王獻宏

摘要：VPN（虛擬專用網(wǎng)）技術可以通過互聯(lián)網(wǎng)對企業(yè)總部和分支機構的業(yè)務流量進行安全保護，該文采用eNSP搭建了點對點VPN項目環(huán)境，通過配置和測試過程，讓學生直觀看到實驗結果，增強學生對IPSec原理的理解和實踐操作能力

企業(yè)組網(wǎng)需求：

關鍵詞：VPN;IPSec;eNSP

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）19-0054-02

開放科學（資源服務）標識碼（OSID）：

互聯(lián)網(wǎng)是個開放的平臺，為每個用戶提供網(wǎng)絡服務，企業(yè)經營中有些數(shù)據(jù)涉及商業(yè)機密，直接通過互聯(lián)網(wǎng)傳輸會給企業(yè)造成重大安全隱患，建立專用網(wǎng)絡成本太高，通過VPN技術利用互聯(lián)網(wǎng)來保障數(shù)據(jù)的安全成為可行方案，本文采用eNSP仿真軟件實現(xiàn)IPSec點對點的VPN。

1 相關技術分析

1.1 IPSec

互聯(lián)網(wǎng)安全協(xié)議（Internet Protocol Security）是一個協(xié)議族，主要協(xié)議有認證頭（AH），封閉安全載荷（ESP）和安全關聯(lián)（SA）。

1.2 NAT

網(wǎng)絡地址轉換（NAT）解決了IPv4地址的匱乏問題，內部網(wǎng)絡使用私用地址，使用少量的公有地址，經過NAT轉換后，實現(xiàn)對互聯(lián)網(wǎng)的訪問。

2 項目設計和實施

2.1 網(wǎng)絡需求

如圖1所示，總部VLAN10和分支機構VLAN30傳輸?shù)臉I(yè)務流量需要加密傳輸，不能訪問互聯(lián)網(wǎng)，辦公網(wǎng)絡可以訪問互聯(lián)網(wǎng)。

采用IPSec點對點的VPN技術，實現(xiàn)總部和分支機構的流量加密傳輸，使用NAT轉換實現(xiàn)辦公網(wǎng)絡訪問互聯(lián)網(wǎng)的需求。

2.2 IP地址規(guī)劃

[設備 接口 IP地址 子網(wǎng)掩碼 默認網(wǎng)關 備注 AR1 G0/0/0 10.0.0.1 255.255.255.252 總部 G0/0/1 1.1.1.1 255.255.255.252 LSW1 VLANIF10 10.10.0.1 255.255.255.0 業(yè)務網(wǎng)絡 VLANIF20 10.20.0.1 255.255.255.0 辦公網(wǎng)絡 VLANIF 100 10.0.0.2 255.255.255.252 AR2 G0/0/0 1172.16.0.1 255.255.255.252 分支機構 G0/0/1 2.2.2.2 255.255.255.252. LSW2 VLANIF30 172.16.30.1 255.255.255.0 業(yè)務網(wǎng)絡 VLANIF40 172.16.40.1 255.255.255.0 辦公網(wǎng)絡 VLANIF 100 172.16.0.2 255.255.255.252 ISP G0/0/0 1.1.1.2 255.255.255.252 G0/0/1 2.2.2.1 255.255.255.252 G0/0/2 3.3.3.1 255.255.255.252 PC1 NIC 10.10.0.254 255.255.255.0 10.10.0.1 PC2 NIC 10.20.0.254 255.255.255.0 10.20.0.1 PC1 NIC 1172.16.30.254 255.255.255.0 172.16.30.1 PC1 NIC 172.16.40.254 255.255.255.0 172.16.40.1 Server1 NIC 3.3.3.2 255.255.255.252 3.3.3.1 ]

2.3網(wǎng)絡配置

2.3.1 配置PAT

3 測試

3.1 查看安全提議相關信息

3.2 測試PC機之間的通信

4 總結

使用eNSP搭建實驗環(huán)境。配置測試網(wǎng)絡，可以讓學生擺脫物理設備的限制，只要能達到仿真軟件參數(shù)要求的電腦，學生就可以隨時隨地做實驗項目，鍛煉了動手能力，提高了學習效率。

參考文獻：

[1] Behrouz A.Forouzan.TCP/IP協(xié)議族[M].清華大學出版社，2011：630.

【通聯(lián)編輯：代影】