在地址重叠环境中部署IPsec ***

最新推荐文章于 2022-07-10 08:00:00 发布
最新推荐文章于 2022-07-10 08:00:00 发布
阅读量215 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34146410/article/details/85023372
版权

在部署IPSec ***时,经常会遇到内网地址重叠的现象,比如一家公司将另外一家收购之后,两家公司的内网地址都是同一网段,如果使用普通的方式实现IPSec ***,那么工程师就需要将兼并公司的内网地址进行重新的规划,这样对于网络管理增加了难度,下面需要使用NAT技术与IPSec技术,在不改变内网地址结构的情况下,实现IPSec ***。

本文档通过下面的实例来讲述其配置过程,具体网络结构如下拓扑图所示。

clip_image002

在这种网络环境下,需要互联相同地址段的内网,就需要在IPSec ***隧道中采用NAT对地址做转换,对于总公司来说,需要将分公司的内网网段转换为10.1.1.0/24,对于分公司来说,需要将总公司的内网网段转换为10.2.2.0/24

通过在***隧道中启用NAT,当总公司访问分公司的内网资源时,目的IP网段为10.1.1.0/24;当分公司访问总公司的内网资源时,目的IP网段为10.2.2.0/24。

通过在隧道内进行NAT地址转换实现地址重叠环境下的IPSec ***互联,NAT转换只用在一台路由器上做设置。

ip nat inside source static network 192.168.1.0 10.2.2.0 /24

ip nat outside source static network 192.168.1.0 10.1.1.0 /24

将总公司的内网换成10.2.2.0/24,分公司的内网换成10.1.1.0/24,当总公司访问分公司时,源地址为192.168.1.0/24,目的地址为10.1.1.0/24;当分公司访问分公司时,源地址为192.168.1.0/24,目的地址为10.2.2.0/24。

具体如下所示:

RA#sh running-config

Building configuration...

Current configuration : 1365 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname RA

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

!

resource policy

!

ip cef

!

!

crypto isakmp policy 110

hash md5

authentication pre-share

crypto isakmp key 123 address 99.9.9.10

!

!

crypto ipsec transform-set *** esp-des esp-md5-hmac

!

crypto map map1 10 ipsec-isakmp

set peer 99.9.9.10

set transform-set ***

match address 110

!

!

interface FastEthernet0/0

ip address 172.16.1.1 255.255.255.0

ip nat inside

ip virtual-reassembly

duplex half

!

interface Serial1/0

ip address 99.9.9.9 255.255.255.252

ip nat outside

ip virtual-reassembly

serial restart-delay 0

crypto map map1

!

interface Serial1/1

no ip address

shutdown

serial restart-delay 0

!

interface Serial1/2

no ip address

shutdown

serial restart-delay 0

!

interface Serial1/3

no ip address

shutdown

serial restart-delay 0

!

ip route 10.1.1.0 255.255.255.0 Serial1/0

no ip http server

no ip http secure-server

!

!

ip nat inside source static network 172.16.1.0 10.2.2.0 /24

ip nat outside source static network 172.16.1.0 10.1.1.0 /24

!

logging alarm informational

access-list 110 permit ip 10.2.2.0 0.0.0.255 172.16.1.0 0.0.0.255

!

!

control-plane

!

!

line con 0

stopbits 1

line aux 0

line vty 0 4

!

!

end

RB#sh running-config

Building configuration...

Current configuration : 1166 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname RB

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

!

resource policy

!

ip cef

!

!

crypto isakmp policy 110

hash md5

authentication pre-share

crypto isakmp key 123 address 99.9.9.9

!

!

crypto ipsec transform-set *** esp-des esp-md5-hmac

!

crypto map map1 10 ipsec-isakmp

set peer 99.9.9.9

set transform-set ***

match address 110

!

!

interface FastEthernet0/0

ip address 172.16.1.1 255.255.255.0

duplex half

!

interface Serial1/0

ip address 99.9.9.10 255.255.255.252

serial restart-delay 0

crypto map map1

!

interface Serial1/1

no ip address

shutdown

serial restart-delay 0

!

interface Serial1/2

no ip address

shutdown

serial restart-delay 0

!

interface Serial1/3

no ip address

shutdown

serial restart-delay 0

!

ip route 10.2.2.0 255.255.255.0 Serial1/0

no ip http server

no ip http secure-server

!

