如何使用HCL与EVE模拟器-模拟H3C与CISCO设备使用IPsec VPN互通？

实验前提：实验计算机需安装H3C HCL模拟器及思科EVE模拟器

1、 配置HCL与本地网卡桥接

H3C的HCL相对于思科EVE模拟器桥接本地网卡相对简单。

1.1 首先运行HCL，并如下图所示添加一台本地主机。

1.2 如下图所示再添加一台路由器作为与EVE互联的设备，并与新添加的主机"Host_1"进行连线，连线时在"Host_1"处选择本地桥接的网卡。

2、 配置EVE与本地网卡桥接

2.1 如下图，首先运行VMware中的EVE，并在VMware中为EVE虚拟机添加一个网卡用于本地桥接。

2.2 查看EVE中新建网卡情况

发现新添加网卡为eth1。

2.3 在EVE的WEB管理界面下，右键选择添加一个"Network"。

2.4 添加"Network"的属性为下图。

2.5 如下图所示再添加一台路由器作为与HCL互联的设备，并与新添加的"Cloud1"进行连线。

3、 互联互通测试

3.1 在HCL中为H3C路由器接口配置IP地址为1.1.1.1/24。

3.2在EVE中为思科路由器接口配置IP地址为1.1.1.2/24。

3.3在思科路由器上ping H3C路由器接口地址1.1.1.1，发现H3C路由器与思科路由器已经通过本地网卡桥接互通。

4、 实验拓扑及地址规划

配置接口IP地址及设备路由，保证H-R1的G0/1接口（12.1.1.2）与C-R1的G0/1接口（21.1.1.2）互通，H-PC1与C-PC1不通，在H-R1与C-R1之间建立IPsec VPN隧道使H-PC1（192.168.10.100）与C-PC1（192.168.10.200）互通。

H3C模拟器HCL侧设备拓扑

CISCO模拟器EVE侧设备拓扑

5、 H3C侧IPSec VPN配置（H-R1）

H3C IPSec VPN配置分为六步：

第一步：创建IKE策略，配置IKE SA协商参数。

第二步：配置IKE SA协商使用的预共享密钥及对端加密点地址，当然使用证书也可以。

第三步：创建数据加密集，即IPSec SA所使用的数据传输时加密的参数及传输模式。

第四步：创建感兴趣数据流，指定哪些数据流量使用IPSec VPN进行加密传输。

第五步：创建MAP，1、配置对端加密点的地址（关联预共享密钥），2、调用数据加密集，3、调用感兴趣数据流。

第六步：接口调用IPSec VPN的MAP即可。

具体配置如下：

第一步：创建IKE策略

ike proposal 10 //建立IKE策略集//

authentication-algorithm sha //配置散列算法为SHA//

authentication-method pre-share //配置认证方式为预共享密钥//

encryption-algorithm 3des-cbc //配置加密方式为3DES//

dh group2 //配置密钥组交换为2//

sa duration 86400 //配置IKE SA密钥超时时间//

第二步：配置IKE SA协商使用的预共享密钥及对端加密点地址

ike keychain key //创建ike密码串//

pre-shared-key address 21.1.1.2 255.255.255.255 key simple h3ccisco

//配置密钥为和h3ccisco，对端加密点为 12.1.1.2//

第三步：创建数据加密集

ipsec transform-set h3ctran //创建转换集//

encapsulation-mode tunnel //配置使用隧道模式//

esp encryption-algorithm des-cbc //配置数据加密使用esp封装，des加密//

esp authentication-algorithm md5 //配置数据加密使用esp封装，md5校验//

第四步：创建感兴趣数据流

acl advanced 3000

rule 0 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

//配置感兴趣数据流为本端通信点地址到远端通信点地址//

第五步：创建MAP

ipsec policy h3cmap 1 isakmp //创建IPSec MAP//

transform-set h3ctran //调用数据加密集//

security acl 3000 //调用感兴趣数据流//

local-address 12.1.1.2 //配置本地加密点IP地址//

remote-address 21.1.1.2 //配置远端加密点IP地址//

第六步：接口调用MAP

interface GigabitEthernet0/1 //进入加密点接口//

ipsec apply policy h3cmap //接口调用MAP//

6、 CISCO侧IPSec VPN配置（C-R1）

CISCO IPSec VPN配置分为六步：

第一步：创建IKE策略，配置IKE SA协商参数。

第二步：配置IKE SA协商使用的预共享密钥及对端加密点地址，当然使用证书也可以。

第三步：创建数据加密集，即IPSec SA所使用的数据传输时加密的参数及传输模式。

第四步：创建感兴趣数据流，指定哪些数据流量使用IPSec VPN进行加密传输。

第五步：创建MAP，1、调用对端加密点的地址（关联预共享密钥），2、调用数据加密集，3、调用感兴趣数据流。

第六步：接口调用IPSec VPN的MAP即可。

具体配置如下：

第一步：创建IKE策略

crypto isakmp policy 10 //建立IKE策略集//

encr 3des //配置加密方式为3DES//

hash sha //配置散列算法为SHA//

authentication pre-share //配置认证方式为预共享密钥//

group 2 //配置密钥组交换为2//

lifetime 86400 //配置IKE SA密钥超时时间//

第二步：配置IKE SA协商使用的预共享密钥及对端加密点地址

crypto isakmp key h3ccisco address 12.1.1.2

//配置密钥为和h3ccisco，对端加密点为 12.1.1.2//

第三步：创建数据加密集

crypto ipsec transform-set ciscotran esp-des esp-md5-hmac

//配置数据加密使用esp封装，des加密md5校验//

mode tunnel

//配置使用隧道模式//

第四步：创建感兴趣数据流

access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

//配置感兴趣数据流为本端通信点地址到远端通信点地址//

第五步：创建MAP

crypto map ciscomap 1 ipsec-isakmp //创建IPSec MAP//

set peer 12.1.1.2 //调用对端加密点//

set transform-set ciscotran //调用数据加密集//

match address 100 //调用感兴趣数据流//

第六步：接口调用MAP

interface Ethernet0/1 //进入加密点接口//

crypto map ciscomap //接口调用MAP//

7、 测试IPSec VPN互通性

从C-PC1（192.168.20.100）ping H-PC1（192.168.10.100）互通。

C- R1设备IKE SA建立情况

H-R1设备IKE SA建立情况

至此，实现使用HCL与EVE模拟器模拟H3C与CISCO设备使用IPsec VPN互通。

以上内容均为本人对所掌握知识总结归纳所创作的原创文章，希望能给大家的学习过程带来帮助，如有技术理解错误希望能够得到大家的指正，大家共同学习，共同进步。

欢迎关注我的头条号，私信交流，学习更多网络技术！