CISCO-IPsec-NAT-穿越.doc

CISCO IPsec NAT 穿越一案例拓扑二需求分析：如图，R2是BNET公司上海总公司的路由器，R1是BNET公司苏州分公司路由器，ISP1是长宽的路由，ISP2是电信路由器。R2的外部地址是公网地址，R1的外部地址是私网地址。在实际的工程中我们遇到这种问题太正常了，但恰好我们又需要在R1和R2之间建立IPSEC VPN。NAT和IPSEC是互相冲突的，因为IPSEC保护私网地址和传输层内容，而NAT需要改这些。在CISCO设备中，我们只需要一条命令就可以解决这样的问题。R(config)#crypto isakmp nat keeplive 60 它自动检测是否经过NAT设备，如果发现时NAT设备，则用UDP封装。三配置参数1. R1的配置hostname R1crypto isakmp policy 1 /配置IKE策略，同普通IPSEC VPN hash md5 authentication pre-share lifetime 60crypto isakmp key cisco address crypto isakmp nat keepalive 60 /与普通IPSEC不同之处，在此启用IPSEC NAT穿越，并且保持活跃的时间是60秒! crypto ipsec transform-set tran1 esp-des esp-sha-hmac !crypto map map1 1 ipsec-isakmp set peer set transform-set tran1 match address 101!interface Serial0/0 ip address serial restart-delay 0 crypto map map1 /接口绑定IPSEC策略!interface Serial0/1 no ip address shutdown serial restart-delay 0!interface Serial0/2 no ip address shutdown serial restart-delay 0!interface Serial0/3 no ip address shutdown serial restart-delay 0!interface FastEthernet1/0 ip address duplex auto speed auto!ip http serverno ip http secure-server!ip route !access-list 101 permit ip 55 55 /配置IPSEC保护流2. ISP1的配置ISP1#show runISP1#show running-config hostname ISP1interface Serial0/0 ip address /这个地址不是私网地址 ip nat inside /NAT的内部接口 ip virtual-reassembly serial restart-delay 0!interface Serial0/1 /公网地址 ip address 52 ip nat outside /NAT的外部接口 ip virtual-reassembly serial restart-delay 0 clock rate 64000!ip route 52 /到的路由，保证公网全网互通，真实化境中，我们应该跑路由协议的，并且ISP2是公网的边缘路由器，也可以使用默认路由!ip nat inside source list 1 interface Serial0/1 overload /网络地址转换PAT!access-list 1 permit 55 /允许访问外部的内网地址3. ISP2的配置（没用的我给删掉了）Router#show running-config version 12.4hostname Router!no logging consoleinterface Serial0/0 ip address 52 serial restart-delay 0! interface Serial0/1 ip address 52 serial restart-delay 0!end小结：ISP2上有该公网区域全部路由，它什么也不用设置4. R2配置R2#show running-config version 12.4!hostname R2!crypto isakmp policy 1 /IKE策略 hash md5 authentication pre-share lifetime 60crypto isakmp key cisco address /注意：这里的对端地址，指向ISP的公公网地址crypto isakmp nat keepalive 60 /启用NAT穿越，每60秒协商一次! !crypto ipsec transform-set tran1 esp-des esp-sha-hmac !crypto map map1 1 ipsec-isakmp set peer /注意：这里的对端地址，指向ISP的公公网地址，如果指向R1的外部地址，它是找不到R1的，因为公网上没有这样的地址 set transform-set tran1 match address 101!interface Serial0/0 ip address 52 serial restart-delay 0 clock rate 64000 crypto map map1!interface FastEthernet1/0 ip address duplex auto speed auto!ip route !access-list 101 permit ip 55 55 /IPSEC保护流!小结：这和两个具有公网地址的路由器做IPSEC差不多，就是添加一条命令，不需要在ISP路由器上做操作，ISP路由器也不会让你做操作5. 虚拟PC配置PC1 : 0 gateway PC2 : 0 gateway 6. 测试 PC1 ping PC2实验到此完成提示：这样只能保证两个局域网之间可以建立IPSEC VPN，但是和的数据时无法访问互联网的，如果解决呢？实验IPSEC OVER GRE 或者GRE OVER IPSEC，然后再本地局域网网路由器上（R1或者R2上）做NAT什么是IPSEC OVER GRE ? 使用GRE 隧道建立VPN,然后使用IPSEC 协议保护192