!

!

logging alarm informational

access-list 110 permit ip 172.16.1.0 0.0.0.255 10.2.2.0 0.0.0.255

!

!

!

control-plane

!

!

line con 0

stopbits 1

line aux 0

line vty 0 4

!

!

end

RA#ping 10.1.1.1 source 172.16.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

Packet sent with a source address of 172.16.1.1

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 144/211/272 ms

RA#ping 10.1.1.1 source 172.16.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:

Packet sent with a source address of 172.16.1.1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 112/181/308 ms

RA#sh crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst src state conn-id slot status

99.9.9.10 99.9.9.9 QM_IDLE 1001 0 ACTIVE

IPv6 Crypto ISAKMP SA

RA#sh crypto ipsec sa

interface: Serial1/0

Crypto map tag: map1, local addr 99.9.9.9

protected vrf: (none)

local ident (addr/mask/prot/port): (10.2.2.0/255.255.255.0/0/0)

remote ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)

current_peer 99.9.9.10 port 500

PERMIT, flags={origin_is_acl,ipsec_sa_request_sent}

#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9

#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9

#pkts compressed: 0, #pkts decompressed: 0

#pkts not compressed: 0, #pkts compr. failed: 0

#pkts not decompressed: 0, #pkts decompress failed: 0

#send errors 1, #recv errors 0

local crypto endpt.: 99.9.9.9, remote crypto endpt.: 99.9.9.10

path mtu 1500, ip mtu 1500, ip mtu idb Serial1/0

current outbound spi: 0x4E5895BC(1314428348)

inbound esp sas:

spi: 0x7110C730(1896924976)

transform: esp-des esp-md5-hmac ,

in use settings ={Tunnel, }

conn id: 1, flow_id: 1, crypto map: map1

sa timing: remaining key lifetime (k/sec): (4424986/3587)

IV size: 8 bytes

replay detection support: Y

Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:

spi: 0x4E5895BC(1314428348)

transform: esp-des esp-md5-hmac ,

in use settings ={Tunnel, }

conn id: 2, flow_id: 2, crypto map: map1

sa timing: remaining key lifetime (k/sec): (4424986/3586)

IV size: 8 bytes

replay detection support: Y

Status: ACTIVE

outbound ah sas:

outbound pcp sas:

RB#ping 10.2.2.1 source 172.16.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds:

Packet sent with a source address of 172.16.1.1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 120/196/224 ms

