如下图所示,某公司甲、乙两地通过建立IPSec VPN隧道,实现主机A和主机B的互相访问,VPN隧道协商成功后,甲乙两地访问互联网均正常,但从主机A到主机B ping不通,原因可能是( )、( )。
问题1选项
答案: B、D
当IPSEC和NAPT并存于一个乙地防火墙上,IPSEC处理是分部和总部之间的流量,NAPT处理的是分部访问Internet的流量。总部防火墙同时配置了IPSEC和NAT SERVER,IPSEC处理总部和分部之间的流量,NAT SERVER处理的是因特网访问总舵服务器的流量。
按理说两台防火墙IPSEC流量和NAT流量应该是互不相干,其实在本例中IPSEC和NAT的处理是有重叠的,在防火墙转发流程中,NAT在在上游环节,IPSEC在下游环节。所以IPSEC的流量难免会受到NAT处理流程的干扰,原本应该进入IPSEC隧道的流量一旦命中NAT策略就会进行NAT转换,转换后的流量不会再匹配IPSEC中的ACL了,也就不会进行IPSEC处理。所以处理不好IPSEC和NAT的关系就会出现莫名其妙的问题。例如分部访问总部不成功,总部访问分部不成功。
解决方案,需要在NAT策略中配置一条针对IPSEC流量不进行地址转换的策略,该策略的优先级高于其他的策略。
B选项的虚拟路由是指对于B的访问需要指向VPN隧道。
