最新笔试战报当前位置  当前位置:首页 > 最新笔试战报
通过NAT解决内网地址段冲突的S2S IPSecVPN
发布时间:2014-12-19     来源:WOLF LAB     浏览次数:

 我们知道在Site-to-Site IPSecVPN设计中,两个peer身后的内网地址段不能重叠,否则会导致由于路由的原因(直连路由优先,且指向内网方向,不会将流量引导到配置了IPSec策略的公网接口),站点之间VPN不通(连VPN会话都不会建立)

 

001.png

 

如图,任性的客户,就跟你说两个站点的IP192.168.1.0/24)没有条件更改,但却必须把VPN给配通,让两个站点可以通过VPN互访。

 

解决办法:

通过静态NAT技术,将原有的192.168.1.0网段,在两个站点网关上分别映射成一个和对方不同的地址池地址。

002.png

R1

ip nat inside source static network 192.168.1.0 10.1.1.0 /24

int lo 0

 ip nat inside

int f0/0

 ip nat outside

 

注:将192.168.1.0整段映射成10.1.1.0,主机位自动对齐。使用static而不是dynamic是为了能够双向发起

 

R2(同理):

ip nat inside source static network 192.168.1.0 10.2.2.0 /24

int lo 0

 ip nat inside

int f0/0

 ip nat outside

 

做完NAT之后,对于站点R1的用户而言,要访问R2站点身后的用户,应该是

192.168.1.0 ---> 10.2.2.0

对于站点R2用户访问站点R1则是

192.168.2.0 ---> 10.1.1.0

这其实就是IPSecVPN的感兴趣流量了

但要注意流量会先被NAT转换,后被IPSEC检查是否属于感兴趣列表。

因此实际到达F口被IPSEC检测的流量已经变成了 10.1.1.0 --> 10.1.2.0 

在标准Site-to-Site VPN的配置中,感兴趣列表应该为

R1:

permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255

R2:

permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255

VPN配置略

 

文/图: 北京Wolf-lab 谭学亮

点击下载:通过NAT解决内网地址段冲突的S2S IPSecVPN
< 上一篇          返回目录          下一篇 >
相关文章

在线咨询