NAT 过载上的加密操作顺序?

网络工程 思科 虚拟专用网 纳特
2021-07-18 07:29:11

我有一个带有站点到站点 IPSec 的 Cisco 路由器。我想知道您是否能够将单个主机内部的隧道拆分到互联网之外,这也在有趣的流量 ACL 中被引用?

与 NAT 过载相比,VPN 相关流量的操作顺序如何?

例子:

Interesting Traffic ACL: 10.1.1.0/24
PAT Host : 10.1.1.20

如果 10.1.1.20 发送流量,它会命中加密 ACL 并通过 ipsec 隧道传输,还是会使用 NAT 过载通过 WAN 进行 PAT?它只有一条通往 Internet 的默认静态路由。

如果没有,您是否必须拆分您的感兴趣的 ACL 以排除主机,或者在 VPN 感兴趣的流量 ACL 中将其穿过隧道?

1个回答

与 NAT 过载相比,VPN 相关流量的操作顺序如何?

引用Cisco IOS中 IPSec 操作顺序,包括 IPSec 和 NAT。

  • 内外交通

    • 如果是 IPSec,则检查输入访问列表解密 - 对于 CET(思科加密技术)或 IPSec
    • 检查输入访问列表
    • 检查输入速率限制
    • 投入核算
    • 重定向到网络缓存
    • 策略路由
    • 路由
    • NAT 从内到外(本地到全局转换)
    • 加密(检查地图并标记加密)
    • 检查输出访问列表
    • 检查(基于上下文的访问控制 (CBAC))
    • TCP拦截
    • 加密
    • 排队

  • 外到内交通

    • 如果是 IPSec,则检查输入访问列表
    • 解密 - 用于 CET 或 IPSec
    • 检查输入访问列表
    • 检查输入速率限制
    • 投入核算
    • 重定向到网络缓存
    • NAT 从外到内(全局到本地转换)
    • 策略路由
    • 路由
    • 加密(检查地图并标记加密)
    • 检查输出访问列表
    • 检查 CBAC
    • TCP拦截
    • 加密
    • 排队

关于如何在隧道和互联网连接之间拆分来自单个主机的流量:您需要将隧道另一端的目的地包含在 ACL 中以获得有趣的流量,并确保您有一条通过应用加密映射的接口。

其它你可能感兴趣的问题
上一篇收到的最后一个字节,使用wireshark 下一篇Cisco - 如何配置 IPHelper 以使用多个交换机中继 DHCP?