基于eNSP的IPSec VPN場景教學設計
——分支使用VRRP虛地址與總部建立IPSec VPN

蔡小丹，梅香香

(南通理工學院 計算機與信息工程學院，江蘇 南通 226000)

0 引言

在Internet的傳輸中，絕大部分數據都是明文傳輸的，這樣就會存在很多潛在的危險，比如：密碼、賬戶的信息被竊取、篡改，用戶的身份被冒充，遭受網絡惡意攻擊等[1]。網絡中部署IPSec后，可對傳輸的數據進行保護處理，降低信息泄露的風險。

1 IPSec原理

IPSec通過在IPSec對等體間建立雙向安全聯盟形成一個安全互通的IPSec隧道，并通過定義IPSec保護的數據流將要保護的數據引入該IPSec隧道，然后對流經IPSec隧道的數據通過安全協議進行加密和驗證，進而實現在Internet上安全傳輸指定的數據[2]。

2 VRRP介紹

虛擬路由冗余協議VRRP通過把幾臺設備聯合組成一臺虛擬的路由設備，將虛擬設備的IP地址作為用戶的默認網關實現與外部網絡通信。當網關設備發生故障時，VRRP機制能夠選擇新的網關設備承擔數據流量，從而保障網絡的可靠通信[3]。

3 鏈路冗余方案

為提高網絡可靠性，企業分支一般通過兩條或多條鏈路與企業總部建立IPSec連接，如何在一條鏈路故障后將流量及時切換到其他鏈路，以保證業務的正常運行就成為需要解決的問題。一般有IPSec主備鏈路冗余備份和IPSec多鏈路冗余備份兩種方案。本研究僅對第一種方案做介紹，如圖1所示。

圖1 主備鏈路備份冗余

Router_C通過主備兩條鏈路連接Router_D，這樣可以創建主備兩條IPSec隧道。正常情況下，流量通過由主鏈路和Tunnel1接口建立的IPSec隧道傳輸；當主鏈路故障時，Router_C感知變化，采用Tunnel2接口與Router_D的備份鏈路建立IPSec隧道，舊的IPSec隧道被拆除，流量切換也隨之完成。

4 實驗教學設計

本研究結合VRRP機制設計如圖1所示的拓撲進行實驗，該拓撲結構圖用于模擬企業總部與分支結構之間通過公網互聯，總部部署VRRP，分支使用VRRP虛地址與總部建立IPSec VPN。

網絡基本參數規劃：RouterA、RouterB、RouterC都連接在一臺交換機上，RouterA和RouterB組VRRP，虛地址是1.0.2.128，RouterA作為VRRP Master，RouterB作為Backup，RouterC和VRRP虛地址之間建立基于IKE的IPSec。

主要配置指令：完成網絡規劃之后，就可以分別在總部網關RouterA、RouterB以及分支網關RouterC上配置IPSec VPN，該部分的配置命令相似度很高，因此僅給出Router A的部分主要配置命令。主要指令配置如下：

#

acl number 3000

rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

ipsec proposal def

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-192

ike proposal 5

encryption-algorithm aes-cbc-128

dh group14

ike peer branch v1

pre-shared-key cipher test123

ike-proposal 5

local-address 1.0.2.128

remote-address 1.0.1.254

ipsec policy branch 1 isakmp

security acl 3000

ike-peer branch

proposal def

interface GigabitEthernet0/0/0

ip address 1.0.2.1 255.255.255.0

vrrp vrid 1 virtual-ip 1.0.2.128 //配置vrrp主接口

ipsec policy branch

#

5 實驗驗證及分析

在RouterA、RouterB或者RouterC上執行命令display ike sa可以查看到安全聯盟的相關信息(見圖2)。

圖2 安全聯盟SA信息

在RouterA或者RouterB上執行命令display vrrp brief命令，可以看到VRRP的相關狀態信息，如圖3所示。

圖3 VRRP建立狀態信息