У меня есть межсетевой экран Cisco ASA между нашей частной сетью (10.1.0.0/16) и внешним миром, а также несколько VPNS, идущих к сайтам клиентов.
Существующий:
[10.1.0.2...] = source client
|
[10.1.0.1 ASA <public>]---{other VPNs...}
|
{VPN}
|
[<public> Router <private>]
|
[<private>] = destination server
Теперь мне нужно установить соединение с кем-то еще, чтобы поговорить с серверами в их организации, но чтобы избежать конфликта с другими частями их сети, мне нужно, чтобы мои IP-адреса выглядели так, как будто они находятся в диапазоне 192.168.50.0/24, а не 10.1. 0,0 / 16.
Желаемые (с точки зрения удаленной сети):
[192.168.50.2...] = source client
|
[<?> ASA <public>]
|
{VPN}
|
[<public> Router <private>]
|
[<private>] = destination server
Мне все еще нужно сохранить существующую конфигурацию для всех других VPN, поэтому у меня нет возможности переназначить IP-адрес нашей внутренней сети, и я хотел бы вместо этого создать некоторые правила NAT в Cisco.
Что мне нужно настроить для реализации этого сценария, пожалуйста?
Иан,
То, о чем вы говорите, довольно распространено ... у вас есть перекрывающиеся внутренние подсети, которые не будут передавать трафик должным образом при настройке на обычный туннель IPSEC VPN (между сайтами).
Идея состоит в том, чтобы сделать NAT политики для трафика VPN, чтобы изменить ваш 10.1.0.0/16 на 192.168.50.0/24, если он туннелируется через VPN.
У Cisco есть отличная статья о том, как это сделать: LAN-to-LAN VPN с перекрывающимися подсетями
Здесь также есть сообщение в блоге, если вы используете более позднюю версию ASA: ASA VPN с перекрывающимися подсетями
Надеюсь, это поможет.