◆李超

操作系统、网络体系与服务器技术

基于EVE平台的传统IPSec VPN站点到站点的实现与分析

◆李超

（广州松田职业学院 广东 511370）

本文基于EVE（Emulated Virtual Environment）平台构建传统IPSec VPN站点到站点连接，实现密钥的管理、认证、加密以及安全通信，通过连接测试和验证分析，实现同一网络点到多点之间数据在通信的过程中是加密的，提高网络的可靠性。

EVE；IPSec；VPN

在EVE平台的背景下，通过B/S结构，能够更方便更有效更真实的建立IPSec VPN站点到站点的连接。在同一个网络中，我们基于传统的方式来实现Site1和Site2、Site3分别建立IPSec VPN。我们知道传统的IPSec VPN是基于Crypto Map加密图来实现站点到站点的加密通信。然而当前环境是站点Site1和站点Site2建立连接后，还需要和Site3成功建立连接。这时在不修改当前IPSec VPN网络环境的情况下，要实现Site1和Site3的连接，此时需要我们对Crypto Map进行修改和配置，实现Site1和Site3建立连接。

我们在EVE平台下，中间路由器模拟互联网Internet，实现路由器Site1和Site2、Site3分别建立IPSec VPN，确保加解密通信。

图1 IPSec VPN拓扑图

1 配置站点到站点IPSec VPN

（1）Site1主要VPN配置

Site1（config）#crypto isakmp policy 100

Site1（config-isakmp）#hash hsa

Site1（config-isakmp）#hash md5

Site1（config-isakmp）#encryption 3des

Site1（config-isakmp）#authentication pre-share

Site1（config-isakmp）#group 2

Site1（config-isakmp）#exit

Site1（config）#crypto isakmp key cisco address 61.128.1.1

Site1（config）#crypto isakmp key cisco address 137.78.5.1

Site1（config）#crypto ipsec transform-set myset esp-3des esp-md5-hmac

Site1（cfg-crypto-trans）#mode tunnel

Site1（cfg-crypto-trans）#exit

Site1（config）#access-list 100 permit icmp host 1.1.1.1 host 2.2.2.2

Site1（config）#access-list 110 permit icmp host 1.1.1.1 host 3.3.3.3

Site1（config）#crypto map sontan 10 ipsec-isakmp

Site1（config-crypto-map）#set transform-set myset

Site1（config-crypto-map）#set peer 61.128.1.1

Site1（config-crypto-map）#match address 100

Site1（config-crypto-map）#exit

Site1（config）#crypto map sontan 20 ipsec-isakmp

Site1（config-crypto-map）#set transform-set myset

Site1（config-crypto-map）#match address 110

Site1（config-crypto-map）#set peer 137.78.5.1

Site1（config-crypto-map）#exit

Site1（config）#int e0/0

Site1（config-if）#crypto map sontan

此时路由器Site1 peer分别指向Site2和Site3，并在接口激活VPN。

（2）Site2主要VPN配置

Policy 100策略同Site1配置相同

Site2（config）#crypto isakmp key cisco address 202.100.1.1

Site2（config）#crypto ipsec transform-set myset esp-3des esp-md5-hmac

Site2（cfg-crypto-trans）#mode tunnel

Site2（cfg-crypto-trans）#exit

Site2（config）#access-list 100 permit icmp host 2.2.2.2 host 1.1.1.1

Site2（config）#crypto map sontan 10 ipsec-isakmp

Site2（config-crypto-map）#set transform-set myset

Site2（config-crypto-map）#set peer 202.100.1.1

Site2（config-crypto-map）#match address 100

Site2（config-crypto-map）#exit

Site2（config）#int e0/0

Site2（config-if）#crypto map sontan

此时路由器Site2 peer指向Site1，并在接口激活VPN。

（3）Site3主要VPN配置

Policy 100策略同Site1配置相同

Site3（config）#crypto isakmp key cisco address 202.100.1.1

Site3（config）#crypto ipsec transform-set myset esp-3des esp-md5-hmac

Site3（cfg-crypto-trans）#mode tunnel

Site3（cfg-crypto-trans）#exit

Site3（config）#access-list 110 permit icmp host 3.3.3.3 host 1.1.1.1

Site3（config）#crypto map sontan 20 ipsec-isakmp

Site3（config-crypto-map）#set transform-set myset

Site3（config-crypto-map）#match address 110

Site3（config-crypto-map）#set peer 202.100.1.1

Site3（config-crypto-map）#exit

Site3（config）#int e0/0

Site3（config-if）#crypto map sontan

此时路由器Site3 peer指向Site1，并在接口激活VPN。

2 查看IPSec VPN的连通性：

3 查看IPSec VPN连接状态

4 查看加解密信息

此时Site1分别和Site2、Site3成功建立IPSec VPN，实现了传统站点到站点的加密通信。