【摘要】針對(duì)虛擬專用網(wǎng)絡(luò)在教學(xué)實(shí)驗(yàn)中面臨的問(wèn)題，實(shí)驗(yàn)硬件設(shè)備不足，實(shí)驗(yàn)過(guò)程單一，實(shí)驗(yàn)內(nèi)容脫離實(shí)際應(yīng)用。借助Packet Tracer軟件，設(shè)計(jì)并仿真虛擬專用網(wǎng)絡(luò)綜合應(yīng)用場(chǎng)景的教學(xué)實(shí)驗(yàn)。按照實(shí)驗(yàn)設(shè)計(jì)的基本原則，根據(jù)虛擬專用網(wǎng)絡(luò)的應(yīng)用領(lǐng)域，將仿真實(shí)驗(yàn)劃分為獨(dú)立模塊。實(shí)驗(yàn)方案既能滿足不同層次學(xué)生的要求，也可以激發(fā)學(xué)生繼續(xù)探索的熱情，在實(shí)際教學(xué)實(shí)踐中收到較好的效果。

【關(guān)鍵詞】虛擬機(jī)專用網(wǎng) VPN實(shí)驗(yàn) Packet Tracer 實(shí)驗(yàn)教學(xué) 實(shí)驗(yàn)仿真

【中圖分類號(hào)】G64 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】2095-3089（2015）01-0234-02

虛擬專用網(wǎng)（VPN，Virtual Private Network）是一種在廣域網(wǎng)絡(luò)環(huán)境中，通過(guò)加密技術(shù)、認(rèn)證技術(shù)、隧道技術(shù)等手段所實(shí)現(xiàn)的專用網(wǎng)絡(luò)。這種網(wǎng)絡(luò)是對(duì)本地局域網(wǎng)的擴(kuò)充，使得本地局域網(wǎng)絡(luò)可以與遠(yuǎn)程用戶或遠(yuǎn)程網(wǎng)絡(luò)互相通信，而這種通信就如同發(fā)生在本地局域網(wǎng)。在通信時(shí)，遠(yuǎn)程用戶或網(wǎng)絡(luò)的數(shù)據(jù)需要使用加密技術(shù)，通過(guò)公共廣域網(wǎng)到達(dá)本地，再采用解密和認(rèn)證技術(shù)解析數(shù)據(jù)，其他第三方無(wú)法識(shí)別通信內(nèi)容。

虛擬局域網(wǎng)既是一種組網(wǎng)技術(shù)，又是一種網(wǎng)絡(luò)安全技術(shù)。它無(wú)需重新建立專門的網(wǎng)絡(luò)，只需要在公共廣域網(wǎng)上采用相應(yīng)技術(shù)就可以實(shí)現(xiàn)，具有很好的應(yīng)用價(jià)值，在企業(yè)、科研和教育單位中使用比較廣泛。對(duì)于計(jì)算機(jī)、網(wǎng)絡(luò)等相關(guān)專業(yè)的學(xué)生，學(xué)習(xí)并組建VPN網(wǎng)絡(luò)，是比較重要的，也是教學(xué)大綱所要求的。但很多高校實(shí)驗(yàn)室的硬件設(shè)備無(wú)法提供實(shí)驗(yàn)環(huán)境，而且單一的模擬實(shí)驗(yàn)也很難體現(xiàn)虛擬專用網(wǎng)的各種應(yīng)用場(chǎng)景，無(wú)法達(dá)到很好的教學(xué)效果。本文旨在使用Packet Tracer軟件，設(shè)計(jì)能夠模擬虛擬專用網(wǎng)絡(luò)各種應(yīng)用場(chǎng)景的實(shí)驗(yàn)，并進(jìn)行仿真。在實(shí)驗(yàn)設(shè)計(jì)過(guò)程中采用分層目標(biāo)的實(shí)驗(yàn)設(shè)計(jì)理念，將不同的應(yīng)用場(chǎng)景設(shè)計(jì)為實(shí)驗(yàn)?zāi)K，學(xué)生根據(jù)自己的能力自行選擇實(shí)驗(yàn)內(nèi)容。

