WOLF-LAB沃尔夫网络实验室中国网络精英的发源地!
24小时咨询热线:173-1636-2402

技术文档

Technical documentation

您当前位置: 首页 > 技术文档 > 详情

通过NAT解决内网地址段冲突的IPSecVPN部署-EI CCNP认证考试学习文档

发布日期:2022-04-03 浏览次数:3239 来源:杨广成

通过NAT解决内网地址段冲突的IPSecVPN部署

EI CCNP认证考试学习文档 

官方微信同电话:17316362402,联系WOLF-LAB(沃尔夫)实验室获取免费CCNP培训学习资料



我们知道在Site-to-Site IPSecVPN设计中,两个peer身后的内网地址段不能重叠,否则会导致由于路由的原因(直连路由优先,且指向内网方向,不会将流量引导到配置了IPSec策略的公网接口),站点之间VPN不通(连VPN会话都不会建立)


如图,任性的客户,两个站点的IP(192.168.1.0/24)没有条件更改,但却必须把VPN给配通,让两个站点可以通过VPN互访。

 

解决办法:

通过静态NAT技术,将原有的192.168.1.0网段,在两个站点网关上分别映射成一个和对方不同的地址池地址。


ip nat inside source static network 192.168.1.0 10.1.1.0 /24

int lo 0

 ip nat inside

int f0/0

 ip nat outside

 

注:将192.168.1.0整段映射成10.1.1.0,主机位自动对齐。使用static而不是dynamic是为了能够双向发起

 

R2(同理):

ip nat inside source static network 192.168.1.0 10.2.2.0 /24

int lo 0

 ip nat inside

int f0/0

 ip nat outside

 

做完NAT之后,对于站点R1的用户而言,要访问R2站点身后的用户,应该是

192.168.1.0 ---> 10.2.2.0

对于站点R2用户访问站点R1则是

192.168.2.0 ---> 10.1.1.0

这其实就是IPSecVPN的感兴趣流量了

但要注意流量会先被NAT转换,后被IPSEC检查是否属于感兴趣列表。

因此实际到达F口被IPSEC检测的流量已经变成了 10.1.1.0 --> 10.1.2.0 

在标准Site-to-Site VPN的配置中,感兴趣列表应该为

R1:

permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255

R2:

permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255

VPN配置略


WOLF-LAB(沃尔夫)实验室获取免费CCNP培训学习资料
官方微信同电话:17316362402
官方QQ:2569790740
http://www.wolf-lab.com/

返回目录
在线咨询