APP下载

基于EVE平台的传统IPSec VPN站点到站点的实现与分析

2020-11-14李超

网络安全技术与应用 2020年11期
关键词:加解密李超指向

◆李超

操作系统、网络体系与服务器技术

基于EVE平台的传统IPSec VPN站点到站点的实现与分析

◆李超

(广州松田职业学院 广东 511370)

本文基于EVE(Emulated Virtual Environment)平台构建传统IPSec VPN站点到站点连接,实现密钥的管理、认证、加密以及安全通信,通过连接测试和验证分析,实现同一网络点到多点之间数据在通信的过程中是加密的,提高网络的可靠性。

EVE;IPSec;VPN

在EVE平台的背景下,通过B/S结构,能够更方便更有效更真实的建立IPSec VPN站点到站点的连接。在同一个网络中,我们基于传统的方式来实现Site1和Site2、Site3分别建立IPSec VPN。我们知道传统的IPSec VPN是基于Crypto Map加密图来实现站点到站点的加密通信。然而当前环境是站点Site1和站点Site2建立连接后,还需要和Site3成功建立连接。这时在不修改当前IPSec VPN网络环境的情况下,要实现Site1和Site3的连接,此时需要我们对Crypto Map进行修改和配置,实现Site1和Site3建立连接。

我们在EVE平台下,中间路由器模拟互联网Internet,实现路由器Site1和Site2、Site3分别建立IPSec VPN,确保加解密通信。

图1 IPSec VPN拓扑图

1 配置站点到站点IPSec VPN

(1)Site1主要VPN配置

Site1(config)#crypto isakmp policy 100

Site1(config-isakmp)#hash hsa

Site1(config-isakmp)#hash md5

Site1(config-isakmp)#encryption 3des

Site1(config-isakmp)#authentication pre-share

Site1(config-isakmp)#group 2

Site1(config-isakmp)#exit

Site1(config)#crypto isakmp key cisco address 61.128.1.1

Site1(config)#crypto isakmp key cisco address 137.78.5.1

Site1(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac

Site1(cfg-crypto-trans)#mode tunnel

Site1(cfg-crypto-trans)#exit

Site1(config)#access-list 100 permit icmp host 1.1.1.1 host 2.2.2.2

Site1(config)#access-list 110 permit icmp host 1.1.1.1 host 3.3.3.3

Site1(config)#crypto map sontan 10 ipsec-isakmp

Site1(config-crypto-map)#set transform-set myset

Site1(config-crypto-map)#set peer 61.128.1.1

Site1(config-crypto-map)#match address 100

Site1(config-crypto-map)#exit

Site1(config)#crypto map sontan 20 ipsec-isakmp

Site1(config-crypto-map)#set transform-set myset

Site1(config-crypto-map)#match address 110

Site1(config-crypto-map)#set peer 137.78.5.1

Site1(config-crypto-map)#exit

Site1(config)#int e0/0

Site1(config-if)#crypto map sontan

此时路由器Site1 peer分别指向Site2和Site3,并在接口激活VPN。

(2)Site2主要VPN配置

Policy 100策略同Site1配置相同

Site2(config)#crypto isakmp key cisco address 202.100.1.1

Site2(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac

Site2(cfg-crypto-trans)#mode tunnel

Site2(cfg-crypto-trans)#exit

Site2(config)#access-list 100 permit icmp host 2.2.2.2 host 1.1.1.1

Site2(config)#crypto map sontan 10 ipsec-isakmp

Site2(config-crypto-map)#set transform-set myset

Site2(config-crypto-map)#set peer 202.100.1.1

Site2(config-crypto-map)#match address 100

Site2(config-crypto-map)#exit

Site2(config)#int e0/0

Site2(config-if)#crypto map sontan

此时路由器Site2 peer指向Site1,并在接口激活VPN。

(3)Site3主要VPN配置

Policy 100策略同Site1配置相同

Site3(config)#crypto isakmp key cisco address 202.100.1.1

Site3(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac

Site3(cfg-crypto-trans)#mode tunnel

Site3(cfg-crypto-trans)#exit

Site3(config)#access-list 110 permit icmp host 3.3.3.3 host 1.1.1.1

Site3(config)#crypto map sontan 20 ipsec-isakmp

Site3(config-crypto-map)#set transform-set myset

Site3(config-crypto-map)#match address 110

Site3(config-crypto-map)#set peer 202.100.1.1

Site3(config-crypto-map)#exit

Site3(config)#int e0/0

Site3(config-if)#crypto map sontan

此时路由器Site3 peer指向Site1,并在接口激活VPN。

2 查看IPSec VPN的连通性:

3 查看IPSec VPN连接状态

4 查看加解密信息

此时Site1分别和Site2、Site3成功建立IPSec VPN,实现了传统站点到站点的加密通信。

展开全文▼
展开全文▼

猜你喜欢

加解密李超指向
Increasing the·OH radical concentration synergistically with plasma electrolysis and ultrasound in aqueous DMSO solution
科学备考新指向——不等式选讲篇
Angular control of multi-mode resonance frequencies in obliquely deposited CoZr thin films with rotatable stripe domains∗
把准方向盘 握紧指向灯 走好创新路
电子取证中常见数据加解密理论与方法研究
基于FPGA的LFSR异步加解密系统
李超代数的拟理想
网络数据传输的加解密系统研究
李超三系的形心及其性质
基于ANDROID的SMS加密设计与实现