◆李超

操作系統(tǒng)、網(wǎng)絡(luò)體系與服務(wù)器技術(shù)

基于EVE平臺(tái)的傳統(tǒng)IPSec VPN站點(diǎn)到站點(diǎn)的實(shí)現(xiàn)與分析

◆李超

（廣州松田職業(yè)學(xué)院 廣東 511370）

本文基于EVE（Emulated Virtual Environment）平臺(tái)構(gòu)建傳統(tǒng)IPSec VPN站點(diǎn)到站點(diǎn)連接，實(shí)現(xiàn)密鑰的管理、認(rèn)證、加密以及安全通信，通過連接測試和驗(yàn)證分析，實(shí)現(xiàn)同一網(wǎng)絡(luò)點(diǎn)到多點(diǎn)之間數(shù)據(jù)在通信的過程中是加密的，提高網(wǎng)絡(luò)的可靠性。

EVE；IPSec；VPN

在EVE平臺(tái)的背景下，通過B/S結(jié)構(gòu)，能夠更方便更有效更真實(shí)的建立IPSec VPN站點(diǎn)到站點(diǎn)的連接。在同一個(gè)網(wǎng)絡(luò)中，我們基于傳統(tǒng)的方式來實(shí)現(xiàn)Site1和Site2、Site3分別建立IPSec VPN。我們知道傳統(tǒng)的IPSec VPN是基于Crypto Map加密圖來實(shí)現(xiàn)站點(diǎn)到站點(diǎn)的加密通信。然而當(dāng)前環(huán)境是站點(diǎn)Site1和站點(diǎn)Site2建立連接后，還需要和Site3成功建立連接。這時(shí)在不修改當(dāng)前IPSec VPN網(wǎng)絡(luò)環(huán)境的情況下，要實(shí)現(xiàn)Site1和Site3的連接，此時(shí)需要我們對Crypto Map進(jìn)行修改和配置，實(shí)現(xiàn)Site1和Site3建立連接。

我們在EVE平臺(tái)下，中間路由器模擬互聯(lián)網(wǎng)Internet，實(shí)現(xiàn)路由器Site1和Site2、Site3分別建立IPSec VPN，確保加解密通信。

圖1 IPSec VPN拓?fù)鋱D

1 配置站點(diǎn)到站點(diǎn)IPSec VPN

（1）Site1主要VPN配置

Site1（config）#crypto isakmp policy 100

Site1（config-isakmp）#hash hsa

Site1（config-isakmp）#hash md5

Site1（config-isakmp）#encryption 3des

Site1（config-isakmp）#authentication pre-share

Site1（config-isakmp）#group 2

Site1（config-isakmp）#exit

Site1（config）#crypto isakmp key cisco address 61.128.1.1

Site1（config）#crypto isakmp key cisco address 137.78.5.1

Site1（config）#crypto ipsec transform-set myset esp-3des esp-md5-hmac

Site1（cfg-crypto-trans）#mode tunnel

Site1（cfg-crypto-trans）#exit

Site1（config）#access-list 100 permit icmp host 1.1.1.1 host 2.2.2.2

Site1（config）#access-list 110 permit icmp host 1.1.1.1 host 3.3.3.3

Site1（config）#crypto map sontan 10 ipsec-isakmp

Site1（config-crypto-map）#set transform-set myset

Site1（config-crypto-map）#set peer 61.128.1.1

Site1（config-crypto-map）#match address 100

Site1（config-crypto-map）#exit

Site1（config）#crypto map sontan 20 ipsec-isakmp

Site1（config-crypto-map）#set transform-set myset

Site1（config-crypto-map）#match address 110

Site1（config-crypto-map）#set peer 137.78.5.1

Site1（config-crypto-map）#exit

Site1（config）#int e0/0

Site1（config-if）#crypto map sontan

此時(shí)路由器Site1 peer分別指向Site2和Site3，并在接口激活VPN。

（2）Site2主要VPN配置

Policy 100策略同Site1配置相同

Site2（config）#crypto isakmp key cisco address 202.100.1.1

Site2（config）#crypto ipsec transform-set myset esp-3des esp-md5-hmac

Site2（cfg-crypto-trans）#mode tunnel

Site2（cfg-crypto-trans）#exit

Site2（config）#access-list 100 permit icmp host 2.2.2.2 host 1.1.1.1

Site2（config）#crypto map sontan 10 ipsec-isakmp

Site2（config-crypto-map）#set transform-set myset

Site2（config-crypto-map）#set peer 202.100.1.1

Site2（config-crypto-map）#match address 100

Site2（config-crypto-map）#exit

Site2（config）#int e0/0

Site2（config-if）#crypto map sontan

此時(shí)路由器Site2 peer指向Site1，并在接口激活VPN。

（3）Site3主要VPN配置

Policy 100策略同Site1配置相同

Site3（config）#crypto isakmp key cisco address 202.100.1.1

Site3（config）#crypto ipsec transform-set myset esp-3des esp-md5-hmac

Site3（cfg-crypto-trans）#mode tunnel

Site3（cfg-crypto-trans）#exit

Site3（config）#access-list 110 permit icmp host 3.3.3.3 host 1.1.1.1

Site3（config）#crypto map sontan 20 ipsec-isakmp

Site3（config-crypto-map）#set transform-set myset

Site3（config-crypto-map）#match address 110

Site3（config-crypto-map）#set peer 202.100.1.1

Site3（config-crypto-map）#exit

Site3（config）#int e0/0

Site3（config-if）#crypto map sontan

此時(shí)路由器Site3 peer指向Site1，并在接口激活VPN。

2 查看IPSec VPN的連通性：

3 查看IPSec VPN連接狀態(tài)

4 查看加解密信息

此時(shí)Site1分別和Site2、Site3成功建立IPSec VPN，實(shí)現(xiàn)了傳統(tǒng)站點(diǎn)到站點(diǎn)的加密通信。