet網(wǎng)絡(luò)。在南京本部和蘇州校區(qū)的內(nèi)部網(wǎng)絡(luò)中均連接了終端設(shè)備，用于測(cè)試網(wǎng)絡(luò)的聯(lián)通性。在蘇州校區(qū)內(nèi)部網(wǎng)絡(luò)中還放置了服務(wù)器。[4]

3.4 實(shí)驗(yàn)環(huán)境配置

3.4.1 實(shí)驗(yàn)拓?fù)鋱D構(gòu)建

在Cisco Packet Tracer模擬軟件中構(gòu)建如圖1所示的網(wǎng)絡(luò)拓?fù)鋱D，包括四臺(tái)2811路由器、兩臺(tái)2960交換機(jī)、兩臺(tái)PC和一臺(tái)服務(wù)器。默認(rèn)的2811路由器是沒有廣域網(wǎng)模塊的，需要添加。步驟為：①單擊路由器，彈出圖2所示的窗口，關(guān)閉電源。②在Physical區(qū)拖動(dòng)WIC-2T模塊放入模塊槽后釋放鼠標(biāo)。③重新打開電源。用同樣的方法添加WIC-2T模塊到其他路由器。

圖2添加刪除模塊窗口

接下來根據(jù)圖1進(jìn)行網(wǎng)絡(luò)連線。

3.4.2 實(shí)驗(yàn)IP地址規(guī)劃

在規(guī)劃IP地址時(shí)將校園網(wǎng)內(nèi)部設(shè)置為私有IP地址，南京本部為172.16.1.0/24，蘇州校區(qū)為172.16.2.0/24。南京本部和Internet之間網(wǎng)段設(shè)置為202.96.134.0/24，蘇州校區(qū)和Internet網(wǎng)之間網(wǎng)段設(shè)置為61.0.0.0/24。兩個(gè)外網(wǎng)路由器之間的網(wǎng)絡(luò)設(shè)置為218.30.1.0/24。具體如圖1所示。

接下來為終端機(jī)器設(shè)置IP地址，具體為：

南京本部PC1的IP地址設(shè)置為：172.168.1.2，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)地址設(shè)置為172.16.1.1。將蘇州校區(qū)PC2的IP地址設(shè)置為：172.16.2.2，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)設(shè)置為172.16.2.1。Server1的IP地址設(shè)置為：172.16.2.3，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)設(shè)置為172.16.2.1。

3.5 具體實(shí)驗(yàn)配置

3.5.1 模擬Internet網(wǎng)

Router#config t //進(jìn)入全局配置模式

Router(config)#hostname R2 //路由器命名為R2

R2(config)#interface serial 0/0/0 //進(jìn)入路由器接口s0/0/0

R2(config-if)#no shu //激活路由器接口s0/0/0

R2(config-if)#clock rate 64000 //設(shè)置端口的時(shí)鐘頻率為64000

R2(config-if)#ip address 218.30.1.1 255.255.255.0 //設(shè)置端口的IP地址

R2(config-if)#exit //退出

R2(config)#interface serial 0/0/1 //進(jìn)入路由器接口s0/0/1

R2(config-if)#ip address 202.96.134.2 255.255.255.0 //為路由器接口s0/0/1設(shè)置IP地址

R2(config-if)#no shu //激活s0/0/1接口

R2(config-if)#clock rate 64000 //設(shè)置接口s0/0/1的時(shí)鐘頻率

R2(config-if)#exit //退出

R2(config)#ip route 61.0.0.0 255.255.255.0 218.30.1.2 // 為路由器R2配置靜態(tài)路由

Router#config t //進(jìn)入第三臺(tái)路由器的全局配置模式

Router(config)#hostname R3 //為路由器命名為R3

R3(config)#interface serial 0/0/0 //進(jìn)入路由器的接口s0/0/0

R3(config-if)#no shu //激活接口s0/0/0

R3(config-if)#ip address 218.30.1.2 255.255.255.0 //為路由器接口s0/0/0設(shè)置IP地址

R3(config-if)#clock rate 64000 //設(shè)置接口的時(shí)鐘頻率為64000

R3(config-if)#exit //退出

R3(config)#interface serial 0/0/1 //進(jìn)入路由器接口s0/0/1

R3(config-if)#ip address 61.0.0.1 255.255.255.0 //設(shè)置接口的IP地址

R3(config-if)#no shu //激活接口

R3(config-if)#clock rate 64000 //設(shè)置接口的時(shí)鐘頻率為64000

R3(config-if)#exit //退出

R3(config)#ip route 202.96.134.0 255.255.255.0 218.30.1.1 //為路由器R3設(shè)置靜態(tài)路由經(jīng)過以上的設(shè)置，模擬的Internet網(wǎng)就組建起來了。

3.5.2 對(duì)路由器R1和R4進(jìn)行IPSec VPN設(shè)置[5]