1.虛擬專用網(wǎng)概述

傳統(tǒng)的本地局域網(wǎng)與遠(yuǎn)程局域網(wǎng)互聯(lián)都是借助造價(jià)昂貴的專線或幀中繼網(wǎng)絡(luò)，這種組網(wǎng)方式對(duì)于擁有眾多遠(yuǎn)程用戶、遠(yuǎn)程分公司或遠(yuǎn)程合作伙伴的企業(yè)和單位，是一種成本非常高的方案。這就催生了虛擬專用網(wǎng)絡(luò)技術(shù)的出現(xiàn)，在公共的廣域網(wǎng)環(huán)境中，通過(guò)虛擬隧道，傳輸數(shù)據(jù)，建立專用網(wǎng)絡(luò)[1]。使用這種技術(shù)，既可以達(dá)成本地網(wǎng)絡(luò)與遠(yuǎn)程節(jié)點(diǎn)的專用通信，又可以降低組建成本。

1.1 應(yīng)用領(lǐng)域

虛擬專用網(wǎng)可以在廣域網(wǎng)上實(shí)現(xiàn)局域網(wǎng)連接，提供數(shù)據(jù)加密、身份認(rèn)證等安全特性，在目前的網(wǎng)絡(luò)組建中應(yīng)用非常廣泛。主要的應(yīng)用場(chǎng)景可以劃分為三類：第一，遠(yuǎn)程用戶與本地網(wǎng)絡(luò)之間的連接。這種連接主要由遠(yuǎn)程用戶發(fā)起，通過(guò)主機(jī)上的客戶端軟件，登錄到本地網(wǎng)絡(luò)中已配置VPN功能的網(wǎng)關(guān)，經(jīng)驗(yàn)證通過(guò)后，即可實(shí)現(xiàn)二者的通信。第二，遠(yuǎn)程網(wǎng)絡(luò)發(fā)起的，與本地網(wǎng)絡(luò)之間的通信。這種連接主要用于公司總部與各分部之間的通信，借助VPN即可達(dá)成將總部的網(wǎng)絡(luò)與分部網(wǎng)絡(luò)組成同一個(gè)局域網(wǎng)的效果，這也是虛擬專用網(wǎng)在企業(yè)組網(wǎng)中最為常見(jiàn)的形式。第三，本地局域網(wǎng)絡(luò)與遠(yuǎn)程局域網(wǎng)絡(luò)的連接，遠(yuǎn)程網(wǎng)絡(luò)中的主機(jī)可以登錄到本地網(wǎng)絡(luò)，本地網(wǎng)絡(luò)的主機(jī)也可以登錄到遠(yuǎn)程網(wǎng)絡(luò)。這種連接可以用于企業(yè)與合作方之間組建網(wǎng)絡(luò)。

1.2 實(shí)現(xiàn)技術(shù)

虛擬專用網(wǎng)的價(jià)值主要體現(xiàn)于在廣域網(wǎng)中建立專用通信鏈路，提高數(shù)據(jù)傳輸與資源訪問(wèn)的安全等級(jí)。在組建過(guò)程中涉及到的技術(shù)有隧道技術(shù)、加密技術(shù)、密鑰管理和身份認(rèn)證技術(shù)。

隧道技術(shù)是虛擬專用網(wǎng)組建的關(guān)鍵技術(shù)，它可以在通過(guò)對(duì)數(shù)據(jù)的封裝，將私有局域網(wǎng)絡(luò)中的數(shù)據(jù)透明的在廣域網(wǎng)絡(luò)中傳輸。根據(jù)封裝數(shù)據(jù)具體實(shí)現(xiàn)的不同，隧道技術(shù)可分為第二層隧道（具體協(xié)議有PPTP、L2TP等）、第三層隧道（具體協(xié)議有GRE、IPSec等）[2]。IPSec（IP安全協(xié)議）可以為任何形式的廣域網(wǎng)通信提供安全保障，這是目前虛擬專用組建的最佳選擇，也是本次實(shí)驗(yàn)所采用的方案。

加密技術(shù)是虛擬專用網(wǎng)為了保障數(shù)據(jù)安全性所依賴的技術(shù)，可以確保封裝的數(shù)據(jù)不被第三方識(shí)別、篡改。在通信過(guò)程中數(shù)據(jù)的傳遞主要采用對(duì)稱加密技術(shù)，身份認(rèn)證和密鑰協(xié)商主要采用非對(duì)稱加密技術(shù)。

