思科路由器上默认启用nat穿越功能,而思科asa防火墙默认没有启用可以用crypto isakmp nat-traversal命令启用如图所示,在asa防火墙上配置ipsec vpn再经过nat设备访问外网,由于ah协议对整个ip包进行验证,所以ah协议不能和nat设备一同工作,而esp只对ip包的有效数据进行验证(不包括ip包头),因而esp可以和nat设备一同工作,但不能够和pat设备协同工作
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号
