SANGFOR_IAM_v12.0.13_анализ поведения и трафика отдельных пользователей
Как показано ниже, в центральном аппарате (HQ) — WANO и в филиалах (Branch1, Branch2) NGAF со встроенным VPN сегмент корпоративной сети Branch1 и Branch2 — 3.3.3.0/24. Пользователь не хочет менять сегмент IP-сети для другой ветви и устанавливать соединение для обеих.
Анализ запроса
Сегменты корпоративной сети двух филиалов одинаковы. Когда центральный аппарат получает данные из сегмента сети 3.3.3.0/24, должно быть понятно, в какой филиал они могут вернуться. Устройство Sangfor имеет механизм обнаружения конфликтов, и один и тот же сегмент корпоративной сети разных филиалов будет сообщать о конфликте в сегменте сети.
Решение: Настройка tunnel NAT
1. Последствия отсутствия tunnel NAT
1.1 Предупреждение от WOC
[SangforIKE] Peer:(name:branch1 WAN IP:192.168.1.2 LAN IP: 3.3.3.1)'s network segment (IP:3.3.3.1, subnet mask:255.255.255.0) conflicts with the local's connecting user: branch2's network segment (IP:3.3.3.1, subnet mask:255.255.255.0)!
1.2 Предупреждающее сообщение от Branch
[SangforIKE] Local network segment (IP:3.3.3.1, subnet mask:255.255.255.0) conflicts with the local's connecting node:(name:MDLAN WAN IP:192.168.0.2)'s network segment (IP:3.3.3.1, subnet mask:255.255.255.0)!
1.3 Из-за того, что Branch1 подключается быстрее, чем Branch2, предупреждающее сообщение появляется только в Branch2, но Branch1 уже подключена к HQ
Сегменты корпоративной сети двух филиалов одинаковы. Когда центральный аппарат получает данные из сегмента сети 3.3.3.0/24, должно быть понятно, в какой филиал они могут вернуться. Устройство Sangfor имеет механизм обнаружения конфликтов, и один и тот же сегмент корпоративной сети разных филиалов будет сообщать о конфликте в сегменте сети.
Решение: Настройка tunnel NAT
1. Последствия отсутствия tunnel NAT
1.1 Предупреждение от WOC
[SangforIKE] Peer:(name:branch1 WAN IP:192.168.1.2 LAN IP: 3.3.3.1)'s network segment (IP:3.3.3.1, subnet mask:255.255.255.0) conflicts with the local's connecting user: branch2's network segment (IP:3.3.3.1, subnet mask:255.255.255.0)!
1.2 Предупреждающее сообщение от Branch
[SangforIKE] Local network segment (IP:3.3.3.1, subnet mask:255.255.255.0) conflicts with the local's connecting node:(name:MDLAN WAN IP:192.168.0.2)'s network segment (IP:3.3.3.1, subnet mask:255.255.255.0)!
1.3 Из-за того, что Branch1 подключается быстрее, чем Branch2, предупреждающее сообщение появляется только в Branch2, но Branch1 уже подключена к HQ
2. Настройка Tunnel NAT
2.1 Из-за того, что предупреждающее сообщение выходит только из Branch2 – в NGAF2 настраивается tunnel NAT
2.2 В WANO HQ необходимо настроить виртуальный IP
2.1 Из-за того, что предупреждающее сообщение выходит только из Branch2 – в NGAF2 настраивается tunnel NAT
2.2 В WANO HQ необходимо настроить виртуальный IP
Процесс настройки:
Процесс настройки:
3. После окончания настройки
3.1 После завершения настройки можно проверить, встроен ли VPN в Branch2, и если это так, значит tunnel NAT настроен правильно
3.2 IP-адрес корпоративной сети не будет конфликтовать с сетевым сегментом branch1 3.3.3.0.
3.1 После завершения настройки можно проверить, встроен ли VPN в Branch2, и если это так, значит tunnel NAT настроен правильно
3.2 IP-адрес корпоративной сети не будет конфликтовать с сетевым сегментом branch1 3.3.3.0.