基于EVE平臺的傳統IPSec VPN站點到站點的實現與分析

◆李超

操作系統、網絡體系與服務器技術

基于EVE平臺的傳統IPSec VPN站點到站點的實現與分析

◆李超

（廣州松田職業學院 廣東 511370）

本文基于EVE（Emulated Virtual Environment）平臺構建傳統IPSec VPN站點到站點連接，實現密鑰的管理、認證、加密以及安全通信，通過連接測試和驗證分析，實現同一網絡點到多點之間數據在通信的過程中是加密的，提高網絡的可靠性。

EVE；IPSec；VPN

在EVE平臺的背景下，通過B/S結構，能夠更方便更有效更真實的建立IPSec VPN站點到站點的連接。在同一個網絡中，我們基于傳統的方式來實現Site1和Site2、Site3分別建立IPSec VPN。我們知道傳統的IPSec VPN是基于Crypto Map加密圖來實現站點到站點的加密通信。然而當前環境是站點Site1和站點Site2建立連接后，還需要和Site3成功建立連接。這時在不修改當前IPSec VPN網絡環境的情況下，要實現Site1和Site3的連接，此時需要我們對Crypto Map進行修改和配置，實現Site1和Site3建立連接。

我們在EVE平臺下，中間路由器模擬互聯網Internet，實現路由器Site1和Site2、Site3分別建立IPSec VPN，確保加解密通信。

圖1 IPSec VPN拓撲圖

1 配置站點到站點IPSec VPN

（1）Site1主要VPN配置

Site1（config）#crypto isakmp policy 100

Site1（config-isakmp）#hash hsa

Site1（config-isakmp）#hash md5

Site1（config-isakmp）#encryption 3des

Site1（config-isakmp）#authentication pre-share

Site1（config-isakmp）#group 2

Site1（config-isakmp）#exit

Site1（config）#crypto isakmp key cisco address 61.128.1.1

Site1（config）#crypto isakmp key cisco address 137.78.5.1

Site1（config）#crypto ipsec transform-set myset esp-3des esp-md5-hmac

Site1（cfg-crypto-trans）#mode tunnel

Site1（cfg-crypto-trans）#exit

Site1（config）#access-list 100 permit icmp host 1.1.1.1 host 2.2.2.2

Site1（config）#access-list 110 permit icmp host 1.1.1.1 host 3.3.3.3

Site1（config）#crypto map sontan 10 ipsec-isakmp

Site1（config-crypto-map）#set transform-set myset

Site1（config-crypto-map）#set peer 61.128.1.1

Site1（config-crypto-map）#match address 100

Site1（config-crypto-map）#exit

Site1（config）#crypto map sontan 20 ipsec-isakmp

Site1（config-crypto-map）#set transform-set myset

Site1（config-crypto-map）#match address 110

Site1（config-crypto-map）#set peer 137.78.5.1

Site1（config-crypto-map）#exit

Site1（config）#int e0/0

Site1（config-if）#crypto map sontan

此時路由器Site1 peer分別指向Site2和Site3，并在接口激活VPN。

（2）Site2主要VPN配置

Policy 100策略同Site1配置相同

Site2（config）#crypto isakmp key cisco address 202.100.1.1

Site2（config）#crypto ipsec transform-set myset esp-3des esp-md5-hmac

Site2（cfg-crypto-trans）#mode tunnel

Site2（cfg-crypto-trans）#exit

Site2（config）#access-list 100 permit icmp host 2.2.2.2 host 1.1.1.1

Site2（config）#crypto map sontan 10 ipsec-isakmp

Site2（config-crypto-map）#set transform-set myset

Site2（config-crypto-map）#set peer 202.100.1.1

Site2（config-crypto-map）#match address 100

Site2（config-crypto-map）#exit

Site2（config）#int e0/0

Site2（config-if）#crypto map sontan

此時路由器Site2 peer指向Site1，并在接口激活VPN。

（3）Site3主要VPN配置

Policy 100策略同Site1配置相同

Site3（config）#crypto isakmp key cisco address 202.100.1.1

Site3（config）#crypto ipsec transform-set myset esp-3des esp-md5-hmac

Site3（cfg-crypto-trans）#mode tunnel

Site3（cfg-crypto-trans）#exit

Site3（config）#access-list 110 permit icmp host 3.3.3.3 host 1.1.1.1

Site3（config）#crypto map sontan 20 ipsec-isakmp

Site3（config-crypto-map）#set transform-set myset

Site3（config-crypto-map）#match address 110

Site3（config-crypto-map）#set peer 202.100.1.1

Site3（config-crypto-map）#exit

Site3（config）#int e0/0

Site3（config-if）#crypto map sontan

此時路由器Site3 peer指向Site1，并在接口激活VPN。

2 查看IPSec VPN的連通性：

3 查看IPSec VPN連接狀態

4 查看加解密信息

此時Site1分別和Site2、Site3成功建立IPSec VPN，實現了傳統站點到站點的加密通信。