Technical documentation
发布日期:2022-04-03 浏览次数:3239 来源:杨广成
通过NAT解决内网地址段冲突的IPSecVPN部署
EI CCNP认证考试学习文档
官方微信同电话:17316362402,联系WOLF-LAB(沃尔夫)实验室获取免费CCNP培训学习资料
我们知道在Site-to-Site IPSecVPN设计中,两个peer身后的内网地址段不能重叠,否则会导致由于路由的原因(直连路由优先,且指向内网方向,不会将流量引导到配置了IPSec策略的公网接口),站点之间VPN不通(连VPN会话都不会建立)
如图,任性的客户,两个站点的IP(192.168.1.0/24)没有条件更改,但却必须把VPN给配通,让两个站点可以通过VPN互访。
解决办法:
通过静态NAT技术,将原有的192.168.1.0网段,在两个站点网关上分别映射成一个和对方不同的地址池地址。
ip nat inside source static network 192.168.1.0 10.1.1.0 /24
int lo 0
ip nat inside
int f0/0
ip nat outside
注:将192.168.1.0整段映射成10.1.1.0,主机位自动对齐。使用static而不是dynamic是为了能够双向发起
R2(同理):
ip nat inside source static network 192.168.1.0 10.2.2.0 /24
int lo 0
ip nat inside
int f0/0
ip nat outside
做完NAT之后,对于站点R1的用户而言,要访问R2站点身后的用户,应该是
192.168.1.0 ---> 10.2.2.0
对于站点R2用户访问站点R1则是
192.168.2.0 ---> 10.1.1.0
这其实就是IPSecVPN的感兴趣流量了
但要注意流量会先被NAT转换,后被IPSEC检查是否属于感兴趣列表。
因此实际到达F口被IPSEC检测的流量已经变成了 10.1.1.0 --> 10.1.2.0
在标准Site-to-Site VPN的配置中,感兴趣列表应该为
R1:
permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
R2:
permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
VPN配置略
WOLF-LAB(沃尔夫)实验室获取免费CCNP培训学习资料
官方微信同电话:17316362402
官方QQ:2569790740
http://www.wolf-lab.com/
上一篇:生成树STP协议的选路过程与配置演示-EI CCNP Enterprise Infrastructure技术学习
下一篇:前缀列表Prefix-list使用宝典-EI CCNP企业基础架构Enterprise Infrastructure