Khi xây dựng VPN với mạng hiện có (LAN) bằng IPSEC, các địa chỉ mạng của nhau có thể trùng lặp.
IPSEC không thể kết nối với mạng LAN có cùng địa chỉ mạng.
Vì vậy, bằng cách thực hiện chuyển đổi tỷ lệ kèo nhà cái, nó tránh được sự trùng lặp rõ ràng và đạt được IPSEC mà không cần chỉ định lại các mạng hiện có.
Đặt quy tắc chuyển đổi tỷ lệ kèo nhà cái từ phía LAN sang phía WAN.
Xin lưu ý rằng các cài đặt khác nhau giữa chế độ tỷ lệ kèo nhà cái và chế độ tỷ lệ kèo nhà cái+ (IP Masquerade).
Bạn cũng có thể chỉ định các quy tắc chuyển đổi tỷ lệ kèo nhà cái trên cơ sở mỗi mạng bằng cách chỉ định tham số "static-subnet". Đặt chuyển đổi từ địa chỉ cục bộ được chỉ định trong <mặt nạ địa chỉ/mạng con cục bộ sang địa chỉ toàn cầu được chỉ định trong <mặt nạ địa chỉ/mạng con toàn cầu trong các đơn vị được chỉ định trong <Mặt nạ mạng con.
tỷ lệ kèo nhà cái và NAT trên giao diện IPSEC*, NAT trên giao diện IPSEC được bật và tỷ lệ kèo nhà cái bị vô hiệu hóa.
*tỷ lệ kèo nhà cái trên giao diện IPSEC hỗ trợ v01.11 (00) trở lên
Lệnh này được bật sau lệnh làm mới.
lệnh độc quyền IKEV1
Bộ định tuyến (config)# Crypto ISAKMP Chính sách 1
Bộ định tuyến (config-isakmp)# ip tỷ lệ kèo nhà cái bên trong
Bộ định tuyến (config-isakmp)# ip tỷ lệ kèo nhà cái pool vpn-pool1
bộ định tuyến (config)#giấy phép truy cập 1
[Giải thích]
IP tỷ lệ kèo nhà cái bên trong Nguồn <Phạm vi địa chỉ ở phía LAN
.
<Phạm vi địa chỉ ở phía LAN được chỉ định bằng lệnh danh sách truy cập.
<phạm vi địa chỉ WAN là IP-VPN tỷ lệ kèo nhà cái
Bộ định tuyến (config)# Crypto ISAKMP Chính sách 1
Bộ định tuyến (config-isakmp)# ip tỷ lệ kèo nhà cái bên trong
bộ định tuyến (config)#giấy phép truy cập 1
[Giải thích]
IP tỷ lệ kèo nhà cái bên trong Nguồn <Phạm vi địa chỉ ở phía LAN
.
<Phạm vi địa chỉ ở phía LAN được chỉ định bằng lệnh danh sách truy cập.
2100_2278
Bộ định tuyến (config)# Crypto ISAKMP Chính sách 1
Bộ định tuyến (Config-isakmp) #IP tỷ lệ kèo nhà cái bên trong
[Giải thích]
2689_2784
.
Định cấu hình xác định tĩnh kết hợp địa chỉ IP toàn cầu và bản dịch địa chỉ IP riêng.
Nếu bạn muốn thực hiện nhiều thống kê tỷ lệ kèo nhà cái, bạn có thể chỉ định mặt nạ và chỉ định nó với một mục (nhiều mục được đăng ký cùng một lúc).
