使用IPSec 加密不可路由或非IP 协议
(适用)AT-Rapier24i/Rapier16fi/8800 系列交换机
ATC-TS1011
V1.0
2005-11-29
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 2页
1. 概述
在某些特殊的应用中,可能需要加密不可路由或非 IP 协议的传输,在如下网络拓扑中:
图 1
要求实现:
.. PC A 和PC B 安全的通讯,要求加密;
.. PC A 和PC B 使用Windows NETBEUI 协议通讯。
实际上,如果需要使用 IPSec 加密不可路由或非IP 协议,只需要解决这些协议如何由IP 协议
承载的问题。如针对上述需求,应该首先考虑在客户端的应用或操作系统是否有将NETBEUI 协议
承载于IP 协议的能力。客户端使用的都是Windows 操作系统,而Windows 的NETBIOS over TCP/IP
就是专用于此的。因此可以将PC A 和PC B 放置在不同的IP 网段,使用WINS 或者LMHOST 文
件来完成NETBIOS 名字和IP 地址间的解析。由于NETBEUI 协议完全承载于IP 协议上运行,使
用IPSec 加密各IP 网段间的流量就可以实现目的。
另一种解决方案就是在网络设备上使用 IP 协议传递不可路由或非IP 协议,然后使用IPSec 加
密,这将是本文介绍的重点。
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 3页
2. 实施需求
正确实现该功能有以下实施需求:
.. AT-Rapier24i/Rapier16fi/8800 系列交换机;
上述安奈特三层交换机可以作为 IPSec VPN 网关,但需要增加相应的加密卡。如果使用3DES
或AES 加密,需要购买相应的Feature License,DES 在安装加密卡后已经有效。
3. 实现基本原理
PPP 不仅可以承载IP,也可以承载其它多种协议,以下是安奈特设备PPP 可以承载的协议:
■ IP
■ IPX
■ AppleTalk routing protocols
■ Bridged protocols
■ Compressed data
.. Encrypted data
可以看到,PPP 同样也可以承载桥接(Bridge)的协议。在通常情况下,路由要比桥接一个协
议更好,但在某些使用不可路由协议的情况下,桥接(Bridge)则更为合适。
对于桥接(Bridge),还需要特别说明的是,在传统使用不可路由协议场合,随着网络中站点的
增加,往往会在网络中产生大量的广播报文,桥接会使低速的WAN 连接负载过重,因此需要方法
限制经过WAN 桥接的站点,自Release 2.6.1 后 Rapier 系列交换机支持一种特殊的桥接方式,可
以使用VLAN 限制需要桥接的站点,也就是支持VLAN 的Remotely Bridged。使用Bridged VLAN
功能,一个VLAN 可经由一条Frame Relay 或PPP 远程链路在两台Rapier 之间共享。
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 4页
如果两点之间有 PPP 连接,就可以通过PPP 接口路由IPX、AppleTalk 等非IP 可路由协议,
桥接(Bridge)第二层不可路由协议,实现这些非IP 协议的通讯。但是,如图1 所示,在目前的Internet
环境中,一般分布在两地的连接点只是各自连接本地ISP 接入Internet,不会有直接的PPP 连接。
因此我们要传递其它非IP 协议,首先需要在两点之间建立PPP 连接。而L2tp 可以实现这项功能。
L2TP 是一种VPN 技术,是一种实现PPP Over IP 的方法,属于第二层隧道协议。它在两端点
之间产生隧道,允许一个PPP 会话在隧道间传输,并对其中发生的会话完全透明。一旦建立一个连
接,那么授权、连接、数据传输就象通过Modem 拨号接入一样,不同只是Modem 拨号使用的是
PSTN,而隧道使用的是公共Internet。因此我们只需要在两端点之间创建L2TP VPN,就可以在两
点之间创建一条PPP 连接。
两点之间有了 PPP 连接,就可以配置Bridge 来传输第二层不可路由器协议NETBEUI 了。由
于所有的桥接协议流量都将经过PPP 接口传输,而L2TP 实际上就是PPP Over IP,也就是说所有
的流量都将经由IP 承载传输了。但是,L2TP 是没有内建加密传输机制的,我们需要的是加密传输,
因此必须引入其它加密传输的方法,也就是IPSec。
IPSec 属于第三层隧道协议,不是一个单独的协议,而是一套协议包,包括三个基本协议:AH
协议为IP 包提供信息源验证和完整性保证;ESP 协议提供加密保证;密钥管理协议(ISAKMP)
提供双方交流时的共享安全信息。IPSec 可对任何IP 数据流量进行加密,是一种普遍采用的IP 数
据加密传输方式。而L2TP 流量实际是基于L2TP 两端点之间的UDP 协议1701 端口传输的,因此
我们只要引入IPSec 加密L2TP 端点之间的UDP 1701 端口的所有流量,就可以实现L2TP over
