我觉得不行,因为首先我们常规下做tunnel方式的ipsec,我们需要创建路由将相关的流量引入tunnel接口做ipsec的隧道封装,封装后源目IP变为隧道两端的IP地址,所以防火墙会根据去往防火墙对端接口的路由将封装后的路由进行转发。如果在tunnel接口方式的IPsec上叠加l2tp,那么路由的设置将会变得矛盾,首先我们需要将去往目的内部网络的流量送入VT接口进行l2tp的隧道封装,一般来说此时的流量的源目IP地址是l2tp隧道双方的地址,也是ipsec隧道双方的地址,然后为了将l2tp的流量进行加密,我们还需要将其进行ipsec的封装,所以我们此时要将去往隧道对端的流量引流至tunnel接口,这样就出现了矛盾,首先我们需要一条静态路由指明去往隧道对端的路由,同时,还创建了一条路由将去往隧道对端的路由引入tunnel接口当中,那么就会出现路由的负载均衡,下一跳分别是去往对端隧道接口的下一跳IP地址和本地的tunnel接口。那么即便流量被引入了tunnel接口,它经过封装后的源目IP还是隧道双方的IP地址,那么此时还是要经过路由表的匹配,但是因为去往隧道对端的路由的下一跳有两个,一个是IP地址,一个是tunnel接口,所以这是矛盾的。所以针对l2tp over ipsec,我们的做法是只使用ACL方式的IPsec,先将流量引入VT接口,然后指定去往隧道对端的路由, 当l2tp的流量经过物理接口就会被ipsec模块进行隧道封装完成加密。
tunnel接口的IPsec可不可以做l2tp over ipsec
最新推荐文章于 2023-06-14 21:22:53 发布