唐燈平

(南京鐵道職業(yè)技術學院蘇州校區(qū)，江蘇蘇州 215137)

引 言

教育部十六號文件明確提出“人才培養(yǎng)模式改革的重點是教學過程的實踐性、開放性和職業(yè)性，實驗、實訓、實習是三個關鍵環(huán)節(jié)。要重視學生校內學習與實際工作的一致性?！盵1]對計算機網絡技術專業(yè)學生的培養(yǎng)同樣應該遵循該原則。為了提高計算機網絡技術專業(yè)學生實踐能力，各高職院校加大了對校內實訓室的建設力度。但由于實際工作環(huán)境的特殊要求，加上資金投入等多方面因素的影響，在一定的時間內并不能立即建設成與實際工作環(huán)境相一致的實訓場所。仿真技術可以幫助我們解決這個矛盾，它可以仿真出真實的網絡工程項目，幫助學生獨立完成整個網絡工程的分析、設計、配置、測試以及運行等過程，達到很好的教學效果。[2]本文討論了基于Packet Tracer的VPN配置實驗教學設計過程。

1 IPSec VPN工作原理

1.1 VPN定義與常見類型

VPN(Virtual Private Network)即“虛擬專用網”。它是利用加密的通訊協(xié)議，在和因特網相連接的不同地理位置的企業(yè)內部網之間建立通訊線路。常見的VPN通信方式有IPSec VPN、SSL VPN等。

1.2 IPSec VPN定義與介紹

IPSec(Internet Protocol Security) VPN是采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術，用以提供公用和專用網絡的端對端加密和驗證服務。IPsec通過對數(shù)據加密、認證、完整性檢查來保證數(shù)據傳輸?shù)目煽啃?、私有性和保密性?/p>

2 Packet Tracer軟件應用

Packet Tracer軟件是思科公司為方便其網絡學院老師上課而開發(fā)的教學仿真軟件。使用者可以在軟件的圖形用戶界面上直接拖曳物件建立網絡拓撲，并可在仿真的設備上進行網絡設備的配置，最終可驗證整個網絡工程項目配置的正確性。目前最高版本為Packet Tracer 5.3.1，能夠滿足CCNA和部分CCNP的仿真實驗。

3 IPSec VPN配置實驗

3.1 實驗目的

①了解IPSec VPN的工作原理；②理解IPSec VPN的適用場合；③掌握IPSec VPN的配置過程；④掌握Packet Tracer的使用。

3.2 實驗的指導思想和具體實驗項目

IPSec VPN配置實驗的指導思想是遵循基于工作過程系統(tǒng)化，以真實的工程項目的實施為主線貫穿整個實訓過程，包括項目的分析、設計、配置、測試、運行以及維護等過程。具體的項目為：南京鐵道職業(yè)技術學院目前為兩地辦學，分別為南京本部和蘇州校區(qū)，兩地都有規(guī)模龐大的校園網絡，由于兩地相距很遠，導致校園網不能聯(lián)網，很多工作不能方便地完成，這給日常的工作帶來了麻煩。現(xiàn)在要求使用IPSec VPN技術將兩地安全地連接起來，使兩地的校園網絡構成一個大的校園網絡。[3]

3.3 實驗拓撲結構分析、設計

圖1 IPSec VPN配置實驗拓撲結構圖

整個網絡工程結構上總體分為三大塊，分別為南京本部校園網、蘇州校區(qū)校園網以及Internet網。兩部分校園網均連入了Internet網絡。為了完成該實驗，設計了如圖1所示的網絡拓撲圖：圖中路由器R1為南京本部的出口路由器，路由器R4為蘇州校區(qū)出口路由器，路由器R2和R3屬于電信部門的路由器，用它們來模擬Internet網絡。在南京本部和蘇州校區(qū)的內部網絡中均連接了終端設備，用于測試網絡的聯(lián)通性。在蘇州校區(qū)內部網絡中還放置了服務器。[4]

