Branch Office VPN > 在整个 Branch Office VPN 隧道中设置传出动态 NAT

在整个 Branch Office VPN 隧道中设置传出动态 NAT

可将动态 NAT (DNAT) 用于整个 Branch Office VPN (BOVPN) 隧道中。 动态 NAT 与单向 NAT 的作用相同,使 VPN 隧道仅在一个方向上保持打开。 如果要建立通往远程站点的 BOVPN 隧道,而在该远程站点上,所有 VPN 流量均来自一个公用 IP 地址,则该设置将会很有帮助。

例如,假设希望创建通往业务合作伙伴的 BOVPN 隧道,以便能够访问其数据库服务器,但不希望该公司访问任何资源。 而业务合作伙伴也允许访问,但希望仅从单一 IP 地址进行访问以便其监视连接。

要完成该过程,必须具有每个 VPN 端点的外部和可信任网络 IP 地址。 如果对整个 BOVPN 隧道启用动态 NAT,则不能使用该 VPN 隧道的 VPN 故障转移功能。

下文中的逐步说明适用于任何使用动态 NAT,以便让所有来自一个端点的流量看起来像是来自一个单独 IP 地址的 BOVPN。 DNAT 地址可以是任何可路由的 IP 地址,例如站点 A 的公用 IP 地址,或站点 A 的可信网络上的专用 IP 地址。

站点 A

公用 IP 地址 — 203.0.113.2

可信任网络 — 10.0.1.0/24

站点 B

公用 IP 地址 — 198.51.100.2

可信任网络 — 10.50.1.0/24

配置该端点,使所有流量看起来都必须是来自一个地址(站点 A)。

  1. Fireware XTM Web UI,为 BOVPN 配置网关。
    有关详细信息,请参阅配置网关
  2. 选择“VPN” > “BOVPN”
  3. 单击 “隧道”列表旁边的“添加”添加新的隧道,或选择一个隧道并单击“编辑”
    将显示“隧道”页面。
  4. 从“网关”下拉列表中选择正确的网关。
  5. “地址”选项卡上,单击“添加”
    将打开“隧道路由设置”对话框。
  1. “本地 IP”部分中,从“选择类型”下拉列表选择本地地址的类型。 随后在下方的文本框中输入值。 可输入主机 IP 地址、网络地址、主机 IP 地址范围或 DNS 名称。
  2. “远程 IP”部分中,从“选择类型”下拉列表选择远程地址的类型。 随后在下方的文本框中输入值。 可输入主机 IP 地址、网络地址、主机 IP 地址范围或 DNS 名称。
  3. “方向”下拉列表中,选择 “本地至远程”
  4. 单击“NAT”选项卡。 选中“动态 NAT”复选框。 在旁边的文本框中,键入远程网络视作隧道中所有流量的来源的 IP 地址。
  1. 单击“确定”
    将添加隧道路由。
  1. 保存对 XTM 设备所做的更改。

配置希望所有流量来自一个 IP 地址的端点(站点 B)。

  1. Fireware XTM Web UI,为 BOVPN 配置网关。 有关详细信息,请参阅配置网关
  2. 选择“VPN” > “BOVPN” 单击 “隧道”列表旁边的“添加”添加新的隧道,或选择现有隧道并单击“编辑”
    将打开“添加隧道”或“编辑隧道”对话框。 将打开“隧道”页面。
  1. 从“网关”下拉列表中选择正确的网关。
  2. “地址”选项卡上,单击“添加”
    将打开“隧道路由设置”对话框。
  1. “本地 IP”部分中,从“选择类型”下拉列表选择本地地址的类型。 随后在旁边的文本框中输入值。 可输入主机 IP 地址、网络地址、主机 IP 地址范围或 DNS 名称。 该值必须与在站点 A 的隧道路由中配置的远程地址相匹配。
  1. 在“远程”文本框中输入远程 IP 地址。 也可以单击“选择类型” 按钮以输入主机 IP 地址。 该地址必须与在站点 A 中配置的 DNAT 地址相匹配。
  2. “方向”下拉列表中,选择“本地至远程”
  1. 请勿选择“NAT”选项卡中的任何设置。
  2. 单击“确定”
    将添加隧道路由。
  1. 保存对 XTM 设备所做的更改。

重新启动位于站点 B 的 XTM 设备时,两个 XTM 设备会协商一个 VPN 隧道。 站点 A XTM 设备将动态 NAT 应用到所有发送给站点 B XTM 设备的可信任网络的流量。 该流量到达站点 B 时,会被视为来自 DNAT IP 地址的流量。

另请参阅

关于动态 NAT

在整个 Branch Office VPN 隧道中使用 1-to-1 NAT

提供反馈  •   获得支持  •   全部产品文件  •   知识库