上一个IPsec实验,我们测试了两端不同子网的隧道打通,那能不能打通两端相同的子网呢?

原则上是不行的,因为不同站点的网段在设计时就要求不能冲突,这样会影响报文的正常转发。当分支数量大于2个时,也会导致不同隧道的保护流量源目地址段重复,进而导致数据转发异常。

但是,大二层网络技术都已经实现了,为什么IPsec不能用呢?我们来一步一步地分析一下具体原因和解决办法。

组网需求和组网图

和上个实验相同。在RT1和RT2之间建立一条IPsec隧道,对PCA(192.168.1.101/24)与PCB(192.168.1.102/24)互访的数据流进行安全保护。

发现问题并解决问题

问题1

正常来讲,PCA和PCB在同一网段但是不在同一网络应该是不能通信的。举个例子,PCA(192.168.1.101)请求PCB(192.168.1.102)时,会发现在同一个广播域内,那么他就会直接发送ARP广播请求。当网关设备RT1收到ARP解析请求时,因为本身没有对应的ARP表项,也就不会响应该请求流量。

最终导致的结果就是,这一请求流量最终终结在了PCA的LAN侧。

解决方案

解决该问题就是要让请求流量上到网关设备上,常用的解决方案就是代理ARP。

如果ARP请求是从一个网络的主机发往同一网段却不在同一物理网络上的另一台主机,那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程称作代理ARP(Proxy ARP)。

代理ARP功能屏蔽了分离的物理网络这一事实,使用户使用起来,好像在同一个物理网络上。

代理ARP分为普通代理ARP和本地代理ARP,二者的应用场景有所区别:

普通代理ARP的应用场景为:想要互通的主机分别连接到设备的不同三层接口上,且这些主机不在同一个广播域中。

本地代理ARP的应用场景为:想要互通的主机连接到设备的同一个三层接口上,且这些主机不在同一个广播域中。

所以我们此处要用的就是普通代理ARP,开启方法很简单,就是在接口下配置如下命令:

proxy-arp enable

问题2

解决了问题1,流量就可以上送到网关设备了,这个时候RT1会进行查表,不过查表的时候会发现192.168.1.0/24这个网段是直连路由,还会丢回到上来的接口。

解决方案

这个问题也很简单,大家都知道路由查表的最长匹配原则,只要有掩码长度更短的明细路由就可以了。如果用到这种场景,一般还是要规划一下,毕竟地址冲突就不好了。这个环境中我们将PCA地址配置为192.168.1.101/24,网关为192.168.1.1/24;PCB地址配置为192.168.1.102/24,网关配置为192.168.1.2/24。这样的话,我们把明细路由配置完整即可。

问题3

问题3其实也不是问题,就是前两个问题解决之后的正常配置调整,就是把保护的数据流量和NAT排除的地址段进行调整即可。

验证配置

此时两台主机就已经通了。

查看ARP信息,发现192.168.1.102的MAC地址和网关的MAC地址相同。

抓包看一下,没有问题。

问题4

两端的网关地址能不能设置成相同的IP地址192.168.1.1呢?

答案是可以。但是有一个问题,就是你没有办法判断你到对端的网关是否能通了。像下面这样,ping测网关只能是自己当前的网关,有TTL值为证。

PCA测试网关。

PCB测试网关。

而如果两端网关不同,就能看到效果了。

从PCA发起测试。

从PCB发起测试。

设备配置

RT1

#

interface GigabitEthernet0/0

ip address 192.168.1.1 255.255.255.0

proxy-arp enable

#

interface GigabitEthernet0/1

ip address 12.1.1.1 255.255.255.0

nat outbound 3403

ipsec apply policy ipsec

#

ip route-static 23.1.1.0 24 12.1.1.2

ip route-static 192.168.1.2 32 12.1.1.2

ip route-static 192.168.1.102 32 12.1.1.2

#

acl advanced 3402

rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

#

acl advanced 3403

rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

rule 5 permit ip

#

ipsec transform-set tran1

esp encryption-algorithm aes-cbc-128

esp authentication-algorithm sha1

#

ipsec policy ipsec 10 manual

transform-set tran1

security acl 3402

remote-address 23.1.1.3

sa spi inbound esp 123456

sa string-key inbound esp simple qwer

sa spi outbound esp 654321

sa string-key outbound esp  simple asdf

RT2

#

interface GigabitEthernet0/0

ip address 192.168.1.2 255.255.255.0

proxy-arp enable

#

interface GigabitEthernet0/1

ip address 23.1.1.3 255.255.255.0

nat outbound 3403

ipsec apply policy ipsec

#

ip route-static 12.1.1.0 24 23.1.1.2

ip route-static 192.168.1.1 32 23.1.1.2

ip route-static 192.168.1.101 32 23.1.1.2

#

acl advanced 3402

rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

#

acl advanced 3403

rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

rule 5 permit ip

#

ipsec transform-set tran1

esp encryption-algorithm aes-cbc-128

esp authentication-algorithm sha1

#

ipsec policy ipsec 10 manual

transform-set tran1

security acl 3402

remote-address 12.1.1.1

sa spi inbound esp 654321

sa string-key inbound esp simple asdf

sa spi outbound esp 123456

sa string-key outbound esp simple qwer

RT-ISP

#

interface GigabitEthernet0/0

ip address 12.1.1.2 255.255.255.0

#

interface GigabitEthernet0/1

ip address 23.1.1.2 255.255.255.0

总结

其实我测试的顺序是问题4-3-2-1。先修改了两端的IP地址,再调整了配置,再增加了路由,这个时候在网关上带源地址ping,两端的网关已经能通了。最后发现没有流量上到网关,才开启的网关ARP普通代理。

