IPsec***原理上說是3層的東西,如何實現類似2層的通信呢?
3層通信,說白了就是經過路由器,2層的通信依賴的是ARP的MAC地址交互,不需要路由器。
我們都知道思科路由器有個東西arp proxy,可以實現類似的功能。
那麼SSG是否也有這樣的功能呢。
當然有。
Network > Interfaces > Edit > Proxy ARP Entry
比如***站點對端有個IP172.26.136.16要訪問,在這裏就要添加,要注意接口必須是在這個接口的地址範圍內,之外不行,不在輸入的時候就會拒絕。
命令行:set interface bgroup0 proxy-arp-entry 172.26.136.16 172.26.136.16
然後就是配置兩個站點的IPsec通道,這個在其它地方有說明,不在累述。
下面是必須的路由添加,本地的地址是172.26.136.0/26,172.26.136.16是遠程,雖然也在本地地址範圍內,但是要到遠程去,必須加入到達遠程的路由,這個***站點綁定了tunnel.2
命令行:set route 172.26.136.16/32 interface tunnel.2
另外隧道的接口要配置成unnumbered模式,並且掛在要arp代理的接口上。
命令行:set interface tunnel.2 ip unnumbered interface bgroup0
然後是許可策略通過。
這樣本地方就可以了,遠程必須加上回程路由。可以用172.26.136.0/26,遠程的本地地址可以搞成,172.26.136.17/30,那個機器配置172.26.136.16/30