FW-A 後方有 1 個網路已就位,位於子網路 172.16.101.0/24 中
我想在FW-A和FW-B之間建立IPSec隧道,並且讓FW-B後面的裝置也位於與FW-A相同的子網路172.16.101.0/24。
這是一個表示:
現在據我所知,實現這種拓撲的方法是對兩個網路進行 nat 並讓它們透過其 nat 位址進行通訊。
我想知道是否有另一種方法可以將子網路 A 通告到 FW-B,同時在 B 側維護相同的子網路?
這裡的基本想法是 B 後面的設備使用其真實地址 172.16.101.0/24 直接與 A 後面的設備通信,而不需要任何 NAT?
不確定這是否合理,因為我知道兩個網路之間存在衝突。
答案1
在這種情況下,您有三種選擇。
- 1:正如您已經指出的,使用完整的 NAT(來源和目標 NAT)
- 2:網路分段(將
172.16.101.0/24子網路轉換為兩個/25子網路) - 3:使用橋接而不是 IPsec 隧道。
在場景 3 中,您將在網路第 2 層上建置 VPN,有效地將這兩個網路橋接在一起。您必須透過其他方式確保不會發生 IP 衝突。這會為 VPN 帶來額外的開銷,因為您正在透過乙太網路協定而不是 IP 協定建立隧道。
可以在此類 VPN 連線上安裝防火牆(請參閱這裡例如,或查看 linux 手冊頁ebtables),但比 ipsec 隧道更具挑戰性,並且並非所有防火牆都具有這種功能。由於這些缺點,我總是會選擇完整的 NAT 選項...