一、组网拓扑
二、需求分析
用户现网结构分为数据中心、分支结构A和分支结构B,现想通过互联网建立IPSec VPN隧道,实现在公网环境下建立虚拟私有网络,达到A与数据中心,B与数据中心私有网络之间逻辑上的点对点通信。但因为客户建设网络时私有网络IP地址规划的不够理想,分支A与分支B的内网私有IP地址端都为192.168.1.0/24,导致数据中心与两端建立IPSec VPN的时候不能按正常操作建立。
三、解决方法
数据中心到分支结构A的IPSec VPN 正常建立,在数据中心与分支结构B建立IPSec VPN时,需要做一个地址重叠VPN,在分支结构B上做一个SNAT和DNAT,使内网192.168.1.0/24网段映射成一个虚拟ip地址端192.168.220.0/24,最终实现数据中心访问分支B时, 数据中心访问分支B真实IP为192.168.1.5以及192.168.1.8的终端时,则需要通过访问对应的虚拟IP地址192.168.220.5以及192.168.220.8,在分支B端FW上做DNAT映射之后,访问真实的IP地址;当分支B想访问数据中心时,源地址也会映射成对应的虚拟ip地址,假设源IP地址为192.168.1.6,则会被snat转换成192.168.220.6/24。
声明:本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长,进行删除处理。本网站所有内容未经授权请勿转载。本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报。