我有两个具有相同本地网络的辐条,并希望在它们之间进行 IPSEC。当我尝试从 192.168.5.0(从右侧到左侧) ping 172.17.214.111 时,我在 Cisco 路由器上看到了数据包,并且在该 cisco 路由器上也看到了来自 172.17.214.111 的回复。并且该数据包正确路由到 IPSEC 隧道。但是ping不通。(超时)我做错了什么?
具有相同本地网络的两个办公室之间的 IPSEC。我该怎么做?
网络工程
纳特
ipsec
2022-02-08 01:42:24
2个回答
您不能有两个具有相同子网的单独网络。最好的解决方案是重新解决其中一个问题。
其他可能的解决方案,例如使用 NAT 或某种类型的第 2 层隧道,比重新寻址更复杂且容易出错。
根据您的图表和解释,我可以看到两个最终用户网络都使用相同的网络子网 192.168 5.0/24,在这种情况下,源 IP 和目标 IP 将属于相同的子网 IP 在这种情况下会发生冲突以克服这个问题。请使用不同的 ip 池子网从流量发起端进行源 natting 目的。
Assuming right side is initiating traffic do source natting for source subnet 192.168.5.0/24 with newly allocate pool
示例 allocate source nat pool 172.16.56.0/24 根据左侧网络或对等网络中未使用的池选择
Ip nat inside source static 192.168.5.0 172.16.56.0
If you want to ping local ips on peers side ensure that ICMP is allowed on firewall security policy on both end