如何从NEC IX2015使用EtherIP进行连接 ×××

 

支持EtherIP协议的路由器,可以通过与PacketiX ×××服务器之间构筑使用IPsec进行了加密的隧道连接到×××服务器。
下面介绍从NEC UNIVERGE IX2015路由器连接到PacketiX ×××服务器的方法,这一方法应该也适用于大多数其他品牌的路由器。

11

                    支持EtherIP的路由器连接示意图
NEC UNIVERGE系列是支持使用EtherIP协议的×××通信方式的路由器产品。是一度被用于构筑邮政等大型系统×××环境的高性能路由器产品。

 

IX2015使用说明书及操作手册

3
 
设置IX2015之前,先要对PacketiX ×××的IPsec功能进行设定。
 

3


如上图所示,勾选“开启EtherIP over IPsec服务器功能”后,点击“EtherIP功能详细设置”按钮,会显示如下窗口。
 

33
 
在这个窗口中,可以对EtherIP客户端对×××服务器进行IPsec连接时被提示的ISAKMP (IKE) Phase 1的ID字符串、连接对象的虚拟HUB及虚拟HUB内的用户设定等相关事项事先进行注册。

如果不对这些相关事项进行提前注册,那么当多台支持EtherIP的路由器向1台×××服务器通过IPsec进行连接时,×××服务器端将无法把握路由器与虚拟HUB的准确配对及用户名使用等问题。
因此,必须要对上述事项提前进行定义。
下面,举例说明。假设IX2015 ID为“IX2015-A”,虚拟HUB“DEFAULT”上的用户名为“ix2015”。

(用户名“ix2015”需要事先在虚拟HUB“DEFAULT”上注册)
 
请用户以此范例结合自身使用环境进行参考。
Ethernet端口的用途)
FastEthernet0/0.0: WAN端
FastEthernet0/1.0:桥端
BVI1(虚拟接口):×××内为了PING检测而使用的虚拟I/F
(IP地址:192.168.0.123/24)

  • 物理通信所必须(为了连接因特网)的全球IP地址  (由DHCP从FastEthernet0/0.0端口的Ethernet网段自动获取)(假设在FastEthernet0/0.0端口有运转着NAT及DHCP的宽带路由器接入因特网)

连接对象端运行的PacketiX ×××服务器的IP地址为1.2.3.4

  • ISAKMP SA使用的加密设置
    IKE SA使用的加密设置
     

IX2015的配置范例(Configuration


请按如下配置进行设定

enable-config
logging buffered

hostname ix2015

device FastEthernet0/0
no shutdown
exit

device FastEthernet0/1
no shutdown
exit

device FastEthernet1/0
no shutdown
exit

interface FastEthernet0/0.0
ip address dhcp receive-default
ipv6 enable
ipv6 address autoconfig receive-default
no shutdown
exit

interface FastEthernet0/1.0
no shutdown
exit

interface FastEthernet1/0.0
shutdown
exit

interface Loopback0.0
ip address 127.0.0.1/8
exit

dns ncache lifetime 1

telnet-server ip enable
telnet-server ipv6 enable
ip ufs-cache enable
ipv6 ufs-cache enable

ip access-list ACL_FOR_IPSEC permit ip src any dest any

ipsec ike-passthru
ipsec autokey-proposal IPSEC_PROPOSAL esp-3des esp-sha lifetime time 3600
ipsec autokey-map IPSEC_STATIC_MAP ACL_FOR_IPSEC peer 1.2.3.4 IPSEC_PROPOSAL

ike nat-traversal policy IKE_POLICY keepalive 10
ike policy IKE_POLICY peer 1.2.3.4 key *** mode aggressive IKE_PROPOSAL
ike proposal IKE_PROPOSAL encryption 3des hash sha group 1024-bit lifetime 3600
ike local-id IKE_POLICY keyid IX2015-A
ike keepalive IKE_POLICY 10 2

bridge irb enable

interface FastEthernet0/1.0
bridge-group 1
exit

interface Tunnel0.0
bridge-group 1
tunnel mode ether-ip ipsec
ipsec policy tunnel IPSEC_STATIC_MAP out
no shutdown
exit

interface BVI1
bridge-group 1
ip address 192.168.0.123/24
no shutdown
exit

watch-group KEEPALIVE 10
event 10 ip unreach-host 192.168.0.1 BVI1 source BVI1
probe-timer restorer 5
probe-timer variance 5
exit

network-monitor KEEPALIVE enable

 
进行上述设定后,会自动生成与PacketiX ×××服务器(IP地址:1.2.3.4)之间的IPsec隧道(Phase 1 ID为IX2015-A)。在这个隧道中,通过收发EtherIP数据包而实现×××通信。
FastEthernet0/0.0端口连接到WAN端(网端),FastEthernet0/1.0连接到×××桥端,由此,连接到FastEthernet0/1.0网段的所有PC都可以作为Ethernet网段(L2)直接连接到PacketiX ×××服务器的虚拟HUB的网段,进行任意通信。

 

配置重点说明

  1. 生成IKE(IPsec的ISAKMP / IKEv1 SA)时,客户端ID设定为“IX2015-A”,由此确定了连接对象端×××服务器的IPsec上“EtherIP详细设定”项中注册的ID情报并决定了连接对象端的虚拟HUB。
  2. 通过定义bridge-group,虚拟接口Tunnel0.0与FastEthernet0/1.0之间实现Ethernet桥接。
  3. 就IX2015而言,如果从客户端没有传输通信数据包,则无法开启通向×××服务器的IPsec隧道。另外,如果在一段时间内没有通信,IPsec隧道会自动关闭,且不会再次连接。为了避免出现上述问题,需要定义BVI1这一虚拟接口,并将这一虚拟接口加入bridge-group,把它定义为IP地址(桥端网段网络内的IP地址)192.168.0.123/24,继而通过设定,使这一IP地址每隔5秒钟自动向192.168.0.1发送一个测试用的ICMP数据包(watch-group)。这里谈到的192.168.0.1,只要它是局域网中的某一主机即可,即使是一个并不存在的IP地址也没关系,因为那时它会被发送到ARP解决查询系统,从而保持IPsec隧道的激活状态。

 

遗憾的是,IPsec协议非常复杂,缺乏统一感而十分难解。经常会出现一些令专业的网络工程师也会感到头痛的问题。
当出现从客户端或路由器无法正常连接到×××服务器上已经启动的IPsec / L2TP / EtherIP等情况时,建议你查看×××服务器的日志记录以确定原因。同时,也不要忽视对×××客户端及路由器日志记录进行参考。

 

 

 

 

< PacketiX ××× 3.0 技术手册 欢迎进入PacketiX ××× 3.0 的世界>