基于PacketTracer5.3下实现IPsecVPN

开篇：润墨网以专业的文秘视角，为您筛选了一篇基于PacketTracer5.3下实现IPsecVPN范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘 要：本文利用packet tracer5.3模拟器模拟公司总部与分部实现IPsec VPN，达到两台电脑通过私有地址互相通信。

关键词：packet tracer；IPsec VPN

中图分类号：TP393 文献标识码：A 文章编号：1674-7712 （2013） 04-0053-01

一、packet tracer介绍

Packet Tracer是由Cisco公司的一个辅助学习工具，为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在网络中行进的详细处理过程，观察网络实时运行情况。可以学习IOS的配置、锻炼故障排查能力。软件还附带4个学期的多个已经建立好的演示环境、任务挑战，该软件仿真度很高，受到业内的极高评价。[1]

二、VPN协议的分类

（一）PPTP（点到点隧道协议）。它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE（通用路由封装）将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。

（二）L2TP协议：L2TP是PPTP与L2F（第二层转发）的一种综合，它是由思科公司所推出的一种技术。此协议基于微软的点对点隧道协议（PPTP）和思科2层转发协议（L2F）之上，这种虚拟私有网络可以被因特网服务提供商和公司通过因特网使用。

（三）IPSec协议：是一个标准的第三层安全协议。IPSec的主要特征在于它可以对所有IP级的通信进行加密。过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击。在通信中，只有发送方和接收方才是唯一必须了解IPSec保护的计算机。在Windows 2000、Windows XP和Windows Server 2003家族中，IPSec提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet以及漫游客户端之间的通信。

三、网络拓扑图及IP地址分配与配置验证

（一）本案例有三个路由器，一个总部的，一个分部的，还有一个模拟公网，IP地址规划为：

公网路由FastEthernet0/0：201.1.1.1/30，FastEthernet0/1 202.1.1.1；

总部路由FastEthernet0/0 192.168.10.1/2，FastEthernet0/1 201.1.1.2/30；

分部路由FastEthernet0/1 202.1.1.2/3，FastEthernet0/0 192.168.20.1/24。电脑Serve：192.168.10.254/24；电脑PC：192.168.20.254/24.

（二）拓扑图：

分部路由器如总部路由器一样配置，只是在对端IP做一下对应的改变。

（四）连通性测试。最终，PC和serve能相互Ping通。在Ping的过程中，会丢掉几个包，因为在建立IPSec VPN的协商会有一小段时间。用全局模式下输入命令show crypto isakmp sa和show crypto ipsec sa能看到IPSec VPN协商好的内容状态。

四、IPSec vpn存在的问题

IPSec基于端对端的安全模式，在源IP和目标IP地址之间建立信任和安全性。考虑认为IP地址本身没有必要具有标识，但IP地址后面的系统必须有一个通过身份验证程序验证过的标识。只有发送和接收的计算机需要知道通讯是安全的。每台计算机都假定进行通讯的媒体不安全，因此在各自的终端上实施安全设置。除非两台计算机之间正在进行防火墙类型的数据包筛选或网络地址转换，否则仅从源向目标路由数据的计算机不要求支持IPSec。

五、结束语

本实验利用Packet Tracer真实地模拟IPsec vpn的场景，使得学生对vpn的原理和实践以及网络协议的应用有一个更深入的、更全面的认识。

参考文献

[1]黄筱燕，肖媛娥.Packet Tracer在计算机网络教学中的应用研究[J].网络与信息，2009，2：10-19.