如何使用HCL与EVE模拟器-模拟H3C与CISCO设备使用IPsec VPN互通?
实验前提:实验计算机需安装H3C HCL模拟器及思科EVE模拟器
1、 配置HCL与本地网卡桥接
H3C的HCL相对于思科EVE模拟器桥接本地网卡相对简单。
1.1 首先运行HCL,并如下图所示添加一台本地主机。
HCL模拟器添加用于桥接本地网卡主机
1.2 如下图所示再添加一台路由器作为与EVE互联的设备,并与新添加的主机"Host_1"进行连线,连线时在"Host_1"处选择本地桥接的网卡。
HCL模拟器添加用于桥接本地网卡主机
2、 配置EVE与本地网卡桥接
2.1 如下图,首先运行VMware中的EVE,并在VMware中为EVE虚拟机添加一个网卡用于本地桥接。
配置VMware中的EVE模拟器系统
2.2 查看EVE中新建网卡情况
查看网卡情况
发现新添加网卡为eth1。
2.3 在EVE的WEB管理界面下,右键选择添加一个"Network"。
添加EVE模拟器中的“Network”用于桥接本地网卡
2.4 添加"Network"的属性为下图。
设置“Network”属性
2.5 如下图所示再添加一台路由器作为与HCL互联的设备,并与新添加的"Cloud1"进行连线。
连线
3、 互联互通测试
3.1 在HCL中为H3C路由器接口配置IP地址为1.1.1.1/24。
H3C设备IP地址配置
3.2在EVE中为思科路由器接口配置IP地址为1.1.1.2/24。
思科设备IP地址配置
3.3在思科路由器上ping H3C路由器接口地址1.1.1.1,发现H3C路由器与思科路由器已经通过本地网卡桥接互通。
使用ping命令测试互通性
4、 实验拓扑及地址规划
实验拓扑
IP地址规划
配置接口IP地址及设备路由,保证H-R1的G0/1接口(12.1.1.2)与C-R1的G0/1接口(21.1.1.2)互通,H-PC1与C-PC1不通,在H-R1与C-R1之间建立IPsec VPN隧道使H-PC1(192.168.10.100)与C-PC1(192.168.10.200)互通。
H3C模拟器HCL侧设备拓扑
HCL侧设备拓扑,均已桥接本地网卡
CISCO模拟器EVE侧设备拓扑
EVE侧设备拓扑,均已桥接本地网卡
5、 H3C侧IPSec VPN配置(H-R1)
H3C IPSec VPN配置分为六步:
第一步:创建IKE策略,配置IKE SA协商参数。
第二步:配置IKE SA协商使用的预共享密钥及对端加密点地址,当然使用证书也可以。
第三步:创建数据加密集,即IPSec SA所使用的数据传输时加密的参数及传输模式。
第四步:创建感兴趣数据流,指定哪些数据流量使用IPSec VPN进行加密传输。
第五步:创建MAP,1、配置对端加密点的地址(关联预共享密钥),2、调用数据加密集,3、调用感兴趣数据流。
第六步:接口调用IPSec VPN的MAP即可。
具体配置如下:第一步:创建IKE策略
ike proposal 10 //建立IKE策略集//
authentication-algorithm sha //配置散列算法为SHA//
authentication-method pre-share //配置认证方式为预共享密钥//
encryption-algorithm 3des-cbc //配置加密方式为3DES//
dh group2 //配置密钥组交换为2//
sa duration 86400 //配置IKE SA密钥超时时间//
第二步:配置IKE SA协商使用的预共享密钥及对端加密点地址
ike keychain key //创建ike密码串//
pre-shared-key address 21.1.1.2 255.255.255.255 key simple h3ccisco
//配置密钥为和h3ccisco,对端加密点为 12.1.1.2//
第三步:创建数据加密集
ipsec transform-set h3ctran //创建转换集//
encapsulation-mode tunnel //配置使用隧道模式//
esp encryption-algorithm des-cbc //配置数据加密使用esp封装,des加密//
esp authentication-algorithm md5 //配置数据加密使用esp封装,md5校验//
第四步:创建感兴趣数据流
acl advanced 3000
rule 0 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
//配置感兴趣数据流为本端通信点地址到远端通信点地址//
第五步:创建MAP
ipsec policy h3cmap 1 isakmp //创建IPSec MAP//
transform-set h3ctran //调用数据加密集//
security acl 3000 //调用感兴趣数据流//
local-address 12.1.1.2 //配置本地加密点IP地址//
remote-address 21.1.1.2 //配置远端加密点IP地址//
第六步:接口调用MAP
interface GigabitEthernet0/1 //进入加密点接口//
ipsec apply policy h3cmap //接口调用MAP//
6、 CISCO侧IPSec VPN配置(C-R1)
CISCO IPSec VPN配置分为六步:
第一步:创建IKE策略,配置IKE SA协商参数。
第二步:配置IKE SA协商使用的预共享密钥及对端加密点地址,当然使用证书也可以。
第三步:创建数据加密集,即IPSec SA所使用的数据传输时加密的参数及传输模式。
第四步:创建感兴趣数据流,指定哪些数据流量使用IPSec VPN进行加密传输。
第五步:创建MAP,1、调用对端加密点的地址(关联预共享密钥),2、调用数据加密集,3、调用感兴趣数据流。
第六步:接口调用IPSec VPN的MAP即可。
具体配置如下:第一步:创建IKE策略
crypto isakmp policy 10 //建立IKE策略集//
encr 3des //配置加密方式为3DES//
hash sha //配置散列算法为SHA//
authentication pre-share //配置认证方式为预共享密钥//
group 2 //配置密钥组交换为2//
lifetime 86400 //配置IKE SA密钥超时时间//
第二步:配置IKE SA协商使用的预共享密钥及对端加密点地址
crypto isakmp key h3ccisco address 12.1.1.2
//配置密钥为和h3ccisco,对端加密点为 12.1.1.2//
第三步:创建数据加密集
crypto ipsec transform-set ciscotran esp-des esp-md5-hmac
//配置数据加密使用esp封装,des加密md5校验//
mode tunnel
//配置使用隧道模式//
第四步:创建感兴趣数据流
access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
//配置感兴趣数据流为本端通信点地址到远端通信点地址//
第五步:创建MAP
crypto map ciscomap 1 ipsec-isakmp //创建IPSec MAP//
set peer 12.1.1.2 //调用对端加密点//
set transform-set ciscotran //调用数据加密集//
match address 100 //调用感兴趣数据流//
第六步:接口调用MAP
interface Ethernet0/1 //进入加密点接口//
crypto map ciscomap //接口调用MAP//
7、 测试IPSec VPN互通性
使用PC测试IPSec VPN互通性
从C-PC1(192.168.20.100)ping H-PC1(192.168.10.100)互通。
C- R1设备IKE SA建立情况
查看思科设备IKE SA建立情况
H-R1设备IKE SA建立情况
查看H3C设备IKE SA建立情况
至此,实现使用HCL与EVE模拟器模拟H3C与CISCO设备使用IPsec VPN互通。
以上内容均为本人对所掌握知识总结归纳所创作的原创文章,希望能给大家的学习过程带来帮助,如有技术理解错误希望能够得到大家的指正,大家共同学习,共同进步。
欢迎关注我的头条号,私信交流,学习更多网络技术!
