问如何避免与VPN内部网络的网络冲突？

EN

我们有几个IPSec VPN与我们的合作伙伴和客户，偶尔会遇到IP冲突与他们的网络。在我们的例子中，解决方案是在VPN上执行源NAT或目的NAT。我们正在使用和SSG产品，但我认为这可以由大多数高端的IPSec虚拟专用网设备来处理。

我认为无论你用什么，你都会冒着冲突的危险。我会说，很少有网络使用范围在172.16以下，但我没有证据支持这一点；只是直觉的感觉，没有人记得它。您可以使用公共IP地址，但这有点浪费，您可能没有足够的空闲。

另一种选择是为您的虚拟专用网使用IPv6。这需要为您想要访问的每一个主机设置IPv6，但是您肯定是在使用一个独特的范围，特别是如果您为您的组织分配了一个/48。

不幸的是，保证您的地址不会与其他内容重叠的唯一方法是购买一块可路由的公共IP地址空间。

话虽如此，您还是可以尝试查找RFC 1918地址空间中不太流行的部分。例如，192.168.x地址空间通常用于住宅和小企业网络，这可能是因为它是许多低端网络设备上的默认地址。不过，我猜至少有90%使用192.168.x地址空间的人在C类块中使用它，并且通常在192.168.0.x开始子网寻址。您可能不太可能找到使用192.168.255.x的人，所以这可能是一个不错的选择。

10.x.x.x空间也是常用的，我见过的大多数大型企业内部网络都是10.x空间。但我很少看到人们使用172.16-31.x空间。我敢打赌，你很少会找到已经使用172.31.255.x的人。

最后，如果您要使用非the 1918空间，至少要尝试找到不属于其他人的空间，并且不可能在将来任何时候被分配给公众使用。这里在etherealmind.com上有一篇有趣的文章，作者正在讨论使用RFC 3330 192.18.x地址空间，这是为基准测试保留的。这对于您的VPN示例可能是可行的，除非您的VPN用户之一为一家公司工作，即制造或基准测试网络设备。:-)