使用IPSec加密不可路由或非IP协议.pdfVIP

使用IPSec 加密不可路由或非IP 协议 （适用）AT-Rapier24i/Rapier16fi/8800 系列交换机 ATC-TS1011 V1.0 2005-11-29 使用IPSec 加密不可路由或非IP 协议 1. 概述 在某些特殊的应用中，可能需要加密不可路由或非IP 协议的传输，在如下网络拓扑中： 图1 要求实现： PC A 和PC B 安全的通讯，要求加密； PC A 和PC B 使用Windows NETBEUI 协议通讯。 实际上，如果需要使用IPSec 加密不可路由或非IP 协议，只需要解决这些协议如何由IP 协议 承载的问题。如针对上述需求，应该首先考虑在客户端的应用或操作系统是否有将NETBEUI 协议 承载于IP 协议的能力。客户端使用的都是Windows 操作系统，而Windows 的NETBIOS over TCP/IP 就是专用于此的。因此可以将PC A 和PC B 放置在不同的IP 网段，使用WINS 或者LMHOST 文 件来完成NETBIOS 名字和IP 地址间的解析。由于NETBEUI 协议完全承载于IP 协议上运行，使 用IPSec 加密各IP 网段间的流量就可以实现目的。 另一种解决方案就是在网络设备上使用IP 协议传递不可路由或非IP 协议，然后使用IPSec 加 密，这将是本文介绍的重点。 Connecting The IP World 第2 页 使用IPSec 加密不可路由或非IP 协议 2. 实施需求 正确实现该功能有以下实施需求： AT-Rapier24i/Rapier16fi/8800 系列交换机； 上述安奈特三层交换机可以作为IPSec VPN 网关，但需要增加相应的加密卡。如果使用3DES 或AES 加密，需要购买相应的Feature License ，DES 在安装加密卡后已经有效。 3. 实现基本原理 PPP 不仅可以承载IP，也可以承载其它多种协议，以下是安奈特设备PPP 可以承载的协议： ■ IP ■ IPX ■ AppleTalk routing protocols ■ Bridged protocols ■ Compressed data Encrypted data 可以看到，PPP 同样也可以承载桥接（Bridge）的协议。在通常情况下，路由要比桥接一个协 议更好，但在某些使用不可路由协议的情况下，桥接（Bridge）则更为合适。 对于桥接（Bridge），还需要特别说明的是，在传统使用不可路由协议场合，随着网络中站点的 增加，往往会在网络中产生大量的广播报文，桥接会使低速的WAN 连接负载过重，因此需要方法 限制经过WAN 桥接的站点，自Release 2.6.1 后 Rapier 系列交换机支持一种特殊的桥接方式，可 以使用VLAN 限制需要桥接的站点，也就是支持VLAN 的Remotely Bridged。使用Bridged VLAN 功能，一个VLAN 可经由一条Frame Relay 或PPP 远程链路在两台Rapier 之间共享。 Connecting The IP World 第3 页 使用IPSec 加密不可路由或非IP 协议 如果两点之间有PPP 连接，就可以通过PPP 接口路由IPX、AppleTalk 等非IP 可路由协议， 桥接（Bridge）第二层不可路由协议，实现这些非IP 协议的通讯。但是，如图1 所示，在目前的Internet 环境中，一般分布在两地的连接点只是各自连接本地ISP 接入Internet，不会有直接的PPP 连接。 因此我们要传递其它非IP 协议，首先需要在两点之间建立PPP 连接。而L2tp 可以实现这项功能。 L2TP 是一种VPN 技术，是一种实现PPP Over IP 的方法，属于第二层隧道协议。它在两端点 之间产生隧道，允许一个PPP 会话在隧道间传输，并对其中发生的会话完全透明。一旦建立一个连