假设在两个不同的订阅中,我们有 1 个具有相同 IP 范围的 vnet,并且两个站点也有一个具有相同 IP 范围的子网。VPN 网关还能正常工作吗?例如在这种情况下:
订阅 1:
Vnet 范围:10.1.0.0/16
子网范围:10.1.0.0/24
订阅2:
Vnet 范围:10.1.0.0/16
子网范围:10.1.0.0/24
答案1
两个 Azure 网络都使用相同的内部 IP 地址,Vnet 和子网范围重叠,无法在这两个子网之间建立隧道,因为在两个子网中,您的 PC 可能都具有由 DHCP 分配的相同 IP 地址。
订阅 1 中的 VPN 网关无法确定将流量发送到何处,是发送到订阅 1 中的 PC 还是发送到订阅 2 中的 PC。
但是,可以选择使用 NAT 和第三方 VPN 设备(例如 Juniper、Cisco 等)在两个子网之间配置 VPN 隧道,并进行高级配置。
对于两个具有重叠地址的终端实体之间的双向 VPN 流量,隧道两端的安全设备必须对在它们之间传递的 VPN 流量应用源网络地址转换 (NAT-src) 和目标网络地址转换 (NAT-dst)。