RA#sh ip nat translations

Pro Inside global Inside local Outside local Outside global

--- --- --- 10.1.1.1 172.16.1.1

--- --- --- 10.1.1.0 172.16.1.0

icmp 10.2.2.1:0 172.16.1.1:0 10.1.1.1:0 172.16.1.1:0

icmp 10.2.2.1:1 172.16.1.1:1 10.1.1.1:1 172.16.1.1:1

icmp 10.2.2.1:2 172.16.1.1:2 10.1.1.1:2 172.16.1.1:2

icmp 10.2.2.1:3 172.16.1.1:3 10.1.1.1:3 172.16.1.1:3

icmp 10.2.2.1:4 172.16.1.1:4 10.1.1.1:4 172.16.1.1:4

icmp 10.2.2.1:5 172.16.1.1:5 10.1.1.1:5 172.16.1.1:5

icmp 10.2.2.1:8 172.16.1.1:8 10.1.1.1:8 172.16.1.1:8

icmp 10.2.2.1:9 172.16.1.1:9 10.1.1.1:9 172.16.1.1:9

icmp10.2.2.1:10 172.16.1.1:10 10.1.1.1:10 172.16.1.1:10

--- 10.2.2.1 172.16.1.1 --- ---

--- 10.2.2.0 172.16.1.0 --- -

weixin_34146410
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
TwinCAT检索变量地址重叠的方法.docx
03-18
然而,如果在编程过程不加以注意,变量地址可能会出现重叠,导致程序运行错误。本文主要介绍了如何在TwinCAT 3和TwinCAT 2检查并解决变量地址重叠的问题。 1. **TwinCAT3 检索变量地址重叠的方法**: - 首先...
内网地址重叠如何部署ipsec***
weixin_34309435的博客
04-24 668
如何解决当两个站点间相同内网地址需要打通×××的情景?可以使用NAT+IPSEC ×××的方法,可以参照以下博主的方法,同时贴上NAT处理优先级的官方回答。http://xuanbo.blog.51cto.com/499334/410541/Q. Does NAT occur before or after routing?A. The order in which the ...
【隧道篇 / IPsec】(5.2) ❀ 06. IPsec - 子网重叠 ❀ FortiGate 防火墙
热门推荐
防火墙技术专栏
09-03 1万+
【简介】飞塔防火墙 IPsec VPN 子网重叠,实际上就是将各点VPN连接上后避免因为相同网段而不能互相访问。
不同网段的局域网怎么互通_地址重合的多个局域网络使用IPSEC点到点组网
weixin_39929259的博客
12-08 7051
背景本文主要探讨多个使用相同网段(或网段地址有交叉)的局域网如何通过ipsec异地组网。如果是在正常情况,AB两个网络希望实现LAN-TO-LAN,一般的法是借助ipsec建立点到点连接,并建立防火墙允许策略,感兴趣流量网段里的终端即可直接互访。回到今天的目标,由于两边的网段相同(或部分重合),感兴趣流量就无法正常配置,而且也无从区分某个ip地址属于哪一侧。问题的症结在什么地方已经清楚...
H3C路由器与Cisco路由器IPSEC对接
m0_60797416的博客
07-10 1366
在 H3C 路由器和 Cisco 路由器之间建立一个 IPsec 隧道,对Host A 所在的子网(10.1.1.0/24)与Host B 所在的子网(10.1.2.0/24)之间的数据流进行安全保护。图1 IKE 主模式及预共享密钥认证配置组网图 # 配置各接口的 IP 地址,具体略。# 配置 IPv4 高级 ACL 3000,定义要保护由子网 10.1.1.0/24 去子网 10.1.2.0/24 的数据流。 system-view [H3C] acl advanced 3000[H3C-a...
思科ipsec配置野蛮模式fqdn主动协商以及调试show命令
ly_6118的博客
11-01 5909
lo1----Cisco sw---------|FW1|-------------|FW2|------lo2 cisco sw接口ip:119.3.149.150 FW2接口ip:10.37.240.129 lo1:172.100.109.144 lo2: 11.37.1.1 感兴趣流:11.37.1.0/24------172.100.109.144/28 使用思科三层交换机型号WS-C36...
改进的重叠蚁群优化算法* (2014年)
05-11
针对蚁群优化算法在进行全局最优解搜索时容易陷入局部最优解和收敛速度缓慢等缺陷,提出了一种有效求解全局最优解搜索问题的重叠蚁群优化算法。该算法通过设置多个重叠的蚁群系统,并对每一个蚁群初始化不同的参数,...
AndroidFragment管理及重叠问题的解决方法
09-01
在Android应用开发,Fragment是UI组件的重要组成部分,它允许我们构建可动态组合的应用界面,尤其是在平板电脑等大屏幕设备上。本文将深入探讨Fragment的管理以及如何解决Fragment重叠问题。 首先,Fragment是在...