IPSec,实现安全的连接。
最终配置基于如下思路实现:
使用 Remotely Bridged VLAN 来实现跨区域的二层不可路由协议通讯,使用L2TP 的PPP 连接
来配合Remotely Bridged VLAN 实现,而采用IPSec 加密L2TP 的UDP 1701 流量来实现安全性。如
下图:
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 5页
图 2
4. 配置实例实现环境
.. Rapier 24i,Software release 2.6.1-13
.. AT-AR061 ECPAC 加密卡
5. 配置实例
注意:由于Rapier Remotely Bridged VLAN 的VLAN to WAN 功能限制,该配置只适用于点到
点的连接,不能实现点到多点配置。
.. 网络拓扑
图 3
L2TP Tunnel
Rapier A Rapier B
PC A
Internet
IPSec Tunnel
Remotely Bridged VLAN
L2TP
IPSec
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 6页
.. 基本配置
在开始配置前,需要创建一个安全用户,启用系统安全模式。然后使用这个安全用户登陆,创
建一个通用的ENCO KEY 用于ISAKMP。具体操作可按照以下步骤进行:
1、定义安全用户,启用安全模式,使用安全用户登陆。
add user=secoff password=<your password> priv=securityofficer
enable system security
login secoff
2、产生一个 ENCO KEY 用于ISAKMP。
create enco key=1 type=general value=<enter your own alphanumeric string>
注意:<enter your own alphanumeric string>值要求两台Rapier 完全相同,即用作
pre-shared key(预共享密钥)。
在开始配置之前,请确认Rapier 工作在安全模式,而且使用安全用户登陆。取消安全
模式,会删除所生成的KEY,IPSec 将不能正常工作。
完成上述配置后,注意保存配置,指定启动配置文件。
create conf=vpn.cfg
set conf=vpn.cfg
.. Rapier A 配置
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 7页
# L2TP configuration
enable l2tp
enable l2tp server=both
add l2tp call="test" rem="test" ip=172.15.1.1 ty=virtual prec=out
#启用L2TP,创建L2TP 呼叫,172.15.1.1 为对端Rapier vlan2 接口地址。
create ppp=0 idle=300 over=tnl-test
#创建基于L2TP 呼叫的PPP 接口,配置了idle time 启用按需拨号功能(即有流量时
才发起呼叫)。
add vlan=1 bridge
#增加需要桥接的VLAN, vlan1。
注意:一次只能桥接一个VLAN。
create vlan="v2" vid=2
add vlan="2" port=24
#创建vlan2 用于Rapier 之间的连接
enable ip
add ip int=vlan2 ip=172.15.1.2 mask=255.255.255.252
#配置IP 地址,vlan2 用于Rapier 间直连。
set ip int=vlan2 pro=on
#启用vlan2 的proxy arp 功能。
注意:ppp0 接口用于桥接,不需要配置IP 地址。
# BRIDGE configuration
enable bridge
add brid po=1 int=ppp0
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 8页
#启用桥接模块,使用L2TP 的ppp0 接口作为桥接虚拟端口。
注意:只能有一个桥接虚拟端口。
# IPSEC configuration
create ipsec sas=1 key=isakmp prot=esp enc=des hasha=sha
#配置IPSec 使用ESP 方式,des 加密、sha 摘要算法。
set ipsec sas=1 mod=transport
#由于需加密流量源地址来自本路由器,所有使用transport 模式。
create ipsec bund=1 key=isakmp string="1"
create ipsec pol="isakmp" int=vlan2 ac=permit
set ipsec pol="isakmp" lp=500 rp=500
#允许isakmp 流量经过,不使用ipsec 加密。