首先設(shè)置路由器1：

Router#config t //進(jìn)入南京本部連入Internet網(wǎng)路由器的全局配置模式

Router(config)#hostname R1 //為路由器命名為R1

R1(config)#interface serial 0/0/1 //進(jìn)入路由器的端口s0/0/1

R1(config-if)#no shu //激活路由器的s0/0/1端口

R1(config-if)#ip address 202.96.134.1 255.255.255.0 //設(shè)置端口的IP地址

R1(config-if)#exit //退出

R1(config)#interface fastEthernet 0/0 //進(jìn)入路由器的接口f0/0

R1(config-if)#ip address 172.16.1.1 255.255.255.0 //為路由器的接口f0/0設(shè)置IP地址

R1(config-if)#no shu //激活路由器的f0/0端口

R1(config-if)#exit //退出

R1(config)#ip route 0.0.0.0 0.0.0.0 202.96.134.2 //為路由器R1設(shè)置默認(rèn)路由

R1(config)#crypto isakmp policy 10 //創(chuàng)建一個(gè)isakmp策略，編號(hào)為10?？梢杂卸鄠€(gè)策略。

R1(config-isakmp)#hash md5 //配置isakmp采用什么Hash算法，可以選擇sha和md5，這里選擇md5。

R1(config-isakmp)#authentication pre-share //配置isakmp采用什么身份認(rèn)證算法，這里采用預(yù)共享密碼。如果有CA服務(wù)器，也可以CA(電子證書)進(jìn)行身份認(rèn)證。

R1(config-isakmp)#group 5 //配置isakmp采用什么密鑰交換算法，這里采用DH group5，可以選擇1,2和5。

R1(config-isakmp)#exit //退出

R1(config)#crypto isakmp key cisco address 61.0.0.2 //配置對(duì)等體61.0.0.2的預(yù)共享密碼為cisco，雙方配置的密碼要一致才行。

R1(config)#access-list 110 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 //定義一個(gè)ACL，用來指明什么樣的流量要通過VPN加密發(fā)送，我們這里限定的是從南京本部發(fā)出到達(dá)蘇州校區(qū)的流量才進(jìn)行加密，其他流量(如，到Internet)不要加密。

R1(config)#crypto ipsec transform-set TRAN esp-des esp-md5-hmac //創(chuàng)建一個(gè)IPSec轉(zhuǎn)換集，名稱為TRAN，該名稱本地有效，這里的轉(zhuǎn)換集采用ESP封裝，加密算法為AES，HASH算法為SHA。雙方路由器要有一個(gè)參數(shù)一致的轉(zhuǎn)換集。

R1(config)#crypto map MAP 10 ipsec-isakmp //創(chuàng)建加密圖，名為MAP，10為該加密圖的其中之一的編號(hào)，名稱和編號(hào)都本地有效。如果有多個(gè)編號(hào)，路由器將從小到大逐一匹配。

R1(config-crypto-map)#set peer 61.0.0.2 //指明路由器對(duì)等體為路由器R4。

R1(config-crypto-map)#set transform-set TRAN //指明采用之前已經(jīng)定義的轉(zhuǎn)換集TRAN。

R1(config-crypto-map)#match address 110 //指明匹配ACL為110的定義流量就是VPN流量

R1(config-crypto-map)#exit //退出

R1(config)#interface serial 0/0/1 //進(jìn)入接口 s0/0/1。

R1(config-if)#crypto map MAP //在接口上應(yīng)用之前創(chuàng)建的加密圖MAP。

Router#config t //進(jìn)入蘇州校區(qū)連入Internet網(wǎng)的路由器的全局配置模式

Router(config)#hostname R4 //為該路由器命名為R4

R4(config)#interface serial 0/0/1 //進(jìn)入路由器的接口s0/0/1

R4(config-if)#ip address 61.0.0.2 255.255.255.0 //為路由器接口s0/0/1配置IP地址

R4(config-if)#no shu //激活路由器的接口s0/0/1

R4(config-if)#exit //退出

R4(config)#interface fastEthernet 0/0 //進(jìn)入路由器R4的以太網(wǎng)口f0/0

R4(config-if)#no shu //激活以太網(wǎng)口

R4(config-if)#ip address 172.16.2.1 255.255.255.0 //為以太網(wǎng)口配置IP地址

R4(config-if)#no shu //激活以太網(wǎng)口

R4(config-if)#exit //退出

R4(config)#ip route 0.0.0.0 0.0.0.0 61.0.0.1 //為路由器R1設(shè)置默認(rèn)路由

R4(config)#crypto isakmp policy 10 //創(chuàng)建一個(gè)isakmp策略，編號(hào)為10。可以有多個(gè)策略。

R4(config-isakmp)#hash md5 //配置isakmp采用什么Hash算法，可以選擇sha和md5，這里選擇md5。

R4(config-isakmp)#authentication pre-share //配置isakmp采用什么身份認(rèn)證算法，這里采用預(yù)共享密碼。如果有CA服務(wù)器，也可以CA(電子證書)進(jìn)行身份認(rèn)證。

