最佳答案
冲突的话主要是因为两者涉及到地址转换和数据包过滤的不同操作。
IPsec感兴趣流通过建立安全隧道,对数据进行加密和身份验证。需要将IP地址和端口信息包含在IP头中的扩展头部中,这样就无法进行NAT的地址转换,否则会导致通信失败。
NAT用于实现私有网络与公网的通信。通常使用ACL来定义允许转换的地址和端口范围,以及允许或阻止特定IP地址或协议的流量。
因此,当IPsec感兴趣流和NAT的ACL同时存在时,可能会发生冲突。例如,如果NAT的ACL不允许IPsec所需的协议或端口通过,或者由于NAT的修改导致IPsec数据包无法正确解密,都会导致通信失败。
(0)
暂无评论
是这样的 :
站点A---公网---站点B
1、站点A或B两地,正常上网都是nat到两个站点的公网IP,通过公网IP上公网的。
2、当A、B做IPSec后,由于IPSec保护的是A、B两个内网的网段互通,但是两个内网网段互通是必经两地的公网接口(WAN口),也就是有公网IP的那个口,此时如果不在公网接口下应用的acl里排除:A--B 两个内网网段访问时不做Nat,则会造成,A、B内网网段在尝试通讯时,内网网段被nat成公网IP,然而公网IP是无法与两端的内网网段通讯的,所以最终会导致IPSec隧道正常,但是两地内网网段不通。
3、写高级acl,指定源目的网段(A访问B,另一头写B访问A网段)不做nat。即可!
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论