设为首页收藏本站
切换到窄版

博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
博威---云架构决胜云计算»广场 云计算 华为技术 讨论:VPN与静态NAT共存的问题(问题描述详细),谢谢。
返回列表 发新帖
查看: 1770|回复: 1

讨论:VPN与静态NAT共存的问题(问题描述详细),谢谢。

[复制链接]
发表于 2008-4-12 22:16:24 | 显示全部楼层 |阅读模式
网络拓扑:
webserver——cisco2851——(互联网)——vpn设备——客户端;
问题描述:
1、总部的cisco2851开启VPN功能(用的是site to site的模式),分布的VPN设备对应总部的配置已经做好了VPN配置。从客户端能ping通总部内网的webserver(用的是内网地址ping的)。
2、总部的cisco2851上面还做了nat转换,并且根据端口有一个静态的nat映射,映射到内网的webserver。从客户端直接访问cisco2851的外网口(用http://公网IP),可以成功打开webserver上的页面。
3、但是现在vpn联通后,从客户端用内网ip(http://内网ip)确打不开webserver上的页面。(前面提到从客户端是可以ping同webserver的内网ip的。)
4、我试着将路由器上cisco2851上的静态nat端口映射的那条命令去掉后,再用http://内网ip 来访问就可以成功访问到。
5、我曾试着在核心cisco2851上的外网口上增加第二个公网地址(客户是有两个地址可用的),我想用一个地址来做nat转换,一个地址用作vpn的连接,但是同样也没成功。
6、难道这中共存的方式就压根不能实现吗?还是有其他解决的方式,请各位老大赐教。谢谢
7、附录:关键配置如下

!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key 123456 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
!
crypto dynamic-map penglai 1
set transform-set ESP-3DES-SHA1
match address 102
!
!
crypto map SDM_CMAP_1 10 ipsec-isakmp dynamic penglai
!
!
!
!
!
interface GigabitEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
ip address 251.45.32.104 255.255.255.0 secondary
ip address 251.45.32.100 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map SDM_CMAP_1
!
interface GigabitEthernet0/1
ip address 10.44.15.65 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 251.45.32.97
!
!
ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool nat_add 251.45.32.100 251.45.32.100 netmask 255.255.255.0
ip nat inside source route-map SDM_RMAP_1 pool nat_add overload
ip nat inside source static tcp 10.44.15.178 8080 221.0.112.100 80 extendable
ip nat inside source static tcp 10.44.15.194 8000 221.0.112.100 8000 extendable
!
access-list 10 permit 10.44.15.0 0.0.0.255
access-list 100 deny   ip 10.44.15.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 100 permit ip 10.44.15.0 0.0.0.255 any
access-list 102 remark IPSec Rule
access-list 102 permit ip 10.44.15.0 0.0.0.255 192.168.0.0 0.0.0.255
!
route-map SDM_RMAP_1 permit 1
match ip address 100
!
!
!
!
control-plane
!
!
!
!
回复

使用道具 举报

发表于 2008-4-13 09:23:41 | 显示全部楼层
研究 中,真是很少这样做
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-28 04:36 , Processed in 0.080355 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表