基于NAT和IPSecVPN配置与验证.docVIP

基于NAT和IPSecVPN配置与验证 　　【摘要】企业或组织，为节约IP地址，普遍采用NAT技术连接互联网。针对互联网的不安全性，采用适当的安全技术保证企业或单位重要数据安全显得非常必要，目前使用最为广泛的技术是IPSec。在NAT的基础上，通过构造通道，利用通道组织企业远程局域网，从而为企业提供高效安全的网络环境。在认识NAT和IPSec的前提下，理解配置NAT和IPSec的含义，并在GNS3环境下加以仿真验证。 　　【关键词】NATVPNIPSec通道安全 　　一、前言 　　采用RFC1918编址方式节约IP地址的方法通称为NAT，NAT分为三类：静态NAT、动态NAT、NAPT。NAPT应用最为广泛。NAT技术是为了节约IP地址，在网络内部采用私有地址，在出口采用公网地址，内部地址要访问外网时，需要将内网地址转换为公网地址，这种转换主要是IP地址和端口的转换，涉及到修改每个IP包的IP地址和端口值。而IPSec是一套网络安全协议规范，常用于组建VPN，构建两个远程局域网之间的安全隧道，进而把位于两地的两个局域网合并成一个可以通过不安全的互联网相互联系的一个局域网，而IPSec中使用的协议不允许修改IP报头内容，因此，NAT和IPSec相互矛盾，不能在一起混用。虽然目前有一些方法克服这种矛盾，比如IP OVER TCP，IP OVER UDP，NAT-T等，但是都是对IP报文结构的一种破坏，本文根据NAT和IPSec的不同用途，客户端采用NAT和IPSec分别访问不同的对象，在配置上巧妙避开矛盾，使两种协议各司其职，互不影响。 　　二、NAT结构分析 　　私有网络192.168.1.0/24的多台计算机，需要访问internet，但是只有一个公网地址，在路由器R1上启用NAPT功能，将源地址为192.168.1.x的私有地址转换成internet中可以识别和交换的公网地址200.1.1.1，同时将端口进行相应的转换，并在R1中储存对应表，如图1所示。 　　三、IPSec VPN解析 　　IPSec是一种IP层的数据加密方法，它包含两种模式：传输模式和隧道模式，有两种封装：AH和ESP，两种模式和两种封装共组合成四种应用，比较常见的是隧道模式的ESP封装。其基本封装原理如图2所示。 　　四、配置与验证 　　试验网络拓扑如图3所示。 　　4.1NAT配置与验证 　　首先在R1上设置NAT，排除到对端的流量，其余流量均???用NAT。 　　R1（config）#access list 102 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 　　R1（config）#access list 102 permit ip any any 　　R1（config）#ip nat inside source list 102 int f0/1 overload 　　R1（config）#int f0/1 　　R1（config）#ip nat outside 　　R1（config）#int f0/0 　　R1（config）#ip nat inside 　　在R3上设置NAT，排除到对端的流量，其余流量均采用NAT。 　　R3 （config）#access list 102 deny ip 172.16.1.0 0.0.0.255 192.168.1.0.0.0.0.255 　　R3（config）#access list 102 permit ip any any 　　R3（config）#ip nat inside source list 102 int f0/1 overload 　　R3（config）#int f0/1 　　R3（config）#ip nat outside 　　R3（config）#int f0/0 　　R3（config）#ip nat inside 　　实验的关键是NAT的访问控制列表范围的规定，前往对端私用网络的源IP不要转换，而去往公网的源地址需要转换，采用debug ip nat验证NAT转换过程。 　　4.2IPSec配置与验证 　　第一步配置IKE协商 　　R1（config）#crypto isakmp policy 100建立IKE协商策略 　　R1（config-isakmap）# authentication pre-share预共享密钥认证 　　R1 （config）# crypto isakmp key wwp address 201.1.1.2设置共享密钥和对端地址 　　R3（config）#crypto isakmp policy 100建立IKE协商策