ipsec和NAT-T穿越
当总部与分部之间存在nat设备时,ipsec的的隧道地址会发生变化,导致ipsec的ike协商无法成功建立
因为建立隧道时,防火墙会匹配ike peer里的remot地址进行建立,而当分部的数据包到达nat设备后,地址会被转换掉,送到分部后,ike会对比发现不匹配,于是被丢弃掉
所以,nat穿越在配置ike peer里会有一些改变,下面来看一下配置
初配:
总部,分部的IP地址,以及zone和域间策略,保证路由想通,这里要注意一下,因为ipsec的安全性比较高,所以不支持动态路由,只支持静态。
配置ipsec:
总部的ike peer:
ike peer fb
remote-add 202.1.1.1
remote-add au 172.16.1.2
undo ver 2 ——————————(版本一不支持)
pre-shared-key [email protected]
加粗的那条命令是针对nat的配置
|
分部的ike peer:
ike peer zb
remote-add 101.1.1.1
undo ver 2
pre-shared-key [email protected]
在总部写ike时,要写实际地址,因为与总部建立ipsec的不是nat设备,而是分部的防火墙
nat设备的配置:
nat server ipsec1 proptle udp global int g1/0/0 50 inside 172.16.1.2 50
(esp建立连接的端口号)
nat server ipsec2 proptle udp global int g1/0/0 4500 inside 172.16.1.2 4500
在数据包里,地址转换会转换端口号(多 vs 1),但是esp无端口号,所以会在esp前面加一个udp头部,让防火墙以为后面是udp载荷(端口号4500),这样,就可以穿越nat设备
测试:
[Outbound ESP SAs]
SPI: 2634530164 (0x9d07bd74)
Proposal: ESP-ENCRYPT-AES-256 SHA2-256-128
SA remaining key duration (kilobytes/sec): 10485760/1933
Max sent sequence-number: 9
UDP encapsulation used for NAT traversal: Y(nat穿越开启)
SA encrypted packets (number/kilobytes): 8/0
[Inbound ESP SAs]
SPI: 2567043226 (0x9901f89a)
Proposal: ESP-ENCRYPT-AES-256 SHA2-256-128
SA remaining key duration (kilobytes/sec): 10485760/1933
Max received sequence-number: 10
UDP encapsulation used for NAT traversal: Y
SA decrypted packets (number/kilobytes): 9/0
Anti-replay : Enable
Anti-replay window size: 1024