怎样防止编程时内存区地址重叠.docx
11-01
在编程过程,尤其是在使用特定的编程环境如PowerPro 4.3.1 B或更低版本进行LK编程时,确保内存区地址不发生重叠是非常重要的。内存区地址重叠会导致数据混淆,进而引发程序错误和系统不稳定。以下是一些防止内存区...
地址重叠环境部署IPsec ×××
weixin_34233421的博客
10-25 190
部署IPSec ×××时,经常会遇到内网地址重叠的现象,比如一家公司将另外一家收购之后,两家公司的内网地址都是同一网段,如果使用普通的方式实现IPSec ×××,那么工程师就需要将兼并公司的内网地址进行重新的规划,这样对于网络管理增加了难度,下面需要使用NAT技术与IPSec技术,在不改变内网地址结构的情况下,实现IPSec ×××。 本文档通过下面的实例来讲述其配置过程...
为什么IPsec两端内网的网段能不能重复?分明可以实现!
衡水铁头哥的博客
07-15 4073
上一个IPsec实验,我们测试了两端不同子网的隧道打通,那能不能打通两端相同的子网呢? 原则上是不行的,因为不同站点的网段在设计时就要求不能冲突,这样会影响报文的正常转发。当分支数量大于2个时,也会导致不同隧道的保护流量源目地址段重复,进而导致数据转发异常。 但是,大二层网络技术都已经实现了,为什么IPsec不能用呢?我们来一步一步地分析一下具体原因和解决办法。 组网需求和组网图 和上个实验相同。在RT1和RT2之间建立一条IPsec隧道,对PCA(192.168.1.101/24)与PCB(192
ipsec ip替换_两端内网IP地址段相同通过静态地址转换实现IPSEC互联互通
weixin_39959615的博客
12-20 1704
1.分支1路由器配置步骤:#网络互通配置省略,loopback0~n模拟内网主机interfaceLoopBack1ipaddress192.168.1.1255.255.255.255#interfaceLoopBack2ipaddress192.168.1.2255.255.255.255#interfaceLoopBack3ipaddress192.168.1.32...
memcpy的实现,考虑重叠地址空间。
MTT_SKY
06-08 2016
软件工程师在面试,经常被要求在白板上写一些小程序来检查程序员的代码书写风格及对细节的处理能力,memcpy就是经常被问到的一个。下面有两个版本的memcpy,第一个没有考虑目标地址空间和源地址空间重叠的问题,第二个则把这个问题考虑了进去。 //version 1, no memory overlap is considered void *memcpy(void *dst, co
Easy ×××&dynamic crypto map&ISAKMP Profile
weixin_33795833的博客
04-02 181
R1#sh run Building configuration... Current configuration : 1508 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec ...
华为设备配置BGP/MPLS IP 虚拟专用网地址空间重叠
Tony_long7483的博客
06-08 316
华为设备配置BGP/MPLS IP 虚拟专用网地址空间重叠
×××端口映射ipsec-isakmp的作用
weixin_34362790的博客
04-16 417
引用:crypto map map-name seq-num [ipsec-manual]crypto map map-name seq-num [ipsec-isakmp] [dynamic dynamic-map-name] [discover] [profile profile-name]crypto map map-name [client-accounting-...
H3C-IPSec方案部署
Galdys的专栏
11-23 2719
IPSec方案部署 通过前面几期的介绍可以发现IPSec所涉及的参数很多,在具体方案部署过程有许多灵活选择的地方,本期专栏就专门对IPSec在几种典型环境的方案部署进行介绍。 一、              常规IPSec方案 上图所示网络环境是最基本的IPSec应用场景: 1.       响应方无论在何种环境都是固定的公网地址; 2.       发起方也是固定的公网地址
IPSEC实验环境搭建
Princesk的博客
04-21 997
实验名称: 第三章 IP Sec VPN(一) VPN基本配置 实验要求的环境: 实验环境: 要求描述: 需要的软件工具、软件安装包:小凡 实验目的: 1)掌握IKE阶段1和阶段2的协商过程 2)在cisco路由器上配置IPSec VPN 实验步骤: 实验拓扑图: 1)R1配置 en conf t hos r1 int fa0/0 ip ad 100.0.0.1 255.255.255.252 no sh int fa1/0 ip ad 10.0.0.1 255.255.255.0
密集环境RFID读写器部署策略与优化研究
本文深入探讨了在密集环境RFID读写器的组网关键技术,主要关注如何有效部署这些读写器以实现大面积的覆盖,同时避免读写器之间的冲突和标签冲突,提升整个RFID系统的性能。RFID技术因其非接触式的自动识别特性,在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值