IPsec×××原理上说是3层的东西,如何实现类似2层的通信呢?
3层通信,说白了就是经过路由器,2层的通信依赖的是ARP的MAC地址交互,不需要路由器。
我们都知道思科路由器有个东西arp proxy,可以实现类似的功能。
那么SSG是否也有这样的功能呢。
当然有。
Network > Interfaces > Edit > Proxy ARP Entry
比如×××站点对端有个IP172.26.136.16要访问,在这里就要添加,要注意接口必须是在这个接口的地址范围内,之外不行,不在输入的时候就会拒绝。
命令行:set interface bgroup0 proxy-arp-entry 172.26.136.16 172.26.136.16
然后就是配置两个站点的IPsec通道,这个在其它地方有说明,不在累述。
下面是必须的路由添加,本地的地址是172.26.136.0/26,172.26.136.16是远程,虽然也在本地地址范围内,但是要到远程去,必须加入到达远程的路由,这个×××站点绑定了tunnel.2
命令行:set route 172.26.136.16/32 interface tunnel.2
另外隧道的接口要配置成unnumbered模式,并且挂在要arp代理的接口上。
命令行:set interface tunnel.2 ip unnumbered interface bgroup0
然后是许可策略通过。
这样本地方就可以了,远程必须加上回程路由。可以用172.26.136.0/26,远程的本地地址可以搞成,172.26.136.17/30,那个机器配置172.26.136.16/30