组网需求

当进行IPSec协商的两个对端设备之间存在NAT网关时,建立IPSec隧道的两端需要进行NAT穿越能力协商,因此两端设备都必须具备NAT穿越的能力。

1所示,分支网络出口网关RouterA、总部网络出口网关RouterB之间通过NATER进行地址转换,RouterARouterB之间建立支持NAT穿越的野蛮模式IPSec


配置穿越NAT设备建立IPSec隧道_java

IPSec穿越NAT功能组网图


操作步骤

1.    RouterA的配置

#

 sysname RouterA  //设置设备的主机名

#

 ike local-name RouterA  //设置IKE协商时本设备的ID                

#

ipsec proposalrta  //创建一个IPSec提议

 esp authentication-algorithm sha2-256

 esp encryption-algorithm aes-192

#

ike proposal 5   //配置IKE提议

 encryption-algorithm aes-cbc-128  

 dh group14

 authentication-algorithm sha2-256

#

ike peer rta v1  //配置IKE对等体及其使用的协议

exchange-modeaggressive  //配置IKE的协商模式为野蛮模式

 pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%#  //配置预共享密钥认证字为“huawei”,以密文显示,“pre-shared-key huawei”,以明文显示

 ike-proposal 5

 local-id-type name  //配置IKE协商时本端的ID类型。

remote-name RouterB //配置对端IKE peer名称,//配置对端IKE peer名称。、

 nat traversal  //使能NAT穿越功能。

#                      

ipsecpolicy-template rta_temp 1  //建一个安全策略模板

 ike-peer rta                            

 proposal rta                            

#

ipsec policy rta 1isakmp template rta_temp  //指定采用策略模板创建安全联盟

#

interfaceEthernet1/0/0

 ip address 1.2.0.1 255.255.255.0

 ipsec policy rta

#

interfaceEthernet2/0/0

 ip address 10.1.0.1 255.255.255.0

#                                         

ip route-static10.2.0.0 255.255.255.0 1.2.0.2  //配置到10.2.0.0网段的静态路由

#

return


2.    RouterB的配置

#

 sysname RouterB  //设置设备的主机名

#                                      

 ike local-name RouterB  //设置IKE协商时本设备的ID       

#

acl number3000  //配置ACL

 rule 0 permit ip source 10.2.0.0 0.255.255.255destination 10.1.0.0 0.255.255.255

#                                      

ipsec proposal rtb  //创建一个IPSec提议

 esp authentication-algorithm sha2-256

 esp encryption-algorithm aes-192

#                          

ike proposal 5   //配置IKE提议

 encryption-algorithm aes-cbc-128  

 dh group14

 authentication-algorithm sha2-256

#

ike peer rtbv1  //配置IKE对等体及其使用的协议

 exchange-mode aggressive  //配置IKE的协商模式为野蛮模式

 pre-shared-key cipher %^%#K{JG:rWVHPMnf;5\|,GW(Luq'qi8BT4nOj%5W5=)%^%#  //配置预共享密钥认证字为“huawei”,

 ike-proposal 5

 local-id-type name  //配置IKE协商时本端的ID类型。

 remote-name RouterA   //配置对端IKE peer名称。

 remote-address 1.2.0.1  //配置对端IKE peer地址

 nat traversal  //使能NAT穿越功能。

#

ipsec policy rtb 1isakmp  //配置IPSec策略

 security acl 3000

 ike-peer rtb

 proposal rtb

#                                      

interfaceEthernet1/0/0                  

 ip address 192.168.0.2 255.255.255.0

 ipsec policy rtb

#                                      

interfaceEthernet2/0/0                  

 ip address 10.2.0.1 255.255.255.0

#                                        

ip route-static0.0.0.0 0.0.0.0 192.168.0.1  //配置静态路由

#

return

3.    NATER的配置

#

 sysname NATER  //设置设备的主机名

#

acl number3000  //配置ACL

 rule 0 permit ip source 192.168.0.0 0.0.0.255destination 1.2.0.0 0.0.0.255

#                                       

interfaceEthernet1/0/0                  

 ip address 1.2.0.2 255.255.255.0        

 nat outbound 3000  //接口下配置nat outbound

#                                      

interfaceEthernet2/0/0           

 ip address 192.168.0.1 255.255.255.0 

#

return

4.    验证配置结果

通过Ping触发建立IPSec会话,在RouterA上执行display ike saverbosedisplay ipsec sa命令,可以查看IPSec隧道上配置的信息。