我有三个站点通过两个 IPSec 隧道连接:
Site A - 192.168.10.0/24
|
IPSec tunnel
|
Site B - 192.168.0.0/24
|
IPSec tunnel
|
Site C - 10.0.0.0/8
这很有效,我可以从站点 B 访问站点 A 和站点 C。我需要的是从站点 A 访问站点 C。使用我当前的设置可以实现吗?
答案1
假设您不想直接在站点 A 和站点 C 之间协商额外的隧道,您可以通过在两个现有连接上协商适当的 IPsec 策略来实现(当然,允许在站点 B 上转发该流量)。
在站点 A 和 B 之间,您10.0.0.0/8在站点 B 上进行协商,在站点 B 和站点 C 之间,您192.168.10.0/24在站点 B 上进行协商。这使站点 A 和站点 C 能够将流量发送到站点 B 的那些附加子网,然后站点 B 也可以适当地转发该流量(它需要允许流量往返的转发策略192.168.10.0/24)10.0.0.0/8。
如果您使用 IKEv2,您可以简单地将附加子网添加到站点 B 的本地流量选择器中,用于两个连接中的每一个。站点 A 和站点 C 的远程流量选择器也类似,或者您可以0.0.0.0/0在那里进行配置,让站点 B 将范围缩小到两个子网。