密鑰管理可以實(shí)現(xiàn)密鑰的安全性傳遞，主要有SKIP和ISAKMP/OAKLEY兩種技術(shù)。本實(shí)驗(yàn)設(shè)計(jì)方案中采用ISAKMP/OAKLEY技術(shù)[3]。

身份驗(yàn)證技術(shù)是虛擬專用網(wǎng)中首要解決的問(wèn)題，確保通信雙方的合法身份和訪問(wèn)權(quán)限，阻止非法用戶嘗試訪問(wèn)虛擬專用網(wǎng)絡(luò)。

2.仿真實(shí)驗(yàn)的設(shè)計(jì)

該實(shí)驗(yàn)的仿真軟件是Packet Tracer，由思科（Cisco）公司開(kāi)發(fā)，用于設(shè)計(jì)、模擬、驗(yàn)證、組建計(jì)算機(jī)網(wǎng)絡(luò)。

2.1 實(shí)驗(yàn)設(shè)計(jì)原則

教學(xué)實(shí)驗(yàn)的設(shè)計(jì)立足于學(xué)習(xí)者和學(xué)習(xí)內(nèi)容，從學(xué)習(xí)者的差異出發(fā)，將學(xué)習(xí)內(nèi)容按照復(fù)雜度分解，劃分為模塊，以符合差異化教學(xué)方式[4]。學(xué)習(xí)者根據(jù)自身特點(diǎn)，自主選擇、主動(dòng)參與。

實(shí)驗(yàn)設(shè)計(jì)過(guò)程中注重教學(xué)實(shí)驗(yàn)設(shè)計(jì)的目的性原則、可行性原則、漸進(jìn)性原則。實(shí)驗(yàn)主要針對(duì)虛擬專用網(wǎng)絡(luò)的綜合應(yīng)用，從簡(jiǎn)單到復(fù)雜，將三類應(yīng)用場(chǎng)景轉(zhuǎn)化為三個(gè)實(shí)驗(yàn)?zāi)K，實(shí)驗(yàn)難度依次遞進(jìn)，逐步鞏固、深化學(xué)習(xí)的基本內(nèi)容和實(shí)踐技能。

2.2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

針對(duì)上述虛擬專用網(wǎng)絡(luò)的三類主要應(yīng)用場(chǎng)景，本著實(shí)驗(yàn)難度分層的原則，虛擬專用網(wǎng)綜合實(shí)驗(yàn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)一共劃分為5個(gè)部分。分別是A公司總部網(wǎng)絡(luò)、A公司遠(yuǎn)程用戶、A公司遠(yuǎn)程分部網(wǎng)絡(luò)、B公司網(wǎng)絡(luò)和公共廣域網(wǎng)絡(luò)，實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)如圖1所示（見(jiàn)文后）。

A公司總部網(wǎng)絡(luò)為172.16.1.0/24，通過(guò)交換機(jī)的匯聚，接入A公司網(wǎng)關(guān)路由器f0/0端口。A公司網(wǎng)關(guān)路由器通過(guò)端口f0/1與網(wǎng)絡(luò)服務(wù)運(yùn)營(yíng)商路由器ISP的端口f0/1相連（鑒于實(shí)驗(yàn)?zāi)康氖翘摂M專用網(wǎng)的應(yīng)用，路由器之間的連接未使用光纖，都使用交叉雙絞線）。ISP路由器的端口f0/0與B公司網(wǎng)關(guān)路由器的端口f0/0連接。B公司網(wǎng)關(guān)路由器的端口f0/1連接交換機(jī)，公司局域網(wǎng)絡(luò)為10.10.10.0/24。A公司局域網(wǎng)絡(luò)和B公司局域網(wǎng)絡(luò)各有兩臺(tái)主機(jī)和一臺(tái)服務(wù)器，都與各自的中心交換機(jī)相連。

為了能夠模擬A公司遠(yuǎn)程用戶和遠(yuǎn)程分公司的連接，在ISP路由器增加以太網(wǎng)模塊，端口e1/0與無(wú)線路由器連接，端口e1/1與A公司分部網(wǎng)關(guān)路由器的端口f0/0相連。遠(yuǎn)程用戶以無(wú)線方式接入廣域網(wǎng)絡(luò)。A公司分部交換機(jī)與分部路由器的端口f1/0連接，分部交換機(jī)連接有兩臺(tái)主機(jī)，局域網(wǎng)絡(luò)為192.168.1.0/24。

