IPSECNAT穿越.docx
- 文档编号:10177496
- 上传时间:2023-02-09
- 格式:DOCX
- 页数:10
- 大小:428.09KB
IPSECNAT穿越.docx
《IPSECNAT穿越.docx》由会员分享,可在线阅读,更多相关《IPSECNAT穿越.docx(10页珍藏版)》请在冰豆网上搜索。
IPSECNAT穿越
ipsecvpnnat穿越研究
前言:
阅读本文的前提是读者已经非常熟悉ipsecvpn的原理以及配置,如果对上述技术不清楚的,请先学习相关资料,再阅读本文。
第一部分ipsecvpnnat穿越原理
ipsec使用两种认证技术:
AH和ESP,下图是两种认证技术在传输模式(transportmode)和隧道模式(tunnelmode)下的包结构。
默认情况下,cisco使用隧道模式,也是推荐的模式。
从图中可以看出,不管AH使用传输模式还是隧道模式,认证的部分都包含ip包头,根据nat的原理,不管是哪种nat,都会改变ip包头的内容,一但认证的数据在建立隧道的过程中被修改过,则隧道不能建立,所以,使用AH认证方式是无法穿越nat的。
而ESP认证方式则不一样,在传输模式下,它不认证原有的ip包头,而在隧道模式下,它不认证新ip包头(源地址和目的地址为建立ipsec的两个网关的地址,原ip包头的源和目的地址为实际发生数据传输的两个节点的地址),由于ESP认证的这种特性,使用ESP方式,可以穿越NAT,推荐的模式为:
ESP隧道模式。
nat中的pat(最为常用的)方式需要使用传输层的端口,而ipsec里又没有端口号,如何让ipsec能够穿越pat?
可以使用UDP封装(源端口和目的端口均为UDP500),如下图(不采用TCP的原因是TCP头结构过于复杂,而且数据太长,开销大):
建立隧道的发起方可以是PAT内部的vpn网关,也可以是PAT外部的vpn网关,不管采用哪种方式,只需要让执行PAT的设备把目的端口为UDP500的建立隧道请求,转发至PAT后端的vpn网关,则ipsec可以穿过PAT建立隧道。
第二部分ipsecvpnnat穿越实验
1实验环境
完成目标:
●按照拓扑图要求连接各个设备
●使用ipsec启用VPN,穿透NAT访问内网服务器
2实验过程
2.1配置基本配置,完成拓扑图,保证连通性mypc为192.168.2.11,server为192.168.0.11
2.2配置VPN1,启用IPSEC-VPN,使之成为VPN网关
2.3配置NAT1,首先是配制普通的网络地址转换,然后配置NAT穿透,映射VPN服务
2.4配置ISP,模拟运营商提供时钟
2.5配置NAT2,首先是配制普通的网络地址转换,然后配置NAT穿透,映射VPN服务
2.6配置配置VPN2,启用IPSEC-VPN,使之成为VPN网关
3验证结果
3.1用mypc测试其网关之外的路由发现,虽然不能ping通其他路由,但是却能ping通VPN网关,以及VPN网关下面的内网192.168.0.0网段
3.2同时服务器端也可访问mypc
3.3不止底层的ICMP协议,连应用层的服务也可以穿透
3.4甚至是类似\\192.168.0.11这样的操作
3.5我们来看下关于IPSEC-VPN的一些信息
4总结
VPN实现了局域网的对接,把广域网变得象局域网一样简单
特别注明!
本例子中两台nat路由器并没有完整的路由配置
nat1中无iproute192.168.2.0255.255.255.0192.168.3.1
nat2中无iproute192.168.0.0255.255.255.0192.168.1.1
没有路由也能通信
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IPSECNAT 穿越