create ipsec pol="l2tp" int=vlan2 ac=ipsec key=isakmp bund=1 peer=172.15.1.1
isa="keys"
set ipsec pol="l2tp" lp=1701 rp=1701 tra=UDP
#定义ipsec 加密策略,从源udp1701 端口到目的udp1701 端口的l2tp 流量将被加密。
enable ipsec
#启用IPSec。
# ISAKMP Configurations
create isakmp pol="keys" pe=172.15.1.1 key=1
# isakmp 使用前面enco 生成的key 1。
set isakmp pol="keys" sendd=true setc=true
enable isakmp
#启用isakmp。
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 9页
.. Rapier B 配置
# L2TP configuration
enable l2tp
enable l2tp server=both
add l2tp call="test" rem="test" ip=172.15.1.2 ty=virtual prec=in
#启用L2TP,创建L2TP 呼叫,172.15.1.2 为对端Rapier vlan2 接口地址。
create ppp=0 idle=300 over=tnl-test
#创建基于L2TP 呼叫的PPP 接口,配置了idle time 启用按需拨号功能(即有流量时
才发起呼叫)。
add vlan=1 bridge
#增加需要桥接的VLAN, vlan1。
注意:一次只能桥接一个VLAN。
create vlan="v2" vid=2
add vlan="2" port=24
#创建vlan2 用于Rapier 之间的连接
enable ip
add ip int=vlan2 ip=172.15.1.1 mask=255.255.255.252
#配置IP 地址,vlan2 用于Rapier 间直连。
set ip int=vlan2 pro=on
#启用vlan2 的proxy arp 功能。
注意:ppp0 接口用于桥接,不需要配置IP 地址。
# BRIDGE configuration
enable bridge
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 10页
add brid po=1 int=ppp0
#启用桥接模块,使用L2TP 的ppp0 接口作为桥接虚拟端口。
注意:只能有一个桥接虚拟端口。
# IPSEC configuration
create ipsec sas=1 key=isakmp prot=esp enc=des hasha=sha
#配置IPSec 使用ESP 方式,des 加密、sha 摘要算法。
set ipsec sas=1 mod=transport
#由于需加密流量源地址来自本路由器,所有使用transport 模式。
create ipsec bund=1 key=isakmp string="1"
create ipsec pol="isakmp" int=vlan2 ac=permit
set ipsec pol="isakmp" lp=500 rp=500
#允许isakmp 流量经过,不使用ipsec 加密。
create ipsec pol="l2tp" int=vlan2 ac=ipsec key=isakmp bund=1 peer=172.15.1.2
isa="keys"
set ipsec pol="l2tp" lp=1701 rp=1701 tra=UDP
#定义ipsec 加密策略,从源udp1701 端口到目的udp1701 端口的l2tp 流量将被加密。
enable ipsec
#启用IPSec。
# ISAKMP Configurations
create isakmp pol="keys" pe=172.15.1.2 key=1
# isakmp 使用前面enco 生成的key 1。
set isakmp pol="keys" sendd=true setc=true
enable isakmp
#启用isakmp。
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 11页
6. 验证和排错
配置通过,PC A 和PC B 与在同一VLAN 内通讯没有差别。使用Windows NETBEUI 协议,在
网络邻居或使用搜索能看到对方机器,如果PC A 和PC B 在同一IP 网段也可以互相通讯。PC A 和
PC B 之间所有通讯流量均将被IPSec 加密。
在Rapier 上,可以使用下列命令,来查看相关信息:
.. 显示桥接配置的基本信息。
show bridge
.. 显示桥接虚拟端口基本信息。
show bridge port
.. 显示 L2TP Tunnel 状态
show l2tp tunnel
如果配置不成功可以分为两部分来检查:Bridge+L2TP 和IPSec。可以首先使用命令disable
ipsec 停用IPSec,检查Bridge+L2TP 工作是否正常。如果IPSec Tunnel 没有建立成功,L2TP Tunnel
也不会成功建立。
如果 IPSec VPN Tunnel 没有成功建立,可以参考下列步骤排除问题。
.. 在开始前,最好再仔细检查一遍当然运行的配置,使用 sh config dyn 命令。
.. “IP local”参数最好保持缺省值,否则可能会影响ISAKMP 的协商。可以使用sh ip inter
命令查看,使用set ip local 命令修改。
.. 要确定流量是否被加密,最好先使用 sh log 命令检查系统日志中的ISAKMP 协商相关条
目。ISAKMP 协商是分几个阶段的,可以在Log 中看到过程以及成功完成的记录。如果没
有看到相关记录或者只有协商初始记录没有一个完成的协商阶段,那么很有可能是配置错
误或者是ISAKMP 的协商信息对端节点没有接收。如果配置正确,而且配置了Firewall,
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 12页
也使用 sh fire event 命令检查对端节点发送过来的流量记录。另外,也可以使用sh isakmp
sa 和sh ipsec sa 命令来确认ISAKMP 和IPSEC。
.. 可以检查计数器来检查流量是否被加密。如前面例子中的配置,ping 对端节点,检查命令
sh ipsec poli=l2tp count 的输出,重点查看“outProcessDone”和“inProcessDone”。
.. 可以使用 debug 模式来检查。由于debug 信息较多,推荐一步步的使用。首先可以使用
ena isakmp debug=state,接下来使用ena isakmp debug=trace。
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 13页
关于安奈特(Allied Telesyn)
安奈特(Allied Telesyn)作为全球知名的网络产品和解决方案供应商,拥有遍布世界各地的200
多个公司和分支机构。自1987 年成立以来,安奈特专注于为用户提供高安全性、高可靠性、易于
管理、易于维护、易于升级的网络系统解决方案。
公司在世界各地设立了十余个强大的研发机构,时刻跟踪最新的科技进步成果,了解客户的需
求,及时推出性能优异、契合需求的全系列产品,包括从接入、汇聚、核心到传输的以太网交换机、
路由器、电信综合接入平台、介质转换器、VoIP 产品以及高性能操作系统和网络管理平台。安奈特
自成立以来一直保持稳定的高增长态势,成为全球发展最快的高科技公司之一。
1999 年,安奈特在北京成立了安奈特(中国)网络有限公司。2002 年在东莞设立了全资工厂,
还在全国各大区增设了办事处,并进一步完善了技术服务体系、认证培训体系和渠道运营体系,以
便更好地为中国客户服务,满足不同行业和领域客户需求。
欲知详情,请致电安奈特公司及其各分支机构,或访问 www.alliedtelesyn.com.cn
北京(中国总部及北方区办事处)
负责地区:东北三省、北京、内蒙古、天津、河北、山西、山东、河南、陕西、甘肃、青海
地址:北京市朝阳区朝外大街 16 号中国人寿大厦1007-1009 室
邮编:100020 电话:(010)85252299 传真:(010)85252298
上海(华东区办事处)
负责地区:上海、江苏、安徽、浙江、湖北、江西
地址:上海市南京西路 1168 号中信泰富广场3405 室
邮编:200041 电话:(021)52984245/46/47 传真:(021)52984239
广州(华南区办事处)
负责地区:广东、广西、海南、福建、湖南
地址:广州市天河北路 233 号中信广场1102 室
邮编:510613 电话:(020)38911922 传真:(020)38911303
成都(华西区办事处)
负责地区:四川、重庆、贵州、云南、西藏、新疆、宁夏
地址:四川省成都市顺城大街 308 号冠城广场19 层H 座
邮编:610017 电话:(028)86527190 传真:(028)86527193
香港(安奈特北亚区总部)
负责地区:香港、澳门、台湾、韩国
地址:香港官塘官塘道 418 号创纪之城5 期东亚银行中心18 楼1812-1816 室
电话:(00852)22636566 传真:(00852) 27568130 / 23180720
USA Headquarters:
19800 North Creek Pkwy, Suite 200, Bothell, WA 98011, USA
Tel: 800.424.4284 Fax: 425.481.3895
European Headquarters: Via Motta 24, 6830 Chiasso, Switzerland
(Corporate) Tel: (+41) 91 697.69.00 Fax: (+41) 91 697.69.11
(European Sales) Tel: (+39) 02 414.112.1 Fax: (+39) 02 414.112.61