3.4 實驗環(huán)境配置

3.4.1 實驗拓撲圖構建

在Cisco Packet Tracer模擬軟件中構建如圖1所示的網絡拓撲圖，包括四臺2811路由器、兩臺2960交換機、兩臺PC和一臺服務器。默認的2811路由器是沒有廣域網模塊的，需要添加。步驟為：①單擊路由器，彈出圖2所示的窗口，關閉電源。②在Physical區(qū)拖動WIC-2T模塊放入模塊槽后釋放鼠標。③重新打開電源。用同樣的方法添加WIC-2T模塊到其他路由器。

圖2添加刪除模塊窗口

接下來根據圖1進行網絡連線。

3.4.2 實驗IP地址規(guī)劃

在規(guī)劃IP地址時將校園網內部設置為私有IP地址，南京本部為172.16.1.0/24，蘇州校區(qū)為172.16.2.0/24。南京本部和Internet之間網段設置為202.96.134.0/24，蘇州校區(qū)和Internet網之間網段設置為61.0.0.0/24。兩個外網路由器之間的網絡設置為218.30.1.0/24。具體如圖1所示。

接下來為終端機器設置IP地址，具體為：

南京本部PC1的IP地址設置為：172.168.1.2，子網掩碼為255.255.255.0，網關地址設置為172.16.1.1。將蘇州校區(qū)PC2的IP地址設置為：172.16.2.2，子網掩碼為255.255.255.0，網關設置為172.16.2.1。Server1的IP地址設置為：172.16.2.3，子網掩碼為255.255.255.0，網關設置為172.16.2.1。

3.5 具體實驗配置

3.5.1 模擬Internet網

Router#config t //進入全局配置模式

Router(config)#hostname R2 //路由器命名為R2

R2(config)#interface serial 0/0/0 //進入路由器接口s0/0/0

R2(config-if)#no shu //激活路由器接口s0/0/0

R2(config-if)#clock rate 64000 //設置端口的時鐘頻率為64000

R2(config-if)#ip address 218.30.1.1 255.255.255.0 //設置端口的IP地址

R2(config-if)#exit //退出

R2(config)#interface serial 0/0/1 //進入路由器接口s0/0/1

R2(config-if)#ip address 202.96.134.2 255.255.255.0 //為路由器接口s0/0/1設置IP地址

R2(config-if)#no shu //激活s0/0/1接口

R2(config-if)#clock rate 64000 //設置接口s0/0/1的時鐘頻率

R2(config-if)#exit //退出

R2(config)#ip route 61.0.0.0 255.255.255.0 218.30.1.2 // 為路由器R2配置靜態(tài)路由

Router#config t //進入第三臺路由器的全局配置模式

Router(config)#hostname R3 //為路由器命名為R3

R3(config)#interface serial 0/0/0 //進入路由器的接口s0/0/0

R3(config-if)#no shu //激活接口s0/0/0

R3(config-if)#ip address 218.30.1.2 255.255.255.0 //為路由器接口s0/0/0設置IP地址

R3(config-if)#clock rate 64000 //設置接口的時鐘頻率為64000

R3(config-if)#exit //退出

R3(config)#interface serial 0/0/1 //進入路由器接口s0/0/1

R3(config-if)#ip address 61.0.0.1 255.255.255.0 //設置接口的IP地址

R3(config-if)#no shu //激活接口

R3(config-if)#clock rate 64000 //設置接口的時鐘頻率為64000

R3(config-if)#exit //退出

R3(config)#ip route 202.96.134.0 255.255.255.0 218.30.1.1 //為路由器R3設置靜態(tài)路由經過以上的設置，模擬的Internet網就組建起來了。

3.5.2 對路由器R1和R4進行IPSec VPN設置[5]

