IPSEC-NAT解决地址重叠等问题案例配置

lzj1995 · 发表于 2024-8-8 00:00:05

本帖最后由 lzj1995 于 2024-8-8 00:06 编辑

场景：
在日常的IPSec网络配置中，我们通常会精心规划客户端的IP地址分配，这样做既是为了避免不同分支机构的内网地址发生冲突，也是出于安全考虑，对进入网络的源地址实施限制。为了实现这一目标，我们会对分支机构的隧道地址执行源地址的NAT（网络地址转换）操作，将其转换为总部预先定义和规划好的IP地址范围。这一过程不仅优化了地址管理，也加强了网络安全性，确保了网络环境的有序和可控。

规划：

panabit1：分支机构ipsec vpn设备
panabit2：总部ipsec vpn 设备
hillstone：模拟总部安全设备，用户对入网源地址做限制
限制地址：200.200.200.0/24

配置：
panabit1:
接口配置：
wan:

lan:

ipsec :

NAT地址接口：这个接口状态可以不用up

路由策略：

panabit2:
接口：
wan

lan:

ipsec:

路由策略：

hillstone: 只对进入网内的源地址做了200.200.200.0/24段的限制

SG-6000# show interface
=========================================================================================================================================================
---------------------------------------------------------------------------------------------------------------------------------------------------------
vswitchif1 0.0.0.0/0 N/A NULL root D U D D 001c.54dc.231d N ------
ethernet0/0 192.168.1.24/24 N/A mgt root U U U U 5044.e300.0d00 N ------
ethernet0/1 2.2.2.2/24 N/A untrust root U U U U 5044.e300.0d01 N ------
ethernet0/2 100.100.100.1/24 N/A trust root U U U U 5044.e300.0d02 N ------
=========================================================================================================================================================
SG-6000# show policy
====================================================================================================================
--------------------------------------------------------------------------------------------------------------------
Any => Any
E 1 200.200.200.0/24 test Any PERMIT ------
====================================================================================================================

复制代码

验证：

lzj1995 · 发表于 2024-8-8 00:07:53

#占坐

		自动登录	找回密码
密码			注册

IPSEC-NAT解决地址重叠等问题 案例配置

IPSEC-NAT解决地址重叠等问题案例配置