Как показано ниже, в центральном аппарате (HQ) — WANO и в филиалах (Branch1, Branch2) NGAF со встроенным VPN сегмент корпоративной сети Branch1 и Branch2 — 3.3.3.0/24. Пользователь не хочет менять сегмент IP-сети для другой ветви и устанавливать соединение для обеих.
Анализ запроса
Сегменты локальной сети двух филиалов одинаковы. Когда центральный аппарат получает данные из сегмента сети 3.3.3.0/24, понятно ли, в какой филиал они должны вернуться? Для этого в устройстве Sangfor имеется механизм обнаружения конфликтов, и один и тот же сегмент корпоративной сети разных филиалов будет сообщать о конфликте в сегменте сети.
Решение: Настройка tunnel NAT
1. Последствия отсутствия tunnel NAT
1.1 Предупреждение от WOC [SangforIKE] Peer:(name:branch1 WAN IP:192.168.1.2 LAN IP: 3.3.3.1)'s network segment (IP:3.3.3.1, subnet mask:255.255.255.0) conflicts with the local's connecting user: branch2's network segment (IP:3.3.3.1, subnet mask:255.255.255.0)!
1.2 Предупреждающее сообщение от Branch [SangforIKE] Local network segment (IP:3.3.3.1, subnet mask:255.255.255.0) conflicts with the local's connecting node:(name:MDLAN WAN IP:192.168.0.2)'s network segment (IP:3.3.3.1, subnet mask:255.255.255.0)!
1.3 Из-за того, что Branch1 подключается быстрее, чем Branch2, предупреждающее сообщение появляется только в Branch2, но Branch1 уже подключена к HQ
2. Настройка Tunnel NAT
2.1 Из-за того, что предупреждающее сообщение выходит только из Branch2 – в NGAF2 настраивается tunnel NAT
2.2 В WANO HQ необходимо настроить виртуальный IP
Sangfor VPN > Virtual IP pool
Нажмите ОК и сохраните настройки
Будьте внимательны, после сохранения добавленного виртуального IP необходимо перезапустить VPN, как показано на картинке
1.Перейдите в раздел WANO для HQ Sangfor VPN > Local user, отредактируйте данные пользователей AF2
2. Кликните Advanced, затем выберите Tunnel NAT
3. Щелкните на ячейку enable tunnel NAT, затем add