首先設置路由器1：

Router#config t //進入南京本部連入Internet網路由器的全局配置模式

Router(config)#hostname R1 //為路由器命名為R1

R1(config)#interface serial 0/0/1 //進入路由器的端口s0/0/1

R1(config-if)#no shu //激活路由器的s0/0/1端口

R1(config-if)#ip address 202.96.134.1 255.255.255.0 //設置端口的IP地址

R1(config-if)#exit //退出

R1(config)#interface fastEthernet 0/0 //進入路由器的接口f0/0

R1(config-if)#ip address 172.16.1.1 255.255.255.0 //為路由器的接口f0/0設置IP地址

R1(config-if)#no shu //激活路由器的f0/0端口

R1(config-if)#exit //退出

R1(config)#ip route 0.0.0.0 0.0.0.0 202.96.134.2 //為路由器R1設置默認路由

R1(config)#crypto isakmp policy 10 //創(chuàng)建一個isakmp策略，編號為10。可以有多個策略。

R1(config-isakmp)#hash md5 //配置isakmp采用什么Hash算法，可以選擇sha和md5，這里選擇md5。

R1(config-isakmp)#authentication pre-share //配置isakmp采用什么身份認證算法，這里采用預共享密碼。如果有CA服務器，也可以CA(電子證書)進行身份認證。

R1(config-isakmp)#group 5 //配置isakmp采用什么密鑰交換算法，這里采用DH group5，可以選擇1,2和5。

R1(config-isakmp)#exit //退出

R1(config)#crypto isakmp key cisco address 61.0.0.2 //配置對等體61.0.0.2的預共享密碼為cisco，雙方配置的密碼要一致才行。

R1(config)#access-list 110 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 //定義一個ACL，用來指明什么樣的流量要通過VPN加密發(fā)送，我們這里限定的是從南京本部發(fā)出到達蘇州校區(qū)的流量才進行加密，其他流量(如，到Internet)不要加密。

R1(config)#crypto ipsec transform-set TRAN esp-des esp-md5-hmac //創(chuàng)建一個IPSec轉換集，名稱為TRAN，該名稱本地有效，這里的轉換集采用ESP封裝，加密算法為AES，HASH算法為SHA。雙方路由器要有一個參數(shù)一致的轉換集。

R1(config)#crypto map MAP 10 ipsec-isakmp //創(chuàng)建加密圖，名為MAP，10為該加密圖的其中之一的編號，名稱和編號都本地有效。如果有多個編號，路由器將從小到大逐一匹配。

R1(config-crypto-map)#set peer 61.0.0.2 //指明路由器對等體為路由器R4。

R1(config-crypto-map)#set transform-set TRAN //指明采用之前已經定義的轉換集TRAN。

R1(config-crypto-map)#match address 110 //指明匹配ACL為110的定義流量就是VPN流量

R1(config-crypto-map)#exit //退出

R1(config)#interface serial 0/0/1 //進入接口 s0/0/1。

R1(config-if)#crypto map MAP //在接口上應用之前創(chuàng)建的加密圖MAP。

Router#config t //進入蘇州校區(qū)連入Internet網的路由器的全局配置模式

Router(config)#hostname R4 //為該路由器命名為R4

R4(config)#interface serial 0/0/1 //進入路由器的接口s0/0/1

R4(config-if)#ip address 61.0.0.2 255.255.255.0 //為路由器接口s0/0/1配置IP地址

R4(config-if)#no shu //激活路由器的接口s0/0/1

R4(config-if)#exit //退出

R4(config)#interface fastEthernet 0/0 //進入路由器R4的以太網口f0/0

R4(config-if)#no shu //激活以太網口

R4(config-if)#ip address 172.16.2.1 255.255.255.0 //為以太網口配置IP地址

R4(config-if)#no shu //激活以太網口

R4(config-if)#exit //退出

R4(config)#ip route 0.0.0.0 0.0.0.0 61.0.0.1 //為路由器R1設置默認路由

R4(config)#crypto isakmp policy 10 //創(chuàng)建一個isakmp策略，編號為10?？梢杂卸鄠€策略。

R4(config-isakmp)#hash md5 //配置isakmp采用什么Hash算法，可以選擇sha和md5，這里選擇md5。

R4(config-isakmp)#authentication pre-share //配置isakmp采用什么身份認證算法，這里采用預共享密碼。如果有CA服務器，也可以CA(電子證書)進行身份認證。

