ipsec和nat穿越
ipsec和NAT-T穿越
当总部与分部之间存在nat设备时,ipsec的的隧道地址会发生变化,导致ipsec的ike协商无法成功建立
因为建立隧道时,防火墙会匹配ike peer里的remot地址进行建立,而当分部的数据包到达nat设备后,地址会被转换掉,送到分部后,ike会对比发现不匹配,于是被丢弃掉
所以,nat穿越在配置ike peer里会有一些改变,下面来看一下配置
初配:
总部,分部的IP地址,以及zone和域间策略,保证路由想通,这里要注意一下,因为ipsec的安全性比较高,所以不支持动态路由,只支持静态。
配置ipsec:
总部的ike peer:
ike peer fb
remote-add 202.1.1.1
remote-add au 172.16.1.2
undo ver 2 ——————————(版本一不支持)
pre-shared-key huawei@123
加粗的那条命令是针对nat的配置
|
分部的ike peer:
ike peer zb
remote-add 101.1.1.1
undo ver 2
pre-shared-key huawei@123
在总部写ike时,要写实际地址,因为与总部建立ipsec的不是nat设备,而是分部的防火墙
nat设备的配置:
nat server ipsec1 proptle udp global int g1/0/0 50 inside 172.16.1.2 50
(esp建立连接的端口号)
nat server ipsec2 proptle udp global int g1/0/0 4500 inside 172.16.1.2 4500
在数据包里,地址转换会转换端口号(多 vs 1),但是esp无端口号,所以会在esp前面加一个udp头部,让防火墙以为后面是udp载荷(端口号4500),这样,就可以穿越nat设备
测试:
[Outbound ESP SAs]
SPI: 2634530164 (0x9d07bd74)
Proposal: ESP-ENCRYPT-AES-256 SHA2-256-128
SA remaining key duration (kilobytes/sec): 10485760/1933
Max sent sequence-number: 9
UDP encapsulation used for NAT traversal: Y(nat穿越开启)
SA encrypted packets (number/kilobytes): 8/0
[Inbound ESP SAs]
SPI: 2567043226 (0x9901f89a)
Proposal: ESP-ENCRYPT-AES-256 SHA2-256-128
SA remaining key duration (kilobytes/sec): 10485760/1933
Max received sequence-number: 10
UDP encapsulation used for NAT traversal: Y
SA decrypted packets (number/kilobytes): 9/0
Anti-replay : Enable
Anti-replay window size: 1024
ipsec和nat穿越相关推荐
- IPSec的NAT穿越
IPSec的NAT穿越 本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途. msn: yfydz_no1@hotmail.c ...
- IPSEC是如何穿越NAT的
我们知道IPSEC在工作的时候,如果遇到了NAT,就会带来麻烦,什么麻烦呢?(IPSEC的基础需要清晰) 主要有2种麻烦 1 如果IPSEC和NAT在同一台设备上的时候,是先进行路由查找,然后进行进行 ...
- IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 USG5500A 与USG5500C.USG5500D建立IPSEC VPN Tunnel,其中USG5500C穿越USG5500B NAT ...
- IPSec NAT穿越原理
在IPSec VPN部署中,如果发起者位于私网内部(如下图FW_C),而它希望与FW_A之间直接建立一条IPSec隧道,这种情况下NAT会对部署IPSec VPN网络造成障碍. PC2发业务报文给PC ...
- IPSec协议抓包详解和IPSec NAT穿越报文解析
目录 协议概述 2.IPSec作用 3.认证方式 3.1.预共享密钥 3.2.数字证书 4.ESP加密算法 4.1.ESP完整性检测 4.2.ESP防重放 4.3.ESP防窃听 5.IPSec工作原理 ...
- IPsec NAT穿越
UDP封装 ESP协议对数据包的上层(TCP/UDP)数据封装后,上层数据被加密保护,这样NAT无法获取正确的端口信息,从而使得转换发生失败.用IPv4协议中标准UDP协议头封装IPSec:数据包,构 ...
- NAT穿越(NAT-T)原理
IPSec NAT 穿越简介 IPSec NAT穿越的场景: 本质上解决ESP协议无法提供转换端口,插入UDP 4500端口 有以下两种场景,需要进行进行NAT穿越. 场景一.FW既做IPSEC网关, ...
- NAT 穿越技术(一)
转自:https://g.hacking8.com/urlsa=t&rct=j&q=&esrc=s&source=web&cd=4&cad=rja&am ...
- IpsecVpn -nat穿越-01
上:传输模式封装 上,隧道模式封装 NAT-T 解决方案 1. 传输模式NAT问题: AH :NAT tcp/udp 和ip头 都有穿越问题 esp: nat ip地址没有穿越问题,端口转换 有na ...
- IPFS: NAT traversal(NAT穿越)
IPFS是一个p2p网络,那么一定绕不开的一个问题就是NAT穿越.之前的文章里面也提到过IPFS网络连通性使用的ICE NAT穿越框架,本文简单介绍一下什么是NAT. 为什么有NAT技术? NAT主要 ...
最新文章
- opencv 二值化 python_Python OpenCV 图像二值化-阈值分割
- IDEA 快捷键 (长期更新)
- mpi和openmp混合编程的优点_西门子PLC可编程控制器CPU1215C一级总代理
- 在wince中添加微软的雅黑字体
- 使CEdit处于全选状态
- Mac Dock截图的小技巧
- 查看和修改MySQL数据库表存储引擎
- python爬虫实战之爬取QQ音乐
- 基于java的百货中心供应链管理系统
- HS300股指与其成分股的价格匹配
- ES索引重建reindex详解
- 奶块最新服务器叫什么,奶块全部服务器 | 手游网游页游攻略大全
- 分布式ID之生成策略
- 【心随意动】20-SIST研一秋季上学期课程总结【补】
- Java基础----【异常、线程】
- 只要不上网,pc机就不会感染计算机病毒,计算机考试试题训练
- HTML在线颜色选择器源码
- 《七哥说道》第十六章:程序员,江湖见
- 图钉能按到墙上吗_像图钉一样把纸按在墙上的东西叫什么
- 英文中的一些常见缩写