通过NAT解决内网地址段冲突的IPSecVPN部署

EI CCNP认证考试学习文档 

官方微信同电话：17316362402，联系WOLF-LAB（沃尔夫）实验室获取免费CCNP培训学习资料

我们知道在Site-to-Site IPSecVPN设计中，两个peer身后的内网地址段不能重叠，否则会导致由于路由的原因（直连路由优先，且指向内网方向，不会将流量引导到配置了IPSec策略的公网接口），站点之间VPN不通（连VPN会话都不会建立）

如图，任性的客户，两个站点的IP（192.168.1.0/24）没有条件更改，但却必须把VPN给配通，让两个站点可以通过VPN互访。

解决办法：

通过静态NAT技术，将原有的192.168.1.0网段，在两个站点网关上分别映射成一个和对方不同的地址池地址。

ip nat inside source static network 192.168.1.0 10.1.1.0 /24

int lo 0

 ip nat inside

int f0/0

 ip nat outside

注：将192.168.1.0整段映射成10.1.1.0，主机位自动对齐。使用static而不是dynamic是为了能够双向发起

R2（同理）：

ip nat inside source static network 192.168.1.0 10.2.2.0 /24

int lo 0

 ip nat inside

int f0/0

 ip nat outside

做完NAT之后，对于站点R1的用户而言，要访问R2站点身后的用户，应该是

192.168.1.0 ---> 10.2.2.0

对于站点R2用户访问站点R1则是

192.168.2.0 ---> 10.1.1.0

这其实就是IPSecVPN的感兴趣流量了

但要注意流量会先被NAT转换，后被IPSEC检查是否属于感兴趣列表。

因此实际到达F口被IPSEC检测的流量已经变成了 10.1.1.0 --> 10.1.2.0 

在标准Site-to-Site VPN的配置中，感兴趣列表应该为

R1：

permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255

R2：

permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255

VPN配置略

WOLF-LAB（沃尔夫）实验室获取免费CCNP培训学习资料
官方微信同电话：17316362402
官方QQ：2569790740
http://www.wolf-lab.com/