(适用)AT-Rapier24i/Rapier16fi/8800 系列交换机
ATC-TS1011
V1.0
2005-11-29
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 2页
1. 概述
在某些特殊的应用中,可能需要加密不可路由或非 IP 协议的传输,在如下网络拓扑中:
图 1
要求实现:
.. PC A 和PC B 安全的通讯,要求加密;
.. PC A 和PC B 使用Windows NETBEUI 协议通讯。
实际上,如果需要使用 IPSec 加密不可路由或非IP 协议,只需要解决这些协议如何由IP 协议
承载的问题。如针对上述需求,应该首先考虑在客户端的应用或操作系统是否有将NETBEUI 协议
承载于IP 协议的能力。客户端使用的都是Windows 操作系统,而Windows 的NETBIOS over TCP/IP
就是专用于此的。因此可以将PC A 和PC B 放置在不同的IP 网段,使用WINS 或者LMHOST 文
件来完成NETBIOS 名字和IP 地址间的解析。由于NETBEUI 协议完全承载于IP 协议上运行,使
用IPSec 加密各IP 网段间的流量就可以实现目的。
另一种解决方案就是在网络设备上使用 IP 协议传递不可路由或非IP 协议,然后使用IPSec 加
密,这将是本文介绍的重点。
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 3页
2. 实施需求
正确实现该功能有以下实施需求:
.. AT-Rapier24i/Rapier16fi/8800 系列交换机;
上述安奈特三层交换机可以作为 IPSec VPN 网关,但需要增加相应的加密卡。如果使用3DES
或AES 加密,需要购买相应的Feature License,DES 在安装加密卡后已经有效。
3. 实现基本原理
PPP 不仅可以承载IP,也可以承载其它多种协议,以下是安奈特设备PPP 可以承载的协议:
■ IP
■ IPX
■ AppleTalk routing protocols
■ Bridged protocols
■ Compressed data
.. Encrypted data
可以看到,PPP 同样也可以承载桥接(Bridge)的协议。在通常情况下,路由要比桥接一个协
议更好,但在某些使用不可路由协议的情况下,桥接(Bridge)则更为合适。
对于桥接(Bridge),还需要特别说明的是,在传统使用不可路由协议场合,随着网络中站点的
增加,往往会在网络中产生大量的广播报文,桥接会使低速的WAN 连接负载过重,因此需要方法
限制经过WAN 桥接的站点,自Release 2.6.1 后 Rapier 系列交换机支持一种特殊的桥接方式,可
以使用VLAN 限制需要桥接的站点,也就是支持VLAN 的Remotely Bridged。使用Bridged VLAN
功能,一个VLAN 可经由一条Frame Relay 或PPP 远程链路在两台Rapier 之间共享。
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 4页
如果两点之间有 PPP 连接,就可以通过PPP 接口路由IPX、AppleTalk 等非IP 可路由协议,
桥接(Bridge)第二层不可路由协议,实现这些非IP 协议的通讯。但是,如图1 所示,在目前的Internet
环境中,一般分布在两地的连接点只是各自连接本地ISP 接入Internet,不会有直接的PPP 连接。
因此我们要传递其它非IP 协议,首先需要在两点之间建立PPP 连接。而L2tp 可以实现这项功能。
L2TP 是一种VPN 技术,是一种实现PPP Over IP 的方法,属于第二层隧道协议。它在两端点
之间产生隧道,允许一个PPP 会话在隧道间传输,并对其中发生的会话完全透明。一旦建立一个连
接,那么授权、连接、数据传输就象通过Modem 拨号接入一样,不同只是Modem 拨号使用的是
PSTN,而隧道使用的是公共Internet。因此我们只需要在两端点之间创建L2TP VPN,就可以在两
点之间创建一条PPP 连接。
两点之间有了 PPP 连接,就可以配置Bridge 来传输第二层不可路由器协议NETBEUI 了。由
于所有的桥接协议流量都将经过PPP 接口传输,而L2TP 实际上就是PPP Over IP,也就是说所有
的流量都将经由IP 承载传输了。但是,L2TP 是没有内建加密传输机制的,我们需要的是加密传输,
因此必须引入其它加密传输的方法,也就是IPSec。
IPSec 属于第三层隧道协议,不是一个单独的协议,而是一套协议包,包括三个基本协议:AH
协议为IP 包提供信息源验证和完整性保证;ESP 协议提供加密保证;密钥管理协议(ISAKMP)
提供双方交流时的共享安全信息。IPSec 可对任何IP 数据流量进行加密,是一种普遍采用的IP 数
据加密传输方式。而L2TP 流量实际是基于L2TP 两端点之间的UDP 协议1701 端口传输的,因此
我们只要引入IPSec 加密L2TP 端点之间的UDP 1701 端口的所有流量,就可以实现L2TP over
IPSec,实现安全的连接。
最终配置基于如下思路实现:
使用 Remotely Bridged VLAN 来实现跨区域的二层不可路由协议通讯,使用L2TP 的PPP 连接
来配合Remotely Bridged VLAN 实现,而采用IPSec 加密L2TP 的UDP 1701 流量来实现安全性。如
下图:
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 5页
图 2
4. 配置实例实现环境
.. Rapier 24i,Software release 2.6.1-13
.. AT-AR061 ECPAC 加密卡
5. 配置实例
注意:由于Rapier Remotely Bridged VLAN 的VLAN to WAN 功能限制,该配置只适用于点到
点的连接,不能实现点到多点配置。
.. 网络拓扑
图 3
L2TP Tunnel
Rapier A Rapier B
PC A
Internet
IPSec Tunnel
Remotely Bridged VLAN
L2TP
IPSec
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 6页
.. 基本配置
在开始配置前,需要创建一个安全用户,启用系统安全模式。然后使用这个安全用户登陆,创
建一个通用的ENCO KEY 用于ISAKMP。具体操作可按照以下步骤进行:
1、定义安全用户,启用安全模式,使用安全用户登陆。
add user=secoff password=<your password> priv=securityofficer
enable system security
login secoff
2、产生一个 ENCO KEY 用于ISAKMP。
create enco key=1 type=general value=<enter your own alphanumeric string>
注意:<enter your own alphanumeric string>值要求两台Rapier 完全相同,即用作
pre-shared key(预共享密钥)。
在开始配置之前,请确认Rapier 工作在安全模式,而且使用安全用户登陆。取消安全
模式,会删除所生成的KEY,IPSec 将不能正常工作。
完成上述配置后,注意保存配置,指定启动配置文件。
create conf=vpn.cfg
set conf=vpn.cfg
.. Rapier A 配置
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 7页
# L2TP configuration
enable l2tp
enable l2tp server=both
add l2tp call="test" rem="test" ip=172.15.1.1 ty=virtual prec=out
#启用L2TP,创建L2TP 呼叫,172.15.1.1 为对端Rapier vlan2 接口地址。
create ppp=0 idle=300 over=tnl-test
#创建基于L2TP 呼叫的PPP 接口,配置了idle time 启用按需拨号功能(即有流量时
才发起呼叫)。
add vlan=1 bridge
#增加需要桥接的VLAN, vlan1。
注意:一次只能桥接一个VLAN。
create vlan="v2" vid=2
add vlan="2" port=24
#创建vlan2 用于Rapier 之间的连接
enable ip
add ip int=vlan2 ip=172.15.1.2 mask=255.255.255.252
#配置IP 地址,vlan2 用于Rapier 间直连。
set ip int=vlan2 pro=on
#启用vlan2 的proxy arp 功能。
注意:ppp0 接口用于桥接,不需要配置IP 地址。
# BRIDGE configuration
enable bridge
add brid po=1 int=ppp0
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 8页
#启用桥接模块,使用L2TP 的ppp0 接口作为桥接虚拟端口。
注意:只能有一个桥接虚拟端口。
# IPSEC configuration
create ipsec sas=1 key=isakmp prot=esp enc=des hasha=sha
#配置IPSec 使用ESP 方式,des 加密、sha 摘要算法。
set ipsec sas=1 mod=transport
#由于需加密流量源地址来自本路由器,所有使用transport 模式。
create ipsec bund=1 key=isakmp string="1"
create ipsec pol="isakmp" int=vlan2 ac=permit
set ipsec pol="isakmp" lp=500 rp=500
#允许isakmp 流量经过,不使用ipsec 加密。
create ipsec pol="l2tp" int=vlan2 ac=ipsec key=isakmp bund=1 peer=172.15.1.1
isa="keys"
set ipsec pol="l2tp" lp=1701 rp=1701 tra=UDP
#定义ipsec 加密策略,从源udp1701 端口到目的udp1701 端口的l2tp 流量将被加密。
enable ipsec
#启用IPSec。
# ISAKMP Configurations
create isakmp pol="keys" pe=172.15.1.1 key=1
# isakmp 使用前面enco 生成的key 1。
set isakmp pol="keys" sendd=true setc=true
enable isakmp
#启用isakmp。
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 9页
.. Rapier B 配置
# L2TP configuration
enable l2tp
enable l2tp server=both
add l2tp call="test" rem="test" ip=172.15.1.2 ty=virtual prec=in
#启用L2TP,创建L2TP 呼叫,172.15.1.2 为对端Rapier vlan2 接口地址。
create ppp=0 idle=300 over=tnl-test
#创建基于L2TP 呼叫的PPP 接口,配置了idle time 启用按需拨号功能(即有流量时
才发起呼叫)。
add vlan=1 bridge
#增加需要桥接的VLAN, vlan1。
注意:一次只能桥接一个VLAN。
create vlan="v2" vid=2
add vlan="2" port=24
#创建vlan2 用于Rapier 之间的连接
enable ip
add ip int=vlan2 ip=172.15.1.1 mask=255.255.255.252
#配置IP 地址,vlan2 用于Rapier 间直连。
set ip int=vlan2 pro=on
#启用vlan2 的proxy arp 功能。
注意:ppp0 接口用于桥接,不需要配置IP 地址。
# BRIDGE configuration
enable bridge
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 10页
add brid po=1 int=ppp0
#启用桥接模块,使用L2TP 的ppp0 接口作为桥接虚拟端口。
注意:只能有一个桥接虚拟端口。
# IPSEC configuration
create ipsec sas=1 key=isakmp prot=esp enc=des hasha=sha
#配置IPSec 使用ESP 方式,des 加密、sha 摘要算法。
set ipsec sas=1 mod=transport
#由于需加密流量源地址来自本路由器,所有使用transport 模式。
create ipsec bund=1 key=isakmp string="1"
create ipsec pol="isakmp" int=vlan2 ac=permit
set ipsec pol="isakmp" lp=500 rp=500
#允许isakmp 流量经过,不使用ipsec 加密。
create ipsec pol="l2tp" int=vlan2 ac=ipsec key=isakmp bund=1 peer=172.15.1.2
isa="keys"
set ipsec pol="l2tp" lp=1701 rp=1701 tra=UDP
#定义ipsec 加密策略,从源udp1701 端口到目的udp1701 端口的l2tp 流量将被加密。
enable ipsec
#启用IPSec。
# ISAKMP Configurations
create isakmp pol="keys" pe=172.15.1.2 key=1
# isakmp 使用前面enco 生成的key 1。
set isakmp pol="keys" sendd=true setc=true
enable isakmp
#启用isakmp。
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 11页
6. 验证和排错
配置通过,PC A 和PC B 与在同一VLAN 内通讯没有差别。使用Windows NETBEUI 协议,在
网络邻居或使用搜索能看到对方机器,如果PC A 和PC B 在同一IP 网段也可以互相通讯。PC A 和
PC B 之间所有通讯流量均将被IPSec 加密。
在Rapier 上,可以使用下列命令,来查看相关信息:
.. 显示桥接配置的基本信息。
show bridge
.. 显示桥接虚拟端口基本信息。
show bridge port
.. 显示 L2TP Tunnel 状态
show l2tp tunnel
如果配置不成功可以分为两部分来检查:Bridge+L2TP 和IPSec。可以首先使用命令disable
ipsec 停用IPSec,检查Bridge+L2TP 工作是否正常。如果IPSec Tunnel 没有建立成功,L2TP Tunnel
也不会成功建立。
如果 IPSec VPN Tunnel 没有成功建立,可以参考下列步骤排除问题。
.. 在开始前,最好再仔细检查一遍当然运行的配置,使用 sh config dyn 命令。
.. “IP local”参数最好保持缺省值,否则可能会影响ISAKMP 的协商。可以使用sh ip inter
命令查看,使用set ip local 命令修改。
.. 要确定流量是否被加密,最好先使用 sh log 命令检查系统日志中的ISAKMP 协商相关条
目。ISAKMP 协商是分几个阶段的,可以在Log 中看到过程以及成功完成的记录。如果没
有看到相关记录或者只有协商初始记录没有一个完成的协商阶段,那么很有可能是配置错
误或者是ISAKMP 的协商信息对端节点没有接收。如果配置正确,而且配置了Firewall,
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 12页
也使用 sh fire event 命令检查对端节点发送过来的流量记录。另外,也可以使用sh isakmp
sa 和sh ipsec sa 命令来确认ISAKMP 和IPSEC。
.. 可以检查计数器来检查流量是否被加密。如前面例子中的配置,ping 对端节点,检查命令
sh ipsec poli=l2tp count 的输出,重点查看“outProcessDone”和“inProcessDone”。
.. 可以使用 debug 模式来检查。由于debug 信息较多,推荐一步步的使用。首先可以使用
ena isakmp debug=state,接下来使用ena isakmp debug=trace。
使用IPSec 加密不可路由或非IP 协议
Connecting The IP World 第 13页
关于安奈特(Allied Telesyn)
安奈特(Allied Telesyn)作为全球知名的网络产品和解决方案供应商,拥有遍布世界各地的200
多个公司和分支机构。自1987 年成立以来,安奈特专注于为用户提供高安全性、高可靠性、易于
管理、易于维护、易于升级的网络系统解决方案。
公司在世界各地设立了十余个强大的研发机构,时刻跟踪最新的科技进步成果,了解客户的需
求,及时推出性能优异、契合需求的全系列产品,包括从接入、汇聚、核心到传输的以太网交换机、
路由器、电信综合接入平台、介质转换器、VoIP 产品以及高性能操作系统和网络管理平台。安奈特
自成立以来一直保持稳定的高增长态势,成为全球发展最快的高科技公司之一。
1999 年,安奈特在北京成立了安奈特(中国)网络有限公司。2002 年在东莞设立了全资工厂,
还在全国各大区增设了办事处,并进一步完善了技术服务体系、认证培训体系和渠道运营体系,以
便更好地为中国客户服务,满足不同行业和领域客户需求。
欲知详情,请致电安奈特公司及其各分支机构,或访问 www.alliedtelesyn.com.cn
北京(中国总部及北方区办事处)
负责地区:东北三省、北京、内蒙古、天津、河北、山西、山东、河南、陕西、甘肃、青海
地址:北京市朝阳区朝外大街 16 号中国人寿大厦1007-1009 室
邮编:100020 电话:(010)85252299 传真:(010)85252298
上海(华东区办事处)
负责地区:上海、江苏、安徽、浙江、湖北、江西
地址:上海市南京西路 1168 号中信泰富广场3405 室
邮编:200041 电话:(021)52984245/46/47 传真:(021)52984239
广州(华南区办事处)
负责地区:广东、广西、海南、福建、湖南
地址:广州市天河北路 233 号中信广场1102 室
邮编:510613 电话:(020)38911922 传真:(020)38911303
成都(华西区办事处)
负责地区:四川、重庆、贵州、云南、西藏、新疆、宁夏
地址:四川省成都市顺城大街 308 号冠城广场19 层H 座
邮编:610017 电话:(028)86527190 传真:(028)86527193
香港(安奈特北亚区总部)
负责地区:香港、澳门、台湾、韩国
地址:香港官塘官塘道 418 号创纪之城5 期东亚银行中心18 楼1812-1816 室
电话:(00852)22636566 传真:(00852) 27568130 / 23180720
USA Headquarters:
19800 North Creek Pkwy, Suite 200, Bothell, WA 98011, USA
Tel: 800.424.4284 Fax: 425.481.3895
European Headquarters: Via Motta 24, 6830 Chiasso, Switzerland
(Corporate) Tel: (+41) 91 697.69.00 Fax: (+41) 91 697.69.11
(European Sales) Tel: (+39) 02 414.112.1 Fax: (+39) 02 414.112.61
9835
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
