• pt777pt777【唯一【官网】

  • 发布时间:2016-01-21 22:19 | 作者:yc | 来源:互联网 | 浏览:1200 次
  • pt777pt777【唯一【官网】

    no crypto ipsec nat-transparency udp-encapsulation

    ip nat inside

    !

    crypto map cisco

    !

    end

    ip address 192.168.1.2 255.255.255.0

    vpn-device#clear crypto sa

    650) this.width=650;" src="http://s3.51cto.com/wyfs02/m00/74/73/wkiom1ydynmbnpamaagpqyrw.jpg" title="pat-vpn-issue.png" alt="wkiom1ydynmbnpamaagpqyrw.jpg" />

    interface fastethernet1/0

    esp传输形式

    !

    type escape sequence to abort.

    !

    crypto isakmp policy 10

    !

    end

    authentication pre-share

    interface fastethernet2/0

    不能

    esp隧道形式

    authentication pre-share

    试验:

    interface loopback0

    access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

    ah传输形式

    r3设置设备摆设:

    access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

    no shutdown

    set peer 12.1.1.1

    适用处景:

    试验拓扑:

    试验先容:

    r1根底设置设备摆设:

    !

    crypto isakmp key cisco address 23.1.1.3

    vpn-device#ping 192.168.20.1 source 192.168.10.1

    packet sent with a source address of 192.168.10.1

    发明并没有出现咱们所说的疑问,为何么呢?这是由于路由器默许洞开了nat-t功能,nat-t会把esp

    是不是可以穿越nat

    !

    interface fastethernet2/0

    ipsec vpn封装协议

    历程3:

    vpn设置设备摆设:

    ip route 0.0.0.0 0.0.0.0 23.1.1.2

    r1#show ip nat translations

    !

    !!!!!

    如图所示,一个公司内网大概会有很成百上千台电脑需求上互联网,但一个公司大概只要几个甚至一个公网ip地址,这时分就需求运用到pat功能(颠末尾口变换来把私网ip和公网ip对应起来)

    interface loopback0

    access-list 100 permit ip 192.168.1.0 0.0.0.255 any

    nat-t洽谈先容:

    该试验需求用到4台路由器“vpn”和“r1”仿照上海分站的路由器,r2仿照运营商的路由器,r3仿照北京总部的路由器上海分站的vpn路由器与北京总部的r3路由器树立一个ipsec vpn把分站和总部死后的收集192.168.10.0/24和192.168.20.0/24连接起来由于上海分站只要一个公网ip地址12.1.1.1,要供内网统统用户上网,因而在r1上运用pat功能,将192.168.10.0/24和192.168.1.0/24网段变换成外网接口的ip地址因而,vpn流量会穿越pat

    !

    洽谈由ike榜首阶段的榜首、二个包来完成,两边交互nat-t中的verdor id来注解自个是不是支撑nat-t当一个vpn设备处于pat设备今后,大概会出现一些疑问由于tcp和udp有端口号,因而nat设备可以对他们加于差别并进行变换,icmp是颠末分外处置惩罚今后才进行了变换,而默许并不会对esp的流量进行变换,这就会出现疑问

    r3根底设置设备摆设:

    .....

    进行测验:

    crypto map cisco

    no shutdown

    ip address 192.168.1.1 255.255.255.0

    no shutdown

    ip nat outside

    判别两个peer之间是不是存在nat(包孕一对一的nat或者是pat)两个ipsewww.888dafa.comc peer会在ike榜首阶段的第3、4个包交流一个叫“nat-d”的散列值ike的第3个数据包会传输两个nat-d负载(等于两个hash值),其间一个是源ip和端口核算的hash值,另一个是意图ip和端口核算的hash值,接管方收到后再进行核算获得hash值,要是不相同,则中间收集有nat,需求启用nat-t;hash值相同,则中间收集没有nat,不需求启用nat-t

    ip address 192.168.20.1 255.255.255.0

    把稳:只要端口地址变换,即pat才会出现这个疑问,而静态的一对一nat是不会出现这个疑问的

    set peer 23.1.1.3

    ping测验:

    ip address 12.1.1.2 255.255.255.0

    match address 100

    vpn-device:

    vpn根底设置设备摆设:

    下面颠末一个试验来演示该疑问:

    crypto ipsec transform-set trans esp-des esp-md5-hmac

    重要用于洽谈ipsec两边是不是都支撑nat-t技能,要是任何一方不支撑nat-t,洽谈就会掉利,则运用初始的esp封装

    !

    interface fastethernet0/0

    不能

    ip route 0.0.0.0 0.0.0.0 12.1.1.2

    crypto map cisco 10 ipsec-isakmp

    总结:

    ip address 23.1.1.3 255.255.255.0

    crypto ipsec transform-set trans esp-des esp-md5-hmac

    interface fastethernet1/0

    ip route 0.0.0.0 0.0.0.0 192.168.1.2

    仅源ip地址一对一变换

    历程2:

    pt777pt777【唯一【官网】在启用nat-t技能后,当路由器洽谈ike的时分,发明中间收集存在nat,路由器即运用nat-t进行封装,这么,统统的esp数据包头前都邑添加一个udp包头,pat设备在变换的时分可以对udp进行变换,到此,疑问办理

    udp 12.1.1.1:.168.1.1:.1.1.3:.1.1.3:4500

    !

    pro inside globalinside localoutside localoutside global

    interface fastethernet1/0

    !

    interface fastethernet2/0

    根底设置设备摆设:

    nat-t封装:

    ip address 192.168.10.1 255.255.255.0

    sending 5, 100-byte icmp echos to 192.168.20.1, timeout is 2 seconds:

    access-list 100 permit ip 192.168.10.0 0.0.0.255 any

    源ip地址与源端口的多对一变换(pat)

    !

    success rate is 0 percent (0/5)

    这篇文章出自 “杨森的it之路” 博客,请必须保存此出处http://senyang.blog.51cto.com//

    ip route 192.168.10.0 255.255.255.0 192.168.1.1

    packet sent with a source address of 192.168.10.1

    crypto map cisco 10 ipsec-isakmp

    !

    不能

    r2根底设置设备摆设:

    ip address 23.1.1.2 255.255.255.0

    match address 100

    no shutdown

    ip address 23.1.1.3 255.255.255.0

    发明无法ping通了现已

    适用处景:

    !

    no shutdown

    type escape sequence to abort.

    interface fastethernet0/0

    不能

    !

    ip address 192.168.1.1 255.255.255.0

    ip address 12.1.1.1 255.255.255.0

    !

    ip nat inside source list 100 interface fastethernet1/0 overload

    650) this.width=650;" src="http://s3.51ctomg电子游戏注册送20元.com/wyfs02/m01/74/74/wkiom1ydzikbdoa6aaiubh7gkt4516.jpg" title="pat-vpn-issue-topology.png" alt="wkiom1ydzikbdoa6aaiubh7gkt4516.jpg" />

    tcp/udp不能,其余三层以协议可以

    拔除sa,从头洽谈:

    success rate is 100 percent (5/5), round-trip min/avg/max = 52/85/112 ms

    crypto isakmp policy 10

    no shutdown

    历程1:

    不能

    ah隧道形式

    interface fastethernet0/0

    650) this.width=650;" src="http://s3.51cto.com/wyfs02/m00/74/74/wkiom1yd4ncy1l-_aahssgg9ylk191.jpg" title="nat-t-encapsulation.png" alt="wkiom1yd4ncy1l-_aahssgg9ylk191.jpg" />

    pt777pt777【唯一【官网】

    crypto isakmp key cisco address 12.1.1.1

    反省r1的nat变换

    set transform-set trans

    要是在历程1中承认两个peer都支撑nat-t技能,在历程2中承认两个peer之间存在nat,则从榜首阶段的5、6个包起,以后的统统数据都运用nat-t技能进行封装

    sending 5, 100-byte icmp echos to 192.168.20.1, timeout is 2 seconds:

    vpn-device#ping 192.168.20.1 source 192.168.10.1

    咱们把nat-t功能封闭再次进行测验:

    set transform-set trans

    不能

    interface fastethernet0/0

    的数据封装在udp包当中(源末尾口是4500)

    vpn-device#clear crypto isakmp

    是不是可以穿越nat

  • 相关内容

友情链接: