hcie-安全胶片优化完成hc nat

1、修订记录课程编码适用产品产品版本课程版本ISSUEHC13031067USG6000V1R1V1.0开发/优化者时间审核人开发类型（新开发/优化）陈世杰2014-08-15王锐开发丁祖贤2015-03-17优化本页不打印HC13031067 NAT-T技术 目录IPSec VPN NAT穿越分析IPSec VPN NAT穿越原理及过程IPSec VPN NAT穿越配置细节IPSec NAT穿越场景在IPSec VPN的部署中，如果发起者位于一个私网内部（如FW_A与FW_C），而它希望在自己与远端响应者之间直接建立一条IPSec隧道，这种情况会对部署IPSec VPN网络造成障 碍。这就需要I

2、PSec与NAT进行结合。FW_AFW_BNATFW_CPC10.0.0.0/24PC10.0.1.0/24E0/0/0200.0.0.1/24E0/0/1200.0.1.1/24E0/0/0E0/0/1E0/0/1E0/0/0IPSec NAT穿越分析AH无法穿越NAT：AH对整个报文进行认证。ESP穿越NAT的问题：ESP传输模式会导致传输层chacksum字段校验失败。隧道模式支持一对一的NAT。但是应为ESP加密原始数据包传输层端口号，且自身为传输层协议，无端口号，所以不支持PAT。推荐配置Name验证方式+pre-sharekey+子策略/策略模板IPSec NAT穿越原理NAT-T

3、技术直接在ESP封装和外层IP报头之间插入8个字节的UDP报头，端口号为4500，作为PAT翻译的依据。IPTCPESPPayloadIPESPUDPIPTCPESPPayloadIPESP8字节，端口号4500IPSec NAT穿越协商过程一NAT穿越能力协商：在第一阶段IKE协商中通过VenderID进行能力协商。IPSec NAT穿越协商过程二NAT网关检测：在第一阶段IKE协商中使用NAT-D负载用于发现是否存在NAT。IPSec NAT穿越协商过程三NAT网关检测：在第一阶段IKE协商中测试UDP4500端口是否可用。IPSec NAT穿越协商过程四NAT穿越功能启用协商：IKE第二

4、阶段的SA载荷中协商是否使用NAT穿越。使用UDP封装IPSec ESP报文穿越NAT。IPSec NAT穿越典型场景分支机构总部FWANATFWCIPSec Tunnel场景分析：FWA与FWC之间需要建立IPSec隧道；FWA通过分支机构宽带接入公网，即FWA外网口获得的是一私网地址；NAT设备将分支机构的用户私有地址转换为公网地址以便在公网路由。IPSec NAT穿越配置思路防火墙基本配置开始结束配置IPSec配置域间包过滤配置公网路由配置接口IP地址及安全区域配置配置ACL定义保护数据流配置IPSec安全提议配置IKE安全提议配置IKE Peer配置IPSec安全策略或策略模板应用IPSec安全策略配置NAT配置NAT穿越IPSec基本配置关键配置关键配置IPSec NAT穿越功能配置比较简单，和普通IPSec VPN的配置最大的区别就在于多了这条命令；当指定对方pre-sharekey时，NAT外部设备需指向NAT后地址，且需NAT前设备先发起协商，否则需在NAT设备上配置NAT-Server，放行UDP 500和UDP 4500端口；FWB的配置、型号与IPSec隧道的建立无关。只需保证FWC经过FWB做地址转换后还可和FWA互通；IPSec隧道两端均需配置该命令。FWA-