Ví dụ) Local = 192.168.100.0 Global = 158.xxx.xxx.0,255.255.255.0
192.168.100.0 ⇔ 158.xxx.xxx.0
192.168.100.1 ⇔ 158.xxx.xxx.1
::
192.168.100.255 ⇔ 158.xxx.xxx.255
[tỷ lệ kèo nhà cái] IP-VPN tỷ lệ kèo nhà cái Danh sách nguồn bên trong
[tỷ lệ kèo nhà cái+ Time] IP-VPN tỷ lệ kèo nhà cái Danh sách nguồn bên trong
[Chuyển đổi tĩnh] IP tỷ lệ kèo nhà cái bên trong nguồn
[NAT static (chuyển đổi hàng loạt)] IP tỷ lệ kèo nhà cái
tham số Cài đặt Cài đặt phạm vi mặc định số danh sách truy cập Chỉ định danh sách truy cập với phạm vi trước dịch (địa chỉ cục bộ). 1-99
1300-1399không bị bỏ qua [Bắt đầu số cổng trước số cổng kết thúc chuyển đổi trước khi chuyển đổi] Chỉ định số cổng TCP/UDP (phạm vi) trước khi chuyển đổi. 1 đến 65535 Chuyển đổi cổng tự động Tên nhóm Chỉ định tên nhóm tỷ lệ kèo nhà cái với phạm vi (địa chỉ toàn cầu) được chuyển đổi. Tên nhóm tỷ lệ kèo nhà cái Không bị bỏ qua trong trường hợp của tỷ lệ kèo nhà cái Địa chỉ sau tỷ lệ kèo nhà cái+ Chuyển đổi Chỉ định địa chỉ sau khi chuyển đổi tỷ lệ kèo nhà cái+.
Giao diện Chuyển đổi để gửi địa chỉ giao diện modeconfig Chuyển đổi thành địa chỉ được gán bởi bên kia PEER <Địa chỉ IP Chuyển đổi thành địa chỉ IP thành đặt không bị bỏ qua cho tỷ lệ kèo nhà cái+ quá tải Được chỉ định khi số cổng cục bộ luôn được chuyển đổi sang số cổng khác
*Số cổng sau khi chuyển đổi là 1024-65535quá tải Về cơ bản, thử NAPT mà không chuyển đổi số cổng cục bộ.
Chuyển đổi sang số cổng khác chỉ khi số cổng đó đã được sử dụng.
Số cổng sau khi chuyển đổi là 1024-65535.[Bắt đầu số cổng sau số cổng kết thúc chuyển đổi sau khi chuyển đổi] Chỉ định số cổng TCP/UDP được chuyển đổi (phạm vi). 1 đến 65535 Chuyển đổi cổng tự động Địa chỉ cục bộ Chỉ định địa chỉ cục bộ trước khi chuyển đổi. Định dạng địa chỉ IPv4 không bị bỏ qua Địa chỉ toàn cầu Chỉ định địa chỉ toàn cầu sau khi dịch. Định dạng địa chỉ IPv4 không bị bỏ qua mạng con cục bộ Chỉ định địa chỉ cục bộ trước khi chuyển đổi.
* Nếu static-subnet được chỉ định, không chỉ định 1 trong phần máy chủ.Định dạng địa chỉ IPv4 không bị bỏ qua Mạng con toàn cầu Chỉ định địa chỉ toàn cầu sau khi dịch.
* Nếu static-subnet được chỉ định, không chỉ định 1 trong phần máy chủ.Định dạng địa chỉ IPv4 không bị bỏ qua Mặt nạ mạng con Đặt chuyển đổi trong tất cả các đơn vị được chỉ định bởi mặt nạ mạng con. Định dạng địa chỉ IPv4 không bị bỏ qua
Số lượng mục tối đa: 32 mục cho toàn bộ thiết bị
Các mục nhập tĩnh 512 (tất cả thiết bị) *isakmp
tỷ lệ kèo nhà cái không thể được sử dụng.
Quy tắc chuyển đổi tỷ lệ kèo nhà cái áp dụng theo thứ tự sau:
1) Quy tắc chuyển đổi tĩnh
2) Quy tắc chuyển đổi theo danh sách
Với cùng loại quy tắc, các quy tắc có độ dài tiền tố dài được áp dụng trong ưu tiên.
Nếu có nhiều cài đặt có cùng độ dài tiền tố, các cài đặt được đăng ký trước đó trong cấu hình sẽ được ưu tiên.
Lưu ý rằng nó được đăng ký trong cấu hình theo thứ tự sau và cùng loại được đăng ký theo thứ tự đầu vào.
1) Quy tắc chuyển đổi tĩnh (địa chỉ máy chủ hiện tại)
2) Quy tắc chuyển đổi static-subnet
3) Quy tắc chuyển đổi theo danh sách
Chế độ cài đặt chính sách IKE