一.概述
如果用PIX或者ASA8.3之前的版本与路由器建立L2L VPN,解决地址重叠时优先考虑使用路由器解决,但是实际情况有可能两边都是PIX或者ASA8.3之前的版本,是否有方法解决地址重叠,又避免不能上互联网的问题呢?经过测试,还是有方法的。
二.基本思路:
A.首先解决地址重叠问题,必须两边看对方的地址是其他网段的地址。
B.因为PIX静态NAT比其他任何方式NAT都优先,所以需要避免使用静态NAT。
C.策略静态NAT比策略PAT优先级要高。
D.总部配置PAT和NAT0,NAT0的ACL把访问分部映射后的网络地址给排除
----这样就可以确保总部的主机解决地址重叠的问题的时候,不影响上互联网。
E.分部配置策略PAT和策略静态NAT,策略静态NAT的ACL只列出分部主机访问总部主机映射后的地址,策略静态NAT优先级比策略PAT优先级高,会先执行。
----这样就不会影响分部的主机上互联网。
----因为策略静态NAT不像静态NAT那样,对网段地址实现一对一的映射,所以这种方式只在两边网段少数主机相互需要VPN访问才方便配置,否则需要配置很多策略静态NAT(因为目前这种方式只能使用一对一的策略静态NAT)。
F.总部到分部的源地址没有做转换,为了能保证数据流正常进行,那就需要在分部防火墙的outside做转换,使得进入分部后源地址为其他网段的地址。
G.经过测试结果可以看出,Outside口到内网的NAT,是在VPN解密之后,而恰恰相反,Inside到outside的NAT是在VPN加密之前。
三.测试拓扑:
四.基本配置:
A.ERP_HQ路由器:
interface Ethernet0/0
ip address 172.16.1.2 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 172.16.1.1
B.PIX80_HQ防火墙:
interface Ethernet0
nameif Inside
security-level 100
ip address 172.16.1.1 255.255.255.0
no shut
interface Ethernet1
nameif Outside
security-level 0
ip address 202.100.1.1 255.255.255.0
no shut
route Outside 0.0.0.0 0.0.0.0 202.100.1.10
access-list OUTSIDE extended permit icmp any any
access-group OUTSIDE in interface Outside
C.Internet路由器:
interface Ethernet0/0
