根据您的描述得出这种拓扑 1、映射是在出口的防火墙的上写的,一般在一个网络环境中,说前置网关基本上就是指的出口设备,也就是内网所有的用户都经过这台设备上网,前置网关就是SSL VPN前置设备(SW)的网关(AF),这样就比较好理解了,前置网关,就是VPN的前置设备交换机的网关即是防火墙。 至于为什么要在防火墙上写,因为端口映射的目的是将内网的设备发布到公网上,那么做端口映射的这台设备肯定要被公网访问到的,而咱们的防火墙就在公网上,所以肯定是在防火墙上写的。当做VPN的时候使用到的端口就是4500 和500,所以需要映射这两个端口,目的就是为了公网能够访问VPN的这两个端口从而建立VPN隧道
2、路由在交换机上写,目的地址:对方网段 掩码:x.x.x.x 下一跳:VPN的lan口地址 对方如果也是单臂部署,需要写一样的路由
写路由的目的:内网的用户访问对方的网段下一跳走VPN设备,然后进入隧道口,通过VPN隧道访问对方的服务器,而不是走到防火墙(因为防火墙不走VPN隧道,所以也就走不到对方的网络,从而会将此包丢弃,造成无法访问对方)
如有疑问,可直接回复 希望对您有所帮助
|