IPSEC-NAT穿越.docVIP

ipsecvpn nat穿越研究 前言：阅读本文的前提是读者已经非常熟悉ipsecvpn的原理以及配置，如果对上述技术不清楚的，请先学习相关资料，再阅读本文。 第一部分 ipsecvpn nat 穿越原理 ipsec使用两种认证技术：AH和ESP，下图是两种认证技术在传输模式（transport mode）和隧道模式(tunnel mode)下的包结构。默认情况下，cisco使用隧道模式，也是推荐的模式。 从图中可以看出，不管AH使用传输模式还是隧道模式，认证的部分都包含ip包头，根据nat的原理，不管是哪种nat，都会改变ip包头的内容，一但认证的数据在建立隧道的过程中被修改过，则隧道不能建立，所以，使用AH认证方式是无法穿越nat的。而ESP认证方式则不一样，在传输模式下，它不认证原有的ip包头，而在隧道模式下，它不认证新ip包头（源地址和目的地址为建立ipsec的两个网关的地址，原ip包头的源和目的地址为实际发生数据传输的两个节点的地址），由于ESP认证的这种特性，使用ESP方式，可以穿越NAT，推荐的模式为：ESP隧道模式。 nat中的pat（最为常用的）方式需要使用传输层的端口，而ipsec里又没有端口号，如何让ipsec能够穿越pat？可以使用UDP封装（源端口和目的端口均为UDP 500），如下图（不采用TCP的原因是TCP头结构过于复杂，而且数据太长，开销大）： 建立隧道的发起方可以是PAT内部的vpn网关，也可以是PAT外部的vpn网关，不管采用哪种方式，只需要让执行PAT的设备把目的端口为UDP 500的建立隧道请求，转发至PAT后端的vpn网关，则ipsec可以穿过PAT建立隧道。 第二部分 ipsecvpn nat 穿越实验 实验环境 完成目标： 按照拓扑图要求连接各个设备 使用ipsec启用VPN，穿透NAT访问内网服务器 实验过程 配置基本配置，完成拓扑图，保证连通性mypc为192.168.2.11，server为192.168.0.11 配置VPN1，启用IPSEC-VPN，使之成为VPN网关 配置NAT1，首先是配制普通的网络地址转换，然后配置NAT穿透，映射VPN服务 配置ISP，模拟运营商提供时钟 配置NAT2，首先是配制普通的网络地址转换，然后配置NAT穿透，映射VPN服务 配置配置VPN2，启用IPSEC-VPN，使之成为VPN网关 验证结果 用mypc测试其网关之外的路由发现，虽然不能通其他路由，但是却能通VPN网关，以及VPN网关下面的内网192.168.0.0网段 同时服务器端也可访问mypc 不止底层的ICMP协议，连应用层的服务也可以穿透 甚至是类似\\192.168.0.11这样的操作 我们来看下关于IPSEC-VPN的一些信息 总结