现在,我们已经可以通过调整两台设备的组合配置或仅调整一台设备的配置,来实现一个局域网通过 IP 地址访问另一个地址重叠的局域网。
之前的案例中,我们模拟的是专线互访,但是实际应用中,专线场景可能比较少的出现这种情况。但是现在的 SD-WAN 场景(SD-WAN 网络中的 IPsec 流量是怎么转发的?我给你简单演示一下)就不一样了,出现的概率就高了很多。那在 SD-WAN 网络中,如果出现这种问题要怎么解决呢?
组网需求
1、某公司有两个办公点,内网网段地址均为 10.1.1.0/24,现在通过 SD-WAN 方案将两个办公点内网打通,但是因为有生产业务,不能改变主机地址。
2、该公司拥有组网图中所有地址段的所有地址的使用权。
3、需要实现,PCA 能够访问 PCB。
组网图
一个局域网通过 NAT 访问另一个地址重叠的局域网(IP 访问)
实验环境
Windows 10 专业版(1909-18363.1556,16 GB 内存)HCL 3.0.1MSR 36-20(Version 7.1.064, Release 0821P11)
配置思路
首先回顾 RFC2401(IPsec:互联网协议的安全架构),我们知道 IPsec 仅仅是一种安全封装,他是在接口上对报文做安全封装,自身并不是接口。如果我们将前两个案例中的中间线路替换为 IPsec,则在设备上行口不能再做 NAT 转换了,这种场景我们已经有了结论,无法实现访问。
那我们可以想一下之前的 IPsec 和 GRE 组合使用的场景,我们可以将 RTA 和 RTB 使用 GRE 打通,再使用 IPsec 进行封装即可。
配置步骤
按照配置思路,直接上使用 GRE+NAT 实现访问的配置,此时尚未做 IPsec 封装。
RTA
#sysname RTA#nat static outbound 10.1.1.2 20.1.1.2#policy-based-route NAT permit node 1 if-match acl 3402 apply next-hop 13.1.1.3#interface GigabitEthernet0/0 ip address 10.1.1.1 255.255.255.0 nat static enable ip policy-based-route NAT#interface GigabitEthernet0/1 ip address 12.1.1.1 255.255.255.0#interface Tunnel1 mode gre ip address 13.1.1.1 255.255.255.0 source 12.1.1.1 destination 23.1.1.3 nat outbound#ip route-static 23.1.1.0 24 12.1.1.2#acl advanced 3402 rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
ISP
#sysname ISP#interface GigabitEthernet0/0ip address 12.1.1.2 255.255.255.0#interface GigabitEthernet0/1 ip address 23.1.1.2 255.255.255.0
RTB
#sysname RTB#interface GigabitEthernet0/0 ip address 10.1.1.1 255.255.255.0#interface GigabitEthernet0/1 ip address 23.1.1.3 255.255.255.0#interface Tunnel2 mode gre ip address 13.1.1.3 255.255.255.0 source 23.1.1.3 destination 12.1.1.1#ip route-static 12.1.1.0 24 23.1.1.2
验证配置
测试从 PCA 使用地址 20.1.1.2 访问 PCB,发现可以访问,TTL 值为 253。
在 RTA 上查看报文处理过程。
1、从接口 G0/0 收到报文,源地址 10.1.1.2,目的地址 20.1.1.2;
2、在入接口上做 NAT 转换,源地址 10.1.1.2,目的地址 10.1.1.2;
3、匹配策略路由,将报文转发到接口 Tunnel1;
4、在出接口上做 NAT 转换,源地址 13.1.1.1,目的地址 10.1.1.2,并发出报文;
5、从接口 Tunnel1 收到报文,源地址 10.1.1.2,目的地址 13.1.1.1;
6、匹配接口 Tunnel1 的 NAT 会话,做 NAT 转换,源地址 10.1.1.2,目的地址 10.1.1.2,将报文转发到接口 G0/0;
7、匹配接口 G0/0 的 NAT 会话,做 NAT 转换,源地址 20.1.1.2,目的地址 10.1.1.2,并发出报文。
此时看一下 RTA 发出的报文,报文内容一览无遗。
那接下来就是做 IPsec 封装了,这里我们应该用 GRE over IPsec,而且我们也看到了保护流量应该是接口 Tunnel1 的地址(13.1.1.1/24)到对方私网(10.1.1.2/24)的流量。直接上配置:
RTA
#acl advanced 3403 rule 0 permit ip source 13.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255#ipsec transform-set TRAN esp encryption-algorithm 3des-cbc esp authentication-algorithm sha1 #ipsec policy nat 10 isakmp transform-set TRAN security acl 3403 remote-address 13.1.1.3#ike keychain KEY pre-shared-key address 13.1.1.3 24 key simple nat #interface Tunnel1 mode gre ipsec apply policy nat
RTB
#acl advanced 3403 rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 13.1.1.0 0.0.0.255#ipsec transform-set TRAN esp encryption-algorithm 3des-cbc esp authentication-algorithm sha1#ipsec policy nat 10 isakmp transform-set TRAN security acl 3403 remote-address 13.1.1.3#ike keychain KEY pre-shared-key address 13.1.1.1 24 key simple nat#interface Tunnel2 mode gre ipsec apply policy nat
查看 RTA 发出的报文情况。
可以看到,有 ISAKMP 主模式协商的过程,然后是 ESP 封装报文。
查看 RTA 上的 IKE SA 信息。
查看 RTA 上的 IPsec SA 信息。
怎么样?你学废了吗?
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/4767.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
