◆李超

操作系統(tǒng)、網(wǎng)絡體系與服務器技術(shù)

基于EVE平臺的傳統(tǒng)IPSec VPN站點到站點的實現(xiàn)與分析

◆李超

（廣州松田職業(yè)學院 廣東 511370）

本文基于EVE（Emulated Virtual Environment）平臺構(gòu)建傳統(tǒng)IPSec VPN站點到站點連接，實現(xiàn)密鑰的管理、認證、加密以及安全通信，通過連接測試和驗證分析，實現(xiàn)同一網(wǎng)絡點到多點之間數(shù)據(jù)在通信的過程中是加密的，提高網(wǎng)絡的可靠性。

EVE；IPSec；VPN

在EVE平臺的背景下，通過B/S結(jié)構(gòu)，能夠更方便更有效更真實的建立IPSec VPN站點到站點的連接。在同一個網(wǎng)絡中，我們基于傳統(tǒng)的方式來實現(xiàn)Site1和Site2、Site3分別建立IPSec VPN。我們知道傳統(tǒng)的IPSec VPN是基于Crypto Map加密圖來實現(xiàn)站點到站點的加密通信。然而當前環(huán)境是站點Site1和站點Site2建立連接后，還需要和Site3成功建立連接。這時在不修改當前IPSec VPN網(wǎng)絡環(huán)境的情況下，要實現(xiàn)Site1和Site3的連接，此時需要我們對Crypto Map進行修改和配置，實現(xiàn)Site1和Site3建立連接。

我們在EVE平臺下，中間路由器模擬互聯(lián)網(wǎng)Internet，實現(xiàn)路由器Site1和Site2、Site3分別建立IPSec VPN，確保加解密通信。

圖1 IPSec VPN拓撲圖

1 配置站點到站點IPSec VPN

（1）Site1主要VPN配置

Site1（config）#crypto isakmp policy 100

Site1（config-isakmp）#hash hsa

Site1（config-isakmp）#hash md5

Site1（config-isakmp）#encryption 3des

Site1（config-isakmp）#authentication pre-share

Site1（config-isakmp）#group 2

Site1（config-isakmp）#exit

Site1（config）#crypto isakmp key cisco address 61.128.1.1

Site1（config）#crypto isakmp key cisco address 137.78.5.1

Site1（config）#crypto ipsec transform-set myset esp-3des esp-md5-hmac

Site1（cfg-crypto-trans）#mode tunnel

Site1（cfg-crypto-trans）#exit

Site1（config）#access-list 100 permit icmp host 1.1.1.1 host 2.2.2.2

Site1（config）#access-list 110 permit icmp host 1.1.1.1 host 3.3.3.3

Site1（config）#crypto map sontan 10 ipsec-isakmp

Site1（config-crypto-map）#set transform-set myset

Site1（config-crypto-map）#set peer 61.128.1.1

Site1（config-crypto-map）#match address 100

Site1（config-crypto-map）#exit

Site1（config）#crypto map sontan 20 ipsec-isakmp

Site1（config-crypto-map）#set transform-set myset

Site1（config-crypto-map）#match address 110

Site1（config-crypto-map）#set peer 137.78.5.1

Site1（config-crypto-map）#exit

Site1（config）#int e0/0

Site1（config-if）#crypto map sontan

此時路由器Site1 peer分別指向Site2和Site3，并在接口激活VPN。

（2）Site2主要VPN配置

Policy 100策略同Site1配置相同

Site2（config）#crypto isakmp key cisco address 202.100.1.1

Site2（config）#crypto ipsec transform-set myset esp-3des esp-md5-hmac

Site2（cfg-crypto-trans）#mode tunnel

Site2（cfg-crypto-trans）#exit

Site2（config）#access-list 100 permit icmp host 2.2.2.2 host 1.1.1.1

Site2（config）#crypto map sontan 10 ipsec-isakmp

Site2（config-crypto-map）#set transform-set myset

Site2（config-crypto-map）#set peer 202.100.1.1

Site2（config-crypto-map）#match address 100

Site2（config-crypto-map）#exit

Site2（config）#int e0/0

Site2（config-if）#crypto map sontan

此時路由器Site2 peer指向Site1，并在接口激活VPN。

（3）Site3主要VPN配置

Policy 100策略同Site1配置相同

Site3（config）#crypto isakmp key cisco address 202.100.1.1

Site3（config）#crypto ipsec transform-set myset esp-3des esp-md5-hmac

Site3（cfg-crypto-trans）#mode tunnel

Site3（cfg-crypto-trans）#exit

Site3（config）#access-list 110 permit icmp host 3.3.3.3 host 1.1.1.1

Site3（config）#crypto map sontan 20 ipsec-isakmp

Site3（config-crypto-map）#set transform-set myset

Site3（config-crypto-map）#match address 110

Site3（config-crypto-map）#set peer 202.100.1.1

Site3（config-crypto-map）#exit

Site3（config）#int e0/0

Site3（config-if）#crypto map sontan

此時路由器Site3 peer指向Site1，并在接口激活VPN。

2 查看IPSec VPN的連通性：

3 查看IPSec VPN連接狀態(tài)

4 查看加解密信息

此時Site1分別和Site2、Site3成功建立IPSec VPN，實現(xiàn)了傳統(tǒng)站點到站點的加密通信。