При объединении филиалов компании в одну
виртуальную сеть при помощи IPSEC
часто возникает совпадение внутренних подсетей филиалов, например, подсеть
центрального офиса совпадает с подсетью филиала.
В таком случае организация классического IPSEC без дополнительных усилий
невозможна. Cisco
предлагает использование трансляции IP-адресов для изменение адреса источника при доступе
к удаленной сети.
Рассмотрим пример.
Допустим, есть удаленная сеть 192.168.192.0/24
филиала и подсеть 192.168.11.144/28 подсеть центрального офиса где уже есть
маршрут к подсети 192.168.192.0/24.
Тогда конфигурация Cisco будет организована
следующим образом:
Со стороны удаленного офиса создаем следующий IPSEC
Туннель:
interface Tunnel0ip address 10.11.2.4 255.255.255.248ip mtu 1350ip nat outsideip virtual-reassembly intunnel source XXX.XXX.XXX.XXXtunnel mode ipsec ipv4tunnel destination YYY.YYY.YYY.YYYtunnel protection ipsec profile IPSEC-Server
Внутренний интерфейс:
interface Vlan1ip address 192.168.192.0 255.255.255.0ip nat insideip virtual-reassembly in
Собственно NAT
ip nat inside source static network 192.168.192.0 192.168.201.0 /24 no-alias
Маршрут в центральный офис
ip route 192.168.11.144 255.255.255.240 Tunnel0
Тогда в маршрутизаторе в центральном офисе
необходимо прописать маршрут к подсети 192.168.202.0 255.255.255.0.
Соответственно адреса будут отличаться только
третьим октетом в IP адресе.
Денис Григорьев
Комментариев нет:
Отправить комментарий