R4(config-isakmp)#group 5 //配置isakmp采用什么密鑰交換算法，這里采用DH group5，可以選擇1,2和5。

R4(config-isakmp)#exit //退出

R4(config)#crypto isakmp key cisco address 202.96.134.1 //配置對(duì)等體61.0.0.2的預(yù)共享密碼為cisco，雙方配置的密碼要一致才行。

R4(config)#access-list 110 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255 //定義一個(gè)ACL，用來指明什么樣的流量要通過VPN加密發(fā)送，我們這里限定的是從蘇州校區(qū)發(fā)出到達(dá)南京本部的流量才進(jìn)行加密，其他流量(如，到Internet)不要加密。

R4(config)#crypto ipsec transform-set TRAN esp-des esp-md5-hmac //創(chuàng)建一個(gè)IPSec轉(zhuǎn)換集，名稱為TRAN，該名稱本地有效，這里的轉(zhuǎn)換集采用ESP封裝，加密算法為AES，HASH算法為SHA。雙方路由器要有一個(gè)參數(shù)一致的轉(zhuǎn)換集。

R4(config)#crypto map MAP 10 ipsec-isakmp //創(chuàng)建加密圖，名為MAP，10為該加密圖的其中之一的編號(hào)，名稱和編號(hào)都本地有效，如果有多個(gè)編號(hào)，路由器將從小到大逐一匹配。

R4(config-crypto-map)#set peer 202.96.134.1 //指明路由器對(duì)等體為路由器R1。

R4(config-crypto-map)#set transform-set TRAN //指明采用之前已經(jīng)定義的轉(zhuǎn)換集TRAN。

R4(config-crypto-map)#match address 110 //指明匹配ACL為110的定義流量就是VPN流量

R4(config-crypto-map)#exit //退出

R4(config)#interface serial 0/0/1 //進(jìn)入路由器的接口s0/0/1

R4(config-if)#crypto map MAP //在接口上應(yīng)用之前創(chuàng)建的加密圖MAP。

3.6 實(shí)驗(yàn)的運(yùn)行與測(cè)試、實(shí)驗(yàn)效果驗(yàn)證

經(jīng)過以上的配置過程，實(shí)驗(yàn)測(cè)試結(jié)果如下：

從南京本部的PC ping蘇州校區(qū)的服務(wù)器s1結(jié)果如下：

Packet Tracer PC Command Line 1.0

PC>ping 172.16.2.3

Pinging 172.16.2.3 with 32 bytes of data:

Request timed out.

Request timed out.

Reply from 172.16.2.3: bytes=32 time=157ms TTL=126

Reply from 172.16.2.3: bytes=32 time=203ms TTL=126

從南京本部的PC ping蘇州校區(qū)的電腦PC2結(jié)果如下：

PC>ping 172.16.2.2

Pinging 172.16.2.2 with 32 bytes of data:

Request timed out.

Reply from 172.16.2.2: bytes=32 time=203ms TTL=126

Reply from 172.16.2.2: bytes=32 time=219ms TTL=126

Reply from 172.16.2.2: bytes=32 time=203ms TTL=126

以上結(jié)果表明南京本部已經(jīng)和蘇州校區(qū)通信了。

結(jié)束語

利用Packet Tracer 軟件可以幫助我們仿真現(xiàn)實(shí)中的網(wǎng)絡(luò)工程項(xiàng)目，能夠完成真實(shí)網(wǎng)絡(luò)工程項(xiàng)目從分析、設(shè)計(jì)、配置、測(cè)試到運(yùn)行維護(hù)等一系列的過程，在資金有限以及真實(shí)實(shí)訓(xùn)環(huán)境難以組建的情況下，能夠達(dá)到很好的教學(xué)效果。

參考文獻(xiàn)：

[1]教育部．教育部關(guān)于全面提高高等職業(yè)教育教學(xué)質(zhì)量的若干意見．[EB/OL]. http://www.moe.edu.cn/edoas/website18/23/info27723.htm．2006-11-16．

[2]王春枝，李紅，歐陽勇．計(jì)算機(jī)網(wǎng)絡(luò)課程實(shí)驗(yàn)教學(xué)研究[J].實(shí)驗(yàn)室研究與探索，2007，(12) ：350-352.

[3]唐燈平．職業(yè)技術(shù)學(xué)院校園網(wǎng)建設(shè)的研究[J].網(wǎng)絡(luò)安全知識(shí)與應(yīng)用，2009，(4)：71-73.

[4]唐燈平．職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)室建設(shè)的研究[J].中國現(xiàn)代教育裝備，2008，(10)：132-134.

[5]梁廣民，王隆杰．思科網(wǎng)絡(luò)實(shí)驗(yàn)室CCNA實(shí)驗(yàn)指南[M].電子工業(yè)出版社，2009.