基于eNSP的IPSec雙鏈路備份仿真實驗

王獻宏，魏雁天

摘要：VPN成為總公司和分公司安全通信的首要選擇，為提高傳輸的可靠性，總公司采用雙出口連接互聯網，一條鏈路作為主鏈路提供VPN的通信，另一條鏈路作為備份，主鏈路出故障時，自動切換到備份鏈路，用eNSP仿真環境模擬雙鏈路備份，主備鏈路能夠切換，實現可靠通信，為真實網絡環境配置提供可靠的參考。

關鍵詞：VPN;eNSP;鏈路備份

中圖分類號：TP311? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）21-0051-02

開放科學（資源服務）標識碼（OSID）：

互聯網的IP數據傳輸多采用明文傳輸，對于總公司和分公司的通信造成安全威脅，使用專線可以保證數據的安全，但專線的高昂使用成本一般企業難以承受，采用IPSec、VPN技術可以解決企業的困境，隨著公司的壯大和業務的發展，總公司網絡的出口帶寬的壓力逐漸增大，網絡一旦出現故障，分公司和總公司的業務流將出現中斷，給公司造成損失，為避免此情況出現，總公司需要在出口增加一條鏈路，既可以提高帶寬，又可以保證鏈路的可靠性。

1 IPSec技術

IPSec提供的服務是數據的保密性、完整性，防重放攻擊的保護，這些服務建立在對稱密鑰密碼學之上。

1.1 加密和驗證

增加兩個IP擴展頭部，AH（驗證頭）和ESP（封裝安全載荷），AH檢查完整性，不支持加密，ESP處理保密性，也可以檢查完整性，使用的加密算法DES、3DES、AES對數據的來源進行驗證的驗證算法有SHA和 MD5。

1.2 安全封裝

隧道模式，原始IP報文生成一個新的報文首部，ESP或AH插到新的報文首部和IP頭部之間，新的報文首部地址是公網IP地址，隱藏內部的IP地址信息，當前常用的隧道模式。

傳輸模式，原始IP首部和傳輸層之間插入ESP或AH，只能保護發出的信息，不能保護網絡的消息，僅適用于二臺主機之間通信。

1.3 安全聯盟

IPSec雙方通信建立的連接稱為安全聯盟SA，使用相同的加密算法、加密密鑰，驗證密鑰、驗證算法、封裝模式，通信雙方建立雙向的SA[1]。

2仿真實驗

2.1 仿真平臺

仿真平臺采用華為eNSP，總公司和分公司采用防火墻USG5500連接互聯網。

2.2 實驗拓撲

2.3 主要配置

總公司防火墻主要配置如下：

配置ip-link，監控主鏈路的狀態是否正常

[master]ip-link check enable? ? ?//使能ip-link

[Master]ip-link 1 destination 3.3.3.1 interface g0/0/1 mode icmp next-hop 1.1.1.2 //監控主鏈路

路由配置

[Master]ip route-static 192.168.1.0 24 1.1.1.2 preference 20 track ip-link 1? //配置到分公司的路由，G0/0/1為主鏈路

[Master]ip route-static 192.168.1.0 24 2.2.2.2 preference 30? ? ? //配置到分公司的路由，G0/0/2為備用鏈路

[Master]ip route-static 0.0.0.0 0 1.1.1.2 preference 20 track ip-link 1? ?//配置默認路由，G0/0/1為主鏈路

[Master]ip route-static 0.0.0.0 0 2.2.2.2 preference 30 //配置默認路由，G0/0/2為備用鏈路

配置保護的流量

定義二個ACL，配置規則相同

[Master]acl 3100

[Master-acl-adv-3100]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

[Master-acl-adv-3100]acl 3200

[Master-acl-adv-3200]rule permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

配置IPSec安全提議

[Master]ipsec proposal pro1

[Master-ipsec-proposal-pro1]encapsulation-mode tunnel

[Master-ipsec-proposal-pro1]transform esp

[Master-ipsec-proposal-pro1]esp authentication-algorithm sha1

[Master-ipsec-proposal-pro1]esp encryption-algorithm aes

配置IKE安全提議

[Master]ike proposal 20

[Master-ike-proposal-20]authentication-method pre-share