NAT 对IPsec VPN
1、NAT地址转换 (IPV4地址)
内网私有地址:免费、地址不唯一
A 10.0.0.0------10.255.255.255
B 172.16.0.0-----172.31.255.255
C 192.168.0.0----192.168.255.255
2、NAT 分类
NAT静态:一对一
NAT动态: 一对一 ,动态地址池
PAT 端口 :多对一
实验目的:验证NAT地址转换对IPsecVPN隧道有没有影响? 如果有影响怎么解决?
1、搭建实验环境
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#interface f0/0
R1(config-if)#ip add 200.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface loopback 0
R1(config-if)#ip add 1.1.1.1 255.255.255.0
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2
R2#conf t
R2(config)#interface f0/0
R2(config-if)#ip add 200.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#interface f0/1
R2(config-if)#ip add 200.1.2.1 255.255.255.0
R2(config-if)#no shutdown
为了验证Internet的流量在R2 开启Telnet服务
R2(config)#enable password cisco 设置路由器的密码 Cisco
R2(config)#line vty 0 4 开启虚拟终端 0,1,2,3,4
R2(config-line)#password 666 线程密码(通道密码666)
R2(config-line)#login
R3#config
R3(config)#interface loopback 0
R3(config-if)#ip add 2.2.2.2 255.255.255.0
R3(config-if)#exit
R3(config)#interface f0/0
R3(config-if)#ip add 200.1.2.2 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#ip route 0.0.0.0 0.0.0.0 200.1.2.1
2、经典VPN的配置
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 0 cisco address 200.1.2.2
感兴趣流
R1(config)#ip access-list extended
R1(config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
定义转换集--保护用户数据
R1(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac
R1(cfg-crypto-trans)#mode tunnel 默认tunnel模式
定义加密图--策略汇总
R1(config)#crypto map cisco 10 ipsec-isakmp
R1(config-crypto-map)#match address
R1(config-crypto-map)#set transform-set cisco
R1(config-crypto-map)#set peer 200.1.2.2
R1(config-crypto-map)#exit
应用到出接口
R1(config)#interface f0/0
R1(config-if)#crypto map cisco
R3分公司的配置
crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco address 200.1.1.1
!
ip access-list extended
permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
crypto ipsec transform-set cisco esp-des esp-md5-hmac
!
crypto map cisco 10 ipsec-isakmp
set peer 200.1.1.1
set transform-set cisco
match address
interface FastEthernet0/0
crypto map cisco
3、验证VPN的连通性
4、在R3做PAT地址转换
R3#conf t
R3(config)#ip access-list extended pat
R3(config-ext-nacl)#permit ip 2.2.2.0 0.0.0.255 any
R3(config-ext-nacl)#exit
R3(config)#ip nat inside source list pat interface f0/0 overload
R3(config)#interface f0/0
R3(config-if)#ip nat outside
R3(config)#interface loopback 0
R3(config-if)#ip nat inside
5、验证
结果是VPN链路不通了。
6、分析原因是因为NAT策略的优先级比VPN的策略高,流量先匹配的NAT
修改access-list 排除到总公司的流量,即去总公司不进行地址转换。
在原规则的基础上添加一条规则编号小的规则。比如6号规则
R3(config)#ip access-list extended pat
R3(config-ext-nacl)# 6 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
查看规则顺序:
R3(config-ext-nacl)#do show ip access-list
Extended IP access list pat
6 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255
10 permit ip 2.2.2.0 0.0.0.255 any (3 matches)
Extended IP access list
10 permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 (59 matches)
6再次验证VPN链路,正常了
本实验验证了NAT的流量对VPN链路的影响,并验证了NAT策略的优先级高于VPN的策略。在实际工作中要注意NAT对VPN的影响。如果是GRE隧道或者VTI隧道,NAT对其不会产生影响,因为VPN的应用部署到隧道口,而不是出接口上的。
