www.hand-well.com.cn
相同子网的IPSec ×××通信
一、网络场景:
两地出口部署有飞塔防火墙201E和80C,两地内网都使用出厂网段192.168.1.0/24分配地址给用户上网,存在两地子网重叠的问题。
现想通过×××隧道打通两端内网,实现201E内网用户可以访问到80C下的服务器资源:192.168.1.111。
二、配置步骤:
1、 建立ipsec 隧道(ipsec 隧道无特殊配置,本次不做讲解)
建议使用点对点兴趣流是0.0.0.0/0,通过路由将流量引流到×××通道。
2、 80C端配置
1)配置VIP映射策略
将内网网段映射到172.16.1.0网段,以避免网络冲突,本次使用全映射。
2)配置路由
3)配置策略
3、201E端配置
1)配置路由,指向VIP地址段172.16.1.0/24
2)配置IP地址池192.168.2.1,用于策略调用
3)配置策略,SNAT到192.168.2.1
3、 测试结果
测试ping对端服务器192.168.1.111,实际需要ping 172.16.1.111
201E上数据:
host源地址192.168.1.110被转换成地址192.168.2.1
80C上数据:
匹配到VIP映射规则,172.16.1.111 将转换成真实IP地址192.168.1.111,实现和服务器通信