ipsec穿越NAT功能的配置
2010-12-01 17:42
381 查看
网络拓扑如下
一、公司A端外网路由器配置
#
//定义允许NAT的数据流
acl number 2000
rule 10 permit source 192.168.1.0 0.0.0.255
#
interface Ethernet0/0
port link-mode route
//在公网接口绑定NAT转换
nat outbound 2000
ip address 12.12.12.1 255.255.255.0
#
//私网接口
interface Ethernet0/1
port link-mode route
ip address 192.168.1.1 255.255.255.0
//配置默认路由
ip route-static 0.0.0.0 0.0.0.0 12.12.12.2
//配置去往内网网段的回程路由
ip route-static 192.168.1.0 255.255.255.0 10.0.0.2
二、公司A端外网路由器配置
#
//定义需要保护的安全数据流
acl number 3000
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
#
//指定本端的IKE名字
ike local-name rta
#
ike peer rtb
//指定为野蛮模式
exchange-mode aggressive
pre-shared-key 123
//使用name识别
id-type name
//对端名字
remote-name rtb
//对端地址,私网侧必须配置
remote-address 23.23.23.3
//使能NAT检测与穿越
nat traversal
#
//定义IPSec提议
ipsec proposal to_rtb (注:使用默认值:隧道模式、MD5认证、DES加密)
#
//定义IPSec策略,协商方式为isakmp,即使用IKE协商
ipsec policy to_rtb 1 isakmp
//定义需要加密传送的ACL
security acl 3000
//选择使用的IKE对等体
ike-peer to_rtb
//选择安全策略
proposal to_rtb
#
interface Ethernet0/0
port link-mode route
description WAN
ip address 10.0.0.2 255.255.255.0
//将安全策略绑定在端口下
ipsec policy to_rtb
#
interface Ethernet0/1
port link-mode route
description LAN
ip address 192.168.1.1 255.255.255.0
#
//定义默认路由
ip route-static 0.0.0.0 0.0.0.0 10.0.0.1
三、公司B端路由器配置
#
//定义需要保护的安全数据流
acl number 3000
rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#
//指定本端的IKE名字
ike local-name rtb
#
ike peer rta
//指定为野蛮模式
exchange-mode aggressive
pre-shared-key 123
//使用name识别
id-type name
//对端名字
remote-name rta //使能NAT检测与穿越
nat traversal
#
//定义IPSec提议
ipsec proposal to_rtb (注:使用默认值:隧道模式、MD5认证、DES加密)
#
//定义IPSec策略,协商方式为isakmp,即使用IKE协商
ipsec policy to_rtb 1 isakmp
//定义需要加密传送的ACL
security acl 3000
//选择使用的IKE对等体
ike-peer to_rtb
//选择安全策略
proposal to_rtb
#
interface Ethernet0/0
port link-mode route
description WAN
ip address 23.23.23.3 255.255.255.0
//将安全策略绑定在端口下
ipsec policy to_rta
#
interface Ethernet0/1
port link-mode route
description LAN
ip address 192.168.1.1 255.255.255.0
#
//定义默认路由
ip route-static 0.0.0.0 0.0.0.0 23.23.23.2
配置完成后IPSEC的连接必须由A公司端先发起,在A公司端的内网路由器上通过命令ping -a 192.168.1.1 192.168.2.1来激活IPSEC连接,ping完成后通过display ike sa和display ipsec sa查看ike和ipsec的sa建立情况。
配置关键点:
1) 先配置A端外网路由器的NAT,保证A端内网可以访问B端的公网路由器
2) A和B都要定义IKE Local-Name;
3) 使用IKE Peer的野蛮模式;
4) 指定IKE Peer的id-type为name;
5) A和B都需要指定remote-name;
6) A上还需要指定remote-address,因为A端处于私网侧;
7) A和B都需要使能NAT探测与穿越。
本文出自 “阿福” 博客,请务必保留此出处http://sfwang.blog.51cto.com/441426/438621
一、公司A端外网路由器配置
#
//定义允许NAT的数据流
acl number 2000
rule 10 permit source 192.168.1.0 0.0.0.255
#
interface Ethernet0/0
port link-mode route
//在公网接口绑定NAT转换
nat outbound 2000
ip address 12.12.12.1 255.255.255.0
#
//私网接口
interface Ethernet0/1
port link-mode route
