www.hand-well.com.cn 相同子网的IPSec ×××通信 一、网络场景: 两地出口部署有飞塔防火墙201E和80C,两地内网都使用出厂网段192.168.1.0/24分配地址给用户上网,存在两地子网重叠的问题。 现想通过×××隧道打通两端内网,实现201E内网用户可以访问到80C下的服务器资源:192.168.1.111。 二、配置步骤: 1、 建立ipsec *** 隧道(ipsec *** 隧道无特殊配置,本次不做讲解) 建议使用点对点兴趣流是0.0.0.0/0,通过路由将流量引流到×××通道。

2、 80C端配置 1)配置VIP映射策略 将内网网段映射到172.16.1.0网段,以避免网络冲突,本次使用全映射。 2)配置路由 3)配置策略 3、201E端配置 1)配置路由,指向VIP地址段172.16.1.0/24 2)配置IP地址池192.168.2.1,用于策略调用 3)配置策略,SNAT到192.168.2.1

3、 测试结果 测试ping对端服务器192.168.1.111,实际需要ping 172.16.1.111

201E上数据: host源地址192.168.1.110被转换成地址192.168.2.1 80C上数据: 匹配到VIP映射规则,172.16.1.111 将转换成真实IP地址192.168.1.111,实现和服务器通信