方案二:先上拓扑图 场景描述: R2为总公司的出口路由器,R3是分公司的出口路由器,R1为总公司内部的一台路由器。现在有需求要在R1和R3之间做一条IPSEC VPN隧道,以供两端内网用户互相访问。为了防止NAT对vpn数据包的破坏,在R3(分公司)上可以使用扩展ACl来区分流量(做法见方案一),但是R1的vpn数据包,必须要经过R2,必须要进行一次地址转换。 解决方案:
申明:第一次发博文,以下内容纯属个人经验总结,若有不妥当之处欢迎大家指点交流,QQ:765390765。 NAT和ipsec本身是一对矛盾体,但是现实生活中又时经常用到的,现在总结出三种解决方案供大家参考:(在定义第二阶段交换集的时候使用ESP的封装方式,不能使用HA方式) 方案一: 情景描述:总公司和分公司在出口设备上都做了NAT,现在两个公司又要在出口设备上起用IPsec
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号
