IPSEC-NAT解决地址重叠等问题 案例配置
本帖最后由 lzj1995 于 2024-8-8 00:06 编辑场景:
在日常的IPSec网络配置中,我们通常会精心规划客户端的IP地址分配,这样做既是为了避免不同分支机构的内网地址发生冲突,也是出于安全考虑,对进入网络的源地址实施限制。为了实现这一目标,我们会对分支机构的隧道地址执行源地址的NAT(网络地址转换)操作,将其转换为总部预先定义和规划好的IP地址范围。这一过程不仅优化了地址管理,也加强了网络安全性,确保了网络环境的有序和可控。
规划:
panabit1:分支机构ipsec vpn设备
panabit2:总部ipsec vpn 设备
hillstone:模拟总部安全设备,用户对入网源地址做限制
限制地址:200.200.200.0/24
配置:
panabit1:
接口配置:
wan:
lan:
ipsec :
NAT地址接口:这个接口状态可以不用up
路由策略:
panabit2:
接口:
wan
lan:
ipsec:
路由策略:
hillstone: 只对进入网内的源地址做了200.200.200.0/24段的限制
SG-6000# show interface
=========================================================================================================================================================
---------------------------------------------------------------------------------------------------------------------------------------------------------
vswitchif1 0.0.0.0/0 N/A NULL root D U D D 001c.54dc.231d N ------
ethernet0/0 192.168.1.24/24 N/A mgt root U U U U 5044.e300.0d00 N ------
ethernet0/1 2.2.2.2/24 N/A untrust root U U U U 5044.e300.0d01 N ------
ethernet0/2 100.100.100.1/24 N/A trust root U U U U 5044.e300.0d02 N ------
=========================================================================================================================================================
SG-6000# show policy
====================================================================================================================
--------------------------------------------------------------------------------------------------------------------
Any => Any
E 1 200.200.200.0/24 test Any PERMIT ------
====================================================================================================================验证:
#占坐
页:
[1]