R4(config-isakmp)#group 5 //配置isakmp采用什么密鑰交換算法，這里采用DH group5，可以選擇1,2和5。

R4(config-isakmp)#exit //退出

R4(config)#crypto isakmp key cisco address 202.96.134.1 //配置對等體61.0.0.2的預共享密碼為cisco，雙方配置的密碼要一致才行。

R4(config)#access-list 110 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255 //定義一個ACL，用來指明什么樣的流量要通過VPN加密發(fā)送，我們這里限定的是從蘇州校區(qū)發(fā)出到達南京本部的流量才進行加密，其他流量(如，到Internet)不要加密。

R4(config)#crypto ipsec transform-set TRAN esp-des esp-md5-hmac //創(chuàng)建一個IPSec轉換集，名稱為TRAN，該名稱本地有效，這里的轉換集采用ESP封裝，加密算法為AES，HASH算法為SHA。雙方路由器要有一個參數(shù)一致的轉換集。

R4(config)#crypto map MAP 10 ipsec-isakmp //創(chuàng)建加密圖，名為MAP，10為該加密圖的其中之一的編號，名稱和編號都本地有效，如果有多個編號，路由器將從小到大逐一匹配。

R4(config-crypto-map)#set peer 202.96.134.1 //指明路由器對等體為路由器R1。

R4(config-crypto-map)#set transform-set TRAN //指明采用之前已經定義的轉換集TRAN。

R4(config-crypto-map)#match address 110 //指明匹配ACL為110的定義流量就是VPN流量

R4(config-crypto-map)#exit //退出

R4(config)#interface serial 0/0/1 //進入路由器的接口s0/0/1

R4(config-if)#crypto map MAP //在接口上應用之前創(chuàng)建的加密圖MAP。

3.6 實驗的運行與測試、實驗效果驗證

經過以上的配置過程，實驗測試結果如下：

從南京本部的PC ping蘇州校區(qū)的服務器s1結果如下：

Packet Tracer PC Command Line 1.0

PC>ping 172.16.2.3

Pinging 172.16.2.3 with 32 bytes of data:

Request timed out.

Request timed out.

Reply from 172.16.2.3: bytes=32 time=157ms TTL=126

Reply from 172.16.2.3: bytes=32 time=203ms TTL=126

從南京本部的PC ping蘇州校區(qū)的電腦PC2結果如下：

PC>ping 172.16.2.2

Pinging 172.16.2.2 with 32 bytes of data:

Request timed out.

Reply from 172.16.2.2: bytes=32 time=203ms TTL=126

Reply from 172.16.2.2: bytes=32 time=219ms TTL=126

Reply from 172.16.2.2: bytes=32 time=203ms TTL=126

以上結果表明南京本部已經和蘇州校區(qū)通信了。

結束語

利用Packet Tracer 軟件可以幫助我們仿真現(xiàn)實中的網絡工程項目，能夠完成真實網絡工程項目從分析、設計、配置、測試到運行維護等一系列的過程，在資金有限以及真實實訓環(huán)境難以組建的情況下，能夠達到很好的教學效果。

參考文獻：

[1]教育部．教育部關于全面提高高等職業(yè)教育教學質量的若干意見．[EB/OL]. http://www.moe.edu.cn/edoas/website18/23/info27723.htm．2006-11-16．

[2]王春枝，李紅，歐陽勇．計算機網絡課程實驗教學研究[J].實驗室研究與探索，2007，(12) ：350-352.

[3]唐燈平．職業(yè)技術學院校園網建設的研究[J].網絡安全知識與應用，2009，(4)：71-73.

[4]唐燈平．職業(yè)技術學院計算機網絡實驗室建設的研究[J].中國現(xiàn)代教育裝備，2008，(10)：132-134.

[5]梁廣民，王隆杰．思科網絡實驗室CCNA實驗指南[M].電子工業(yè)出版社，2009.