ip address 192.168.1.1 255.255.255.0
//配置默认路由
ip route-static 0.0.0.0 0.0.0.0 12.12.12.2
//配置去往内网网段的回程路由
ip route-static 192.168.1.0 255.255.255.0 10.0.0.2
二、公司A端外网路由器配置
#
//定义需要保护的安全数据流
acl number 3000
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
#
//指定本端的IKE名字
ike local-name rta
#
ike peer rtb
//指定为野蛮模式
exchange-mode aggressive
pre-shared-key 123
//使用name识别
id-type name
//对端名字
remote-name rtb
//对端地址,私网侧必须配置
remote-address 23.23.23.3
//使能NAT检测与穿越
nat traversal
#
//定义IPSec提议
ipsec proposal to_rtb (注:使用默认值:隧道模式、MD5认证、DES加密)
#
//定义IPSec策略,协商方式为isakmp,即使用IKE协商
ipsec policy to_rtb 1 isakmp
//定义需要加密传送的ACL
security acl 3000
//选择使用的IKE对等体
ike-peer to_rtb
//选择安全策略
proposal to_rtb
#
interface Ethernet0/0
port link-mode route
description WAN
ip address 10.0.0.2 255.255.255.0
//将安全策略绑定在端口下
ipsec policy to_rtb
#
interface Ethernet0/1
port link-mode route
description LAN
ip address 192.168.1.1 255.255.255.0
#
//定义默认路由
ip route-static 0.0.0.0 0.0.0.0 10.0.0.1
三、公司B端路由器配置
#
//定义需要保护的安全数据流
acl number 3000
rule 10 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#
//指定本端的IKE名字
ike local-name rtb
#
ike peer rta
//指定为野蛮模式
exchange-mode aggressive
pre-shared-key 123
//使用name识别
id-type name
//对端名字
remote-name rta //使能NAT检测与穿越
nat traversal
#
//定义IPSec提议
ipsec proposal to_rtb (注:使用默认值:隧道模式、MD5认证、DES加密)
#
//定义IPSec策略,协商方式为isakmp,即使用IKE协商
ipsec policy to_rtb 1 isakmp
//定义需要加密传送的ACL
security acl 3000
//选择使用的IKE对等体
ike-peer to_rtb
//选择安全策略
proposal to_rtb
#
interface Ethernet0/0
port link-mode route
description WAN
ip address 23.23.23.3 255.255.255.0
//将安全策略绑定在端口下
ipsec policy to_rta
#
interface Ethernet0/1
port link-mode route
description LAN
ip address 192.168.1.1 255.255.255.0
#
//定义默认路由
ip route-static 0.0.0.0 0.0.0.0 23.23.23.2
配置完成后IPSEC的连接必须由A公司端先发起,在A公司端的内网路由器上通过命令ping -a 192.168.1.1 192.168.2.1来激活IPSEC连接,ping完成后通过display ike sa和display ipsec sa查看ike和ipsec的sa建立情况。
配置关键点:
1) 先配置A端外网路由器的NAT,保证A端内网可以访问B端的公网路由器
2) A和B都要定义IKE Local-Name;
3) 使用IKE Peer的野蛮模式;
4) 指定IKE Peer的id-type为name;
5) A和B都需要指定remote-name;
6) A上还需要指定remote-address,因为A端处于私网侧;
7) A和B都需要使能NAT探测与穿越。
本文出自 “阿福” 博客,请务必保留此出处http://sfwang.blog.51cto.com/441426/438621
相关文章推荐
- MSR系列路由器总部多分支互通功能的配置(GRE OVER IPSEC)
- 多点IPsec***和NAT-T穿越的实现
- CISCO NAT 配置(路由器NAT功能配置简介)
- 路由器NAT功能配置简介
- 路由器NAT功能的配置
- 配置IPsec on GRE Tunnel with IOS Firewall and NAT
- 路由器NAT功能配置简介
- 推荐-在CISCO路由器上配置NAT功能
- 关于 Slackware 9.1.0 系统配置防火墙和NAT功能的配置说明
- IPSec配置命令及IPSec应用的ACL和NAT应用的ACL的比较
- 路由器NAT功能配置简介
- 配置ASA Dynamic IPsec IOS and Dynamicallyaddressed PIX with NAT
- 一步一步实现企业网络架构之九:利用Win2003 NAT功能配置Internet访问
- 路由器NAT功能配置简介(知识点讲解,bsci必考)
- 华为MSR系列路由器-NAT连接数限制功能的配置
- CISCO+IPSEC+NAT配置实例
- Win7-Vista如何配置 NAT-T 设备后面的 L2TP/IPsec 服务器