2.3 節(jié)點(diǎn)參數(shù)設(shè)定

該實(shí)驗(yàn)所采用的拓?fù)鋱D中共有4臺(tái)路由器，1臺(tái)無(wú)線路由器，3臺(tái)交換機(jī)，6臺(tái)主機(jī)，2臺(tái)服務(wù)器，1臺(tái)筆記本和1臺(tái)平板電腦，共計(jì)18個(gè)設(shè)備，全網(wǎng)共劃分為8個(gè)網(wǎng)段。

2.4 IP Sec VPN配置

按照上述節(jié)點(diǎn)參數(shù)配置，可以實(shí)現(xiàn)局域網(wǎng)段內(nèi)的聯(lián)通，公有IP地址之間可以聯(lián)通，但是無(wú)法達(dá)成私有局域網(wǎng)之間的聯(lián)通。為使遠(yuǎn)程用戶和分部可以接入A公司網(wǎng)絡(luò)，需要在A公司網(wǎng)關(guān)路由器配置IP SecVPN，具體配置命令如下：（該配置清單是在運(yùn)行狀態(tài)下，配置模式中的命令基本一致，配置時(shí)注釋語(yǔ)句無(wú)需鍵入）

aaa new？鄄model

aaa authentication login admin local

aaa authentication login lg local

aaa authorization network nw local //3A認(rèn)證

username admin password admin //登錄賬戶和密碼均為admin

crypto isakmp policy 10 //IPSec安全參數(shù)

hash md5

authentication pre？鄄share

group 2

//配置組名、密碼、動(dòng)態(tài)分配的地址池

crypto isakmp client configuration group remote

key key00

pool pool_1

//通過(guò)交換集vpn1設(shè)置AH和ESP的加密盒認(rèn)證算法

crypto ipsec transform？鄄set vpn1 esp？鄄3des esp？鄄md5？鄄hmac

crypto dynamic？鄄map dmap 10

set transform？鄄set vpn1

reverse？鄄route

crypto map map1 client authentication list lg //客戶端使用3A認(rèn)證

crypto map map1 isakmp authorization list nw

crypto map map1 client configuration address respond //響應(yīng)客戶端分配地址

crypto map map1 10 ipsec？鄄isakmp dynamic dmap //啟用加密圖map1

ip local pool pool_1 172.16.2.1 172.16.2.100 //虛擬網(wǎng)卡地池

ip nat inside source list 1 interface FastEthernet0/1 overload //NAT

access？鄄list 1 permit 0.0.0.0 255.255.255.0 //ACL

//接口f0/0配置

interface FastEthernet0/0

ip address 172.16.1.1 255.255.255.0

ip nat inside

duplex auto

speed auto

//接口f0/1配置

interface FastEthernet0/1

ip address 100.1.1.2 255.255.255.0

ip nat outside

duplex auto

speed auto

crypto map map1 //在該接口使用加密圖

完成上述配置后，遠(yuǎn)程用戶和分部網(wǎng)絡(luò)（分部路由器正確配置）都可以接入A公司總部，并且可以訪問(wèn)總部的Web服務(wù)器。如果要達(dá)成訪問(wèn)B公司W(wǎng)eb服務(wù)器的目的，需要在B公司的網(wǎng)關(guān)配置IP SecVPN，配置命令參考A公司網(wǎng)關(guān)路由器的配置，地址、賬戶、密碼等信息可以相應(yīng)修改。

3.仿真實(shí)驗(yàn)的檢驗(yàn)

根據(jù)選擇的實(shí)驗(yàn)內(nèi)容，確定檢測(cè)實(shí)驗(yàn)結(jié)果的方案。該實(shí)驗(yàn)的目的是練習(xí)虛擬局域網(wǎng)的配置，它的前提是各個(gè)節(jié)點(diǎn)參數(shù)的正確設(shè)定，所以在檢測(cè)虛擬局域網(wǎng)之前，確保局域網(wǎng)之內(nèi)可以互通，公有IP地址之間可以互通。（使用Ping命令測(cè)試）

3.1 遠(yuǎn)程用戶接入

打開(kāi)筆記本終端或平板電腦，切換到Desktop選項(xiàng)卡，選擇VPN模擬軟件，輸入在A公司網(wǎng)關(guān)路由器中配置的參數(shù)。GroupName遠(yuǎn)程組名是remote，密碼是key00，配置虛擬局域網(wǎng)的路由器接口IP地址是100.1.1.2，用戶名和密碼都是admin.

