做一个app的成本,seovip培训,常州网页设计制作,网络规划设计师考试时间2022正文共#xff1a;1335 字 7 图#xff0c;预估阅读时间#xff1a;4 分钟 现在#xff0c;我们已经可以通过调整两台设备的组合配置#xff08;地址重叠时#xff0c;用户如何通过NAT访问对端IP网络#xff1f;#xff09;或仅调整一台设备的配置#xff08;仅操作一… 正文共1335 字 7 图预估阅读时间4 分钟 现在我们已经可以通过调整两台设备的组合配置地址重叠时用户如何通过NAT访问对端IP网络或仅调整一台设备的配置仅操作一台设备如何实现本地访问另一个相同网段的私网来实现一个局域网通过IP地址访问另一个地址重叠的局域网。 之前的案例中我们模拟的是专线互访但是实际应用中专线场景可能比较少的出现这种情况。但是现在的SD-WAN场景SD-WAN网络中的IPsec流量是怎么转发的我给你简单演示一下就不一样了出现的概率就高了很多。那在SD-WAN网络中如果出现这种问题要怎么解决呢 组网需求 1、某公司有两个办公点内网网段地址均为10.1.1.0/24现在通过SD-WAN方案将两个办公点内网打通但是因为有生产业务不能改变主机地址。 2、该公司拥有组网图中所有地址段的所有地址的使用权。 3、需要实现PCA能够访问PCB。 组网图 一个局域网通过NAT访问另一个地址重叠的局域网IP访问 实验环境 Windows 10专业版1909-18363.155616 GB内存
HCL 3.0.1
MSR 36-20Version 7.1.064, Release 0821P11 配置思路 首先回顾RFC2401IPsec互联网协议的安全架构我们知道IPsec仅仅是一种安全封装他是在接口上对报文做安全封装自身并不是接口。如果我们将前两个案例中的中间线路替换为IPsec则在设备上行口不能再做NAT转换了这种场景我们已经有了结论无法实现访问。 那我们可以想一下之前的IPsec和GRE组合使用的场景我们可以将RTA和RTB使用GRE打通再使用IPsec进行封装即可。 配置步骤 按照配置思路直接上使用GRENAT实现访问的配置此时尚未做IPsec封装。 RTA #
sysname RTA
#
nat static outbound 10.1.1.2 20.1.1.2
#
policy-based-route NAT permit node 1if-match acl 3402apply next-hop 13.1.1.3
#
interface GigabitEthernet0/0ip address 10.1.1.1 255.255.255.0nat static enableip policy-based-route NAT
#
interface GigabitEthernet0/1ip address 12.1.1.1 255.255.255.0
#
interface Tunnel1 mode greip address 13.1.1.1 255.255.255.0source 12.1.1.1destination 23.1.1.3nat outbound
#
ip route-static 23.1.1.0 24 12.1.1.2
#
acl advanced 3402rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 ISP #
sysname ISP
#
interface GigabitEthernet0/0ip address 12.1.1.2 255.255.255.0
#
interface GigabitEthernet0/1ip address 23.1.1.2 255.255.255.0 RTB #
sysname RTB
#
interface GigabitEthernet0/0ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet0/1ip address 23.1.1.3 255.255.255.0
#
interface Tunnel2 mode greip address 13.1.1.3 255.255.255.0source 23.1.1.3destination 12.1.1.1
#
ip route-static 12.1.1.0 24 23.1.1.2 验证配置 测试从PCA使用地址20.1.1.2访问PCB发现可以访问TTL值为253。 在RTA上查看报文处理过程。 1、从接口G0/0收到报文源地址10.1.1.2目的地址20.1.1.2 2、在入接口上做NAT转换源地址10.1.1.2目的地址10.1.1.2 3、匹配策略路由将报文转发到接口Tunnel1 4、在出接口上做NAT转换源地址13.1.1.1目的地址10.1.1.2并发出报文 5、从接口Tunnel1收到报文源地址10.1.1.2目的地址13.1.1.1 6、匹配接口Tunnel1的NAT会话做NAT转换源地址10.1.1.2目的地址10.1.1.2将报文转发到接口G0/0 7、匹配接口G0/0的NAT会话做NAT转换源地址20.1.1.2目的地址10.1.1.2并发出报文。 此时看一下RTA发出的报文报文内容一览无遗。 那接下来就是做IPsec封装了这里我们应该用GRE over IPsec而且我们也看到了保护流量应该是接口Tunnel1的地址13.1.1.1/24到对方私网10.1.1.2/24的流量。直接上配置 RTA #
acl advanced 3403rule 0 permit ip source 13.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec transform-set TRANesp encryption-algorithm 3des-cbcesp authentication-algorithm sha1
#
ipsec policy nat 10 isakmptransform-set TRANsecurity acl 3403remote-address 13.1.1.3
#
ike keychain KEYpre-shared-key address 13.1.1.3 24 key simple nat
#
interface Tunnel1 mode greipsec apply policy nat RTB #
acl advanced 3403rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 13.1.1.0 0.0.0.255
#
ipsec transform-set TRANesp encryption-algorithm 3des-cbcesp authentication-algorithm sha1
#
ipsec policy nat 10 isakmptransform-set TRANsecurity acl 3403remote-address 13.1.1.3
#
ike keychain KEYpre-shared-key address 13.1.1.1 24 key simple nat
#
interface Tunnel2 mode greipsec apply policy nat 查看RTA发出的报文情况。 可以看到有ISAKMP主模式协商的过程然后是ESP封装报文。 查看RTA上的IKE SA信息。 查看RTA上的IPsec SA信息。 怎么样你学废了吗 后台回复“20211213”获取本案例的HCL工程文件。 长按二维码关注我们吧 仅操作一台设备如何实现本地访问另一个相同网段的私网 地址重叠时用户如何通过NAT访问对端IP网络 秀啊Win 11竟然教我怎么使用Windows IKE中NAT-Traversal的协商 多分支NAT穿越场景下通过POP节点实现分支间的IPsec加密互联 NAT穿越场景下怎么实现从总部到分支的访问
