IPSECNAT穿越Word文件下载.docx

IPSECNAT穿越Word文件下载.docx

《IPSECNAT穿越Word文件下载.docx》由会员分享，可在线阅读，更多相关《IPSECNAT穿越Word文件下载.docx（10页珍藏版）》请在冰点文库上搜索。

第一部分ipsecvpnnat穿越原理

ipsec使用两种认证技术：

AH和ESP，下图是两种认证技术在传输模式（transportmode）和隧道模式（tunnelmode）下的包结构。

默认情况下，cisco使用隧道模式，也是推荐的模式。

从图中可以看出，不管AH使用传输模式还是隧道模式，认证的部分都包含ip包头，根据nat的原理，不管是哪种nat，都会改变ip包头的内容，一但认证的数据在建立隧道的过程中被修改过，则隧道不能建立，所以，使用AH认证方式是无法穿越nat的。

而ESP认证方式则不一样，在传输模式下，它不认证原有的ip包头，而在隧道模式下，它不认证新ip包头（源地址和目的地址为建立ipsec的两个网关的地址，原ip包头的源和目的地址为实际发生数据传输的两个节点的地址），由于ESP认证的这种特性，使用ESP方式，可以穿越NAT，推荐的模式为：

ESP隧道模式。

nat中的pat（最为常用的）方式需要使用传输层的端口，而ipsec里又没有端口号，如何让ipsec能够穿越pat？

可以使用UDP封装（源端口和目的端口均为UDP500），如下图（不采用TCP的原因是TCP头结构过于复杂，而且数据太长，开销大）：

建立隧道的发起方可以是PAT内部的vpn网关，也可以是PAT外部的vpn网关，不管采用哪种方式，只需要让执行PAT的设备把目的端口为UDP500的建立隧道请求，转发至PAT后端的vpn网关，则ipsec可以穿过PAT建立隧道。

第二部分ipsecvpnnat穿越实验

1实验环境

完成目标：

●按照拓扑图要求连接各个设备

●使用ipsec启用VPN，穿透NAT访问内网服务器

2实验过程

2.1配置基本配置，完成拓扑图，保证连通性mypc为192.168.2.11，server为192.168.0.11

2.2配置VPN1，启用IPSEC-VPN，使之成为VPN网关

2.3配置NAT1，首先是配制普通的网络地址转换，然后配置NAT穿透，映射VPN服务

2.4配置ISP，模拟运营商提供时钟

2.5配置NAT2，首先是配制普通的网络地址转换，然后配置NAT穿透，映射VPN服务

2.6配置配置VPN2，启用IPSEC-VPN，使之成为VPN网关

3验证结果

3.1用mypc测试其网关之外的路由发现，虽然不能ping通其他路由，但是却能ping通VPN网关，以及VPN网关下面的内网192.168.0.0网段

3.2同时服务器端也可访问mypc

3.3不止底层的ICMP协议，连应用层的服务也可以穿透

3.4甚至是类似\\192.168.0.11这样的操作

3.5我们来看下关于IPSEC-VPN的一些信息

4总结

VPN实现了局域网的对接，把广域网变得象局域网一样简单

特别注明！

本例子中两台nat路由器并没有完整的路由配置

nat1中无iproute192.168.2.0255.255.255.0192.168.3.1

nat2中无iproute192.168.0.0255.255.255.0192.168.1.1

没有路由也能通信