點(diǎn)擊Connection按鈕連接，獲得虛擬網(wǎng)卡地址池中分配的地址，如Client IP：172.16.2.1。（如果出現(xiàn)連接超時(shí)，請(qǐng)?jiān)俅螄L試）當(dāng)成功獲得客戶端IP地址后，即可與A公司局域網(wǎng)網(wǎng)絡(luò)互通，可以嘗試PingA公司服務(wù)器172.16.1.254。打開(kāi)Web Browser，輸入A公司服務(wù)器IP地址，可以成功訪問(wèn)。

3.2 分公司接入

在A公司遠(yuǎn)程分部的任意終端主機(jī)上，設(shè)定VPN參數(shù)，連接A公司總部服務(wù)器。A公司的分部可以借助虛擬專用網(wǎng)技術(shù)直接連入總部的網(wǎng)絡(luò)，在訪問(wèn)局域網(wǎng)服務(wù)器時(shí)，如同本地主機(jī)一樣。

3.3 A、B公司連接

A公司網(wǎng)絡(luò)和B公司網(wǎng)絡(luò)是兩個(gè)獨(dú)立的局域網(wǎng)絡(luò)，如果需要對(duì)方能夠訪問(wèn)本地的服務(wù)器，需要在網(wǎng)關(guān)路由器上配置IPSec VPN。如果參數(shù)正確設(shè)定，從A公司的主機(jī)可以直接訪問(wèn)B公司的服務(wù)器，從B公司的主機(jī)可以直接訪問(wèn)A公司的服務(wù)器。

4.結(jié)束語(yǔ)

虛擬專用網(wǎng)絡(luò)能解決很多企業(yè)所面臨的遠(yuǎn)程訪問(wèn)問(wèn)題，而且對(duì)訪問(wèn)的數(shù)據(jù)進(jìn)行加密，提高了安全等級(jí)。學(xué)習(xí)實(shí)踐配置虛擬專用網(wǎng)絡(luò)具有很強(qiáng)的實(shí)際應(yīng)用價(jià)值。通過(guò)使用Packet Tracer軟件，仿真虛擬專用網(wǎng)絡(luò)的綜合應(yīng)用場(chǎng)景，模擬常用的應(yīng)用領(lǐng)域，不但可以解決實(shí)驗(yàn)資源不足的問(wèn)題，還能夠非常方便的調(diào)試配置過(guò)程中出現(xiàn)的問(wèn)題。該教學(xué)實(shí)驗(yàn)，覆蓋教學(xué)內(nèi)容廣泛，實(shí)驗(yàn)?zāi)K獨(dú)立，由簡(jiǎn)入深，在實(shí)際的教學(xué)過(guò)程中起到了很好的教學(xué)效果，具有較好的推廣價(jià)值。

參考文獻(xiàn)：

[1]張莉.虛擬專用網(wǎng)VPN技術(shù)及其企業(yè)應(yīng)用[J]. 中國(guó)新通信， 2013（3）：59-60.

[2]董輝，于潤(rùn)橋，沈翀.SSL VPN隧道技術(shù)研究與應(yīng)用[J]. 微型機(jī)與應(yīng)用2012（24）：54-57.

[3]林涌. VPN背景下的網(wǎng)絡(luò)安全技術(shù)應(yīng)用研究[J]. 信息與電腦2012（11）：43-44.

[4]朱鳳山.在項(xiàng)目實(shí)踐中培養(yǎng)學(xué)生的軟件開(kāi)發(fā)能力[J].計(jì)算機(jī)教育2011（12）：22-25.

[5]陳紅松.網(wǎng)絡(luò)安全與管理[M].北京：清華大出版社，2010：220-260.

圖 1 VPN綜合實(shí)驗(yàn)拓?fù)鋱D