1、二层流量可以通过网关的ARP代理,将流量引入到网关设备。

2、改变流量转发路径可以通过添加明细路由的方式解决,当然,这个也可以作为一个网络攻击手法,之前我也遇到过这种问题,此处就不展开了。

3、可以发现,两个区域网段相同的场景比正常场景要求的规划更多,配置更复杂,不太推荐使用啊。

为什么IPsec两端内网的网段能不能重复?分明可以实现!相关推荐

  1. PFsense基于LAN卡实现内网不同网段路由互通的坑

    困了一两年的题,一直没花时间去研究.偶然看到PFsense中一个选项讲的好像就是这么一回事,勾选上后,问题解了.... PFsense软防下面的机器需要基于PF的LAN卡实现内网不同网段路由互通,除了 ...

  2. 构建AWS Site-to-Site IPsec实现内网互联

    1.需求描述 最近在进行公司内部在进行容灾产品测试,将本地IDC机房网络VMware虚拟机可以容灾到AWS,由于网络通信需求,需要将本地IDC私有云网络与AWS的VPC网络进行对等连接,实现内网可以双 ...

  3. 内网虚拟机静态IP设置VMWare内网通外网不通把某一网段白名单虚拟机ping不通主机虚拟机桥接改成非192.168网段服务器与电脑直连共享wifi

    首先关于虚拟机网络问题,先打开网络适配器,查看是否有vmware下载后的两个自带的虚拟网卡,网络和internet->更改适配器 可以看到VMnet1和VMnet8两个虚拟机网卡和wlan网卡以 ...

  4. 双网卡电脑同时上内网(局域网)和外网并实现跨网段访问

    问题描述:双网卡电脑可以同时访问内网(局域网192.168.202.x)和外网,但是不能跨网段访问内网其他网段(192.168.119.x). 解决方法:1.使用管理员权限打开cmd页面,输入rout ...

  5. 企业路由器配置L2TP 站点到站点模式Virtual Private Network指南_3(外网访问内网资源)

    应用场景:  企业路由器提供多类VPN功能.其中L2TP VPN可以实现企业站点之间搭建安全的数据传输通道,将接入Internet的企业分支机构与总部网络通过安全隧道互联,实现资源.信息共享. 资源说 ...

  6. vulnhub_内网渗透测试的记录——网络安全

    主要考察知识点 文件包含内网穿透命令上传弱口令更改权限HTTP协议HeaderElasticSearch-CVE暴力破解 网络拓扑 写完之后把靶机的网络拓扑也做了一下 写在之前 这次用的虚拟机是VM_ ...

  7. kali扫描内网ip_Metasploit路由转发实现内网渗透

    利用背景 在渗透的过程中常常会遇到这种场景:我们已经通过web渗透拿下一台内网服务器,为了进一步进行内网渗透,我们会利用"沦陷主机"作为跳板进行进一步的内网渗透,扩大战果. 现在假 ...

  8. 口语化讲某些软件如BT,电驴,向日葵等穿透内网原理

    一般如果要访问或远程控制内网的电脑,都需要在路由器或网关服务器上做端口映射处理,但某些软件如BT,电驴,向日葵,teamviewer等无需做端口映射即可穿透内网远程通讯.一般宽带路由器对出站通讯(主动 ...

  9. 双网关,可以上内网或外网,如何同时上内网和外网?

    这个很好办,我一直是一个网关同时上内外网. 题主给了两个网段,这里先假设192.168.1.1是内网办公网段,而192.168.100.1外网访问的内部地址(网关). (1)给网卡配两个IP地址,一个 ...

最新文章

  1. 信号量(一) 基础知识
  2. dede织梦背景经常使用标签
  3. hooks的常用Api
  4. 2017.9.27 书架 思考记录
  5. perl 语言(数组)
  6. 软考高级,信息系统项目管理师(高项)经验分享
  7. matlab常用滤波处理(图片)小波、高斯、均值、中值
  8. 16S rRNA全长测序揭示中国重度污染河口细菌群落的时空动态
  9. linux怎么编译ipa,如何使用XCode 4创建ipa文件及提交应用程序
  10. Windows系统开通sftp服务
  11. Vue2 轮播图组件 原生slide组件
  12. 2012年度十大杰出IT博客之 李云
  13. alternate端口什么意思_alternate是什么意思_alternate在线翻译_英语_读音_用法_例句_海词词典...
  14. 《PostgreSQL 开发指南》第 08 篇 备份与恢复
  15. Vjudge B - Grandpa is Famous
  16. GOM引擎传奇中增加会员时间的脚本教程分享
  17. 最新PanDownload卢本伟修改版,直达60M/s
  18. matlab2019arobot工具箱_MATLAB2020a自动驾驶工具箱有哪些新特性?
  19. Java开发手册及规范
  20. 大数据人才炙手可热 薪酬到底有多高?

热门文章

  1. 图像处理基本算法 车牌识别与定位
  2. 页面图片应用外部链接403解决方法
  3. Tensorflow 摄像头物体实时识别
  4. Nginx,Nginx 搭建图片服务器
  5. Java开发快速学习!黑马java项目实战
  6. Docker上配置Redis集群时出现No more cluster attempts left.
  7. solor mysql_solr7.4.0+mysql+solrj(简而优美)
  8. python an integer is required_Python TypeError: an integer is required (got type tuple)
  9. SAP MRP元素代码、描述、缩写及元素说明(中文)
  10. 【代码规范】Web前端开发规范文档!!!