关于IPSEC VPN对接网段冲突解决方案探讨
前言: 一般来说,如果分支和总部网段冲突,最佳解决方案当然是分支或者总部改网段(一般建议分支改),但如果因为各种原因改不成,可以尝试一下方案解决。
情况一:
1、适合的情况:分支网段和总部某个网段冲突。不增加设备的情况。 其中: 1)分支是192.168.0.0网段; 2)总部vpn设备不能是192.168.0.0段,分支要访问的网段也不能是192.168.0.0网段; 3)因前置设备路由冲突的原因,192.168.0.0网段路由已存在,不能更改的情况。
原本拓扑: 192.168.168.0 VPN设备(192.168.168.168) vpn设备(192.168.0.150) | | | ------核心交换机-----出口防火墙-----(公网)-------出口设备-------核心交换机------192.168.0.0 | 192.168.0.0
思路:就是把分支的网段nat成其他网段,那么对于总部来说,分支就不和总部的其他网段冲突了;同时vpn设备也要更改成其他网段的IP,这样nat出去到达对端的时候,就不再是冲突的网段的IP了。
配置案例:
2、电脑IP
[img=306,73][/img]
3、VPN分支设备的设置(举例)
3.1 VPN设备LAN口IP从之前的192.168.0.150更改为192.168.11.150。
3.2 VPN设备做LAN to VPN的nat映射
4、分支网关设备的设置
4.1 网关LAN口
4.2 网关路由设置
4.3 开放LAN to LAN策略
5、总部网关设置
这里就没什么好说了,主要是设置一条192.168.11.0/24的回包路由,下一跳指向总部vpn设备。
6、效果
VPN建立成功(总部)
VPN设备路由表(分支)
分支能ping通总部
这里忘了截图。
情况二: 1、适合的情况:分支网段和总部某个网段冲突。不增加设备的情况。 其中: 1)分支是192.168.0.0网段; 2)总部vpn设备是192.168.0.0段; 3)或者分支要访问的网段也是192.168.0.0网段; 4)因前置设备路由冲突的原因,192.168.0.0网段路由已存在,不能更改的情况。
我尝试用上面的方法来设置,遇到个问题,就是当吧192.168.0.0放到本地子网后,分支vpn设备路由表里,192.168.0.0/24下一跳指向vpntun口,导致数据包回不到分支内网pc,而导致访问失败,这种情况下就不适合上面的方法了。
2:通过增加设备的方式,支持下列这种情况: 1)分支是192.168.0.0网段; 2)总部vpn设备是192.168.0.0段; 3)或者分支要访问的网段也是192.168.0.0网段; 4)因前置设备路由冲突的原因,192.168.0.0网段路由已存在,不能更改的情况。
拓扑: 192.168.168.0 VPN设备(192.168.168.168) vpn设备(192.168.0.150) | | | ------核心交换机-----出口防火墙-----(公网)-------出口设备-------核心交换机------192.168.0.0 | 192.168.0.0
主要是在vpn设备和核心交换机之间,增加一台nat设备,把内网段192.168.0.0nat成其他段,同时vpn设备lan口也要改成其他段,确保不冲突。 | 
发表于 2016-11-3 17:03
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2016-11-9 14:46
技术员3级 
