如何从NEC IX2015使用EtherIP进行连接 ×××

NEC IX2015 EtherIP连接

最新推荐文章于 2025-01-09 09:33:25 发布

转载最新推荐文章于 2025-01-09 09:33:25 发布 · 312 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://blog.51cto.com/51373468/810123

文章标签：

#运维

本文介绍如何使用NEC UNIVERGE IX2015路由器通过EtherIP协议连接到PacketiX服务器。重点讲解了配置步骤，包括IPsec隧道的建立和维护，确保稳定通信。

如何从NEC IX2015使用EtherIP进行连接 ×××

支持EtherIP协议的路由器，可以通过与PacketiX ×××服务器之间构筑使用IPsec进行了加密的隧道连接到×××服务器。
下面介绍从NEC UNIVERGE IX2015路由器连接到PacketiX ×××服务器的方法，这一方法应该也适用于大多数其他品牌的路由器。

支持EtherIP的路由器连接示意图
NEC UNIVERGE系列是支持使用EtherIP协议的×××通信方式的路由器产品。是一度被用于构筑邮政等大型系统×××环境的高性能路由器产品。

IX2015使用说明书及操作手册

设置IX2015之前，先要对PacketiX ×××的IPsec功能进行设定。

如上图所示，勾选“开启EtherIP over IPsec服务器功能”后，点击“EtherIP功能详细设置”按钮，会显示如下窗口。

在这个窗口中，可以对EtherIP客户端对×××服务器进行IPsec连接时被提示的ISAKMP (IKE) Phase 1的ID字符串、连接对象的虚拟HUB及虚拟HUB内的用户设定等相关事项事先进行注册。

如果不对这些相关事项进行提前注册，那么当多台支持EtherIP的路由器向1台×××服务器通过IPsec进行连接时，×××服务器端将无法把握路由器与虚拟HUB的准确配对及用户名使用等问题。
因此，必须要对上述事项提前进行定义。
下面，举例说明。假设IX2015 ID为“IX2015-A”，虚拟HUB“DEFAULT”上的用户名为“ix2015”。

（用户名“ix2015”需要事先在虚拟HUB“DEFAULT”上注册）

请用户以此范例结合自身使用环境进行参考。
（Ethernet端口的用途）
FastEthernet0/0.0: WAN端
FastEthernet0/1.0:桥端
BVI1（虚拟接口）：×××内为了PING检测而使用的虚拟I/F
（IP地址：192.168.0.123/24）

物理通信所必须（为了连接因特网）的全球IP地址（由DHCP从FastEthernet0/0.0端口的Ethernet网段自动获取）（假设在FastEthernet0/0.0端口有运转着NAT及DHCP的宽带路由器接入因特网）

连接对象端运行的PacketiX ×××服务器的IP地址为1.2.3.4

ISAKMP SA使用的加密设置
IKE SA使用的加密设置

IX2015的配置范例（Configuration）

请按如下配置进行设定

enable-config
logging buffered

hostname ix2015

device FastEthernet0/0
no shutdown
exit

device FastEthernet0/1
no shutdown
exit

device FastEthernet1/0
no shutdown
exit

interface FastEthernet0/0.0
ip address dhcp receive-default
ipv6 enable
ipv6 address autoconfig receive-default
no shutdown
exit

interface FastEthernet0/1.0
no shutdown
exit

interface FastEthernet1/0.0
shutdown
exit

interface Loopback0.0
ip address 127.0.0.1/8
exit

dns ncache lifetime 1

telnet-server ip enable
telnet-server ipv6 enable
ip ufs-cache enable
ipv6 ufs-cache enable

ip access-list ACL_FOR_IPSEC permit ip src any dest any

ipsec ike-passthru
ipsec autokey-proposal IPSEC_PROPOSAL esp-3des esp-sha lifetime time 3600
ipsec autokey-map IPSEC_STATIC_MAP ACL_FOR_IPSEC peer 1.2.3.4 IPSEC_PROPOSAL

ike nat-traversal policy IKE_POLICY keepalive 10
ike policy IKE_POLICY peer 1.2.3.4 key *** mode aggressive IKE_PROPOSAL
ike proposal IKE_PROPOSAL encryption 3des hash sha group 1024-bit lifetime 3600
ike local-id IKE_POLICY keyid IX2015-A
ike keepalive IKE_POLICY 10 2

bridge irb enable

interface FastEthernet0/1.0
bridge-group 1
exit

interface Tunnel0.0
bridge-group 1
tunnel mode ether-ip ipsec
ipsec policy tunnel IPSEC_STATIC_MAP out
no shutdown
exit

interface BVI1
bridge-group 1
ip address 192.168.0.123/24
no shutdown
exit

watch-group KEEPALIVE 10
event 10 ip unreach-host 192.168.0.1 BVI1 source BVI1
probe-timer restorer 5
probe-timer variance 5
exit

network-monitor KEEPALIVE enable

进行上述设定后，会自动生成与PacketiX ×××服务器（IP地址：1.2.3.4）之间的IPsec隧道（Phase 1 ID为IX2015-A）。在这个隧道中，通过收发EtherIP数据包而实现×××通信。
FastEthernet0/0.0端口连接到WAN端（网端），FastEthernet0/1.0连接到×××桥端，由此，连接到FastEthernet0/1.0网段的所有PC都可以作为Ethernet网段（L2）直接连接到PacketiX ×××服务器的虚拟HUB的网段，进行任意通信。

配置重点说明

生成IKE（IPsec的ISAKMP / IKEv1 SA）时，客户端ID设定为“IX2015-A”，由此确定了连接对象端×××服务器的IPsec上“EtherIP详细设定”项中注册的ID情报并决定了连接对象端的虚拟HUB。
通过定义bridge-group，虚拟接口Tunnel0.0与FastEthernet0/1.0之间实现Ethernet桥接。
就IX2015而言，如果从客户端没有传输通信数据包，则无法开启通向×××服务器的IPsec隧道。另外，如果在一段时间内没有通信，IPsec隧道会自动关闭，且不会再次连接。为了避免出现上述问题，需要定义BVI1这一虚拟接口，并将这一虚拟接口加入bridge-group，把它定义为IP地址（桥端网段网络内的IP地址）192.168.0.123/24，继而通过设定，使这一IP地址每隔5秒钟自动向192.168.0.1发送一个测试用的ICMP数据包（watch-group）。这里谈到的192.168.0.1，只要它是局域网中的某一主机即可，即使是一个并不存在的IP地址也没关系，因为那时它会被发送到ARP解决查询系统，从而保持IPsec隧道的激活状态。

遗憾的是，IPsec协议非常复杂，缺乏统一感而十分难解。经常会出现一些令专业的网络工程师也会感到头痛的问题。
当出现从客户端或路由器无法正常连接到×××服务器上已经启动的IPsec / L2TP / EtherIP等情况时，建议你查看×××服务器的日志记录以确定原因。同时，也不要忽视对×××客户端及路由器日志记录进行参考。

< PacketiX ××× 3.0 技术手册

欢迎进入PacketiX ××× 3.0 的世界>

转载于:https://blog.51cto.com/51373468/810123