背景:总部分支分别在出口部署有防火墙设备,内网存在冲突网段192.168.13.0/24,该网段是两端的生产网机台在用都不方便修改。当前两边在Sangfor VPN中没有宣告冲突网段,所以两边正常建立连接和通信(不含两边的冲突网段)。 需求:现在分支的192.168.13.0/24网段需要访问总部的192.168.2.0/24网段 分析:1、抓包分支的192.168.13.0网段访问总部192.168.2.0的数据已通过VPN隧道到达总部防火墙内网口,只有出方向数据没有回防火墙的数据。 2、查看总部核心交换机路由,总部的192.168.13.0/24网段直连核心,路由优先级导致192.168.2.0的服务器回包直接回给了本地的192.168.13.0网段。 3、思考直接修改总部核心策略路由,强制192.168.2.0回包走策略路由回给分支,但这样将会影响本地192.168.2.0与192.168.13.0的通信。 问题点:由于路由优先级问题总部服务器回包给分支的数据回给了本地的192.168.13.0网段,直连路由优先级最大。 解决思路:通过NAT地址转换的方式将源分支的192.168.13.0转换成不冲突的网段如192.168.130.0/24,并且使用一对一地址转换如: 192.168.13.1 转换成192.168.130.1;若有双向通信或者反向访问需求,则需要用目的地址转换,局限性在于仅能一对一进行映射。总部防火墙回包给分支VPN路由192.168.130.0/24时仅需要在分支防火墙VPN中宣告该网段,总部即可学习到192.168.130.0/24路由。(在标准版IPSec中可用策略路由进回包) 配置过程:1、分支VPN中宣告转换后的新网段,让对端总部学习到该网段回包。 2、分支源地址转换将本地内网的192.168.13.0访问总部192.168.2.0区域的数据转换成192.168.130.0/24,并选"静态转换",实现IP一一对应。 3、总部反向访问分支的冲突网段,搭配步骤2中的静态转换功能,总部访问SNAT后对应的IP地址。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 
