基于IPSec VPN的相同IP地址的异地局域网互联

摘要：企业与远程分支机构或合作伙伴在进行数据安全通信时，往往会遇到相同网络地址之间的通信需求，而需要重新规划地址。通过对IPSec VPN、虚拟隧道接口、地址转换等技术进行分析研究，解决了相同IP地址的局域网之间的安全通信问题。

关键词：IPSec VPN；局域网互联；对等体；虚拟隧道接口

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013） 13-3018-03

企业与远程分支机构或合作伙伴在进行数据安全通信时主要使用专线或互联网，由于专线租用费用高，往往选择互联网通信，通过IPSec保证通信数据的安全问题。两个不同IP地址的异地局域网互联可以通过VPN网关设备之间建立站点到站点IPSec VPN，实现局域网之间计算机的安全通信；而两个异地局域网如果它们的IP地址相同，即使网关之间已经建立了IPSec VPN，如果不进行正确的地址转换等技术处理，它们之间也无法进行计算机的通信。如果重新规划地址，工作量往往比较大。下面就以图1这种典型网络拓扑从多个方面来解决具有相同IP地址的异地局域网之间的安全通信问题。

1 两端局域网地址都需要进行地址转换

对于计算机与计算机之间的通信，不可能源IP地址和目的IP地址相同。如果图1中计算机A和B具有相同地址192.168.1.2/24，就需要对其中的一台计算机进行地址转换，譬如，将A的IP地址转换成201.201.201.2/24，这样，计算机B在访问A时，可以通过访问201.201.201.2/24来实现。但是，如果只对A进行地址转换，而不对B进行地址转换，那么，只能通过计算机B来主动访问计算机A，而不能由计算机A主动访问计算机B。如果对计算机B的地址也实现地址转换，如转换成202.202.202.2/24，就可以解决双向主动通信的问题。

为了达到双向主动通信的目的，需要另外规划两个不同的网段，用以对两个局域网的内部地址做一对一的静态地址转换。这里我们规划201.201.201.0/24网段地址用于对计算机A所在局域网进行地址转换，202.202.202.0/24网段地址用于对另一局域网进行地址转换。

必须让从对等体1的内网去往202.202.202.1的数据包和对等体2的内网去往201.201.201.1的数据包从隧道通过，才能达到保护数据安全的目的。因此，必须在每个路由器上配置从隧道经过的路由。

5 安全互联的相关配置

通过以上分析，可以给出基于IPSec的相同IP地址的异地局域网安全互联的相关配置。如图2所示。

研究表明，可以利用IPSec、虚拟隧道接口、NAT、隧道路由等技术实现具有相同IP地址的异地局域网之间的安全通信问题，而不需要重新改变原有局域网的地址分配。

参考文献：

[1] 魏大新，李育龙.Cisco网络技术教程[M].2版.北京：电子工业出版社，2010：461-465.

[2] Yusuf Bhaiji.网络安全技术与解决方案[M].北京：人民邮电出版社，2010：325-356.

[3] 王群.网络配置与应用[M].北京：人民邮电出版社，2009：244-269.