【RSR】RSR如何配置IPSEC NAT穿越

发布时间: 2013-09-12 点击量:501 打印 字体:

一、组网需求

R1为在内网中的一台路由器,通过出口NAT路由器进行地址转换后访问外网,且需要和外网的R3建立IPSEC隧道,对感兴趣流进行加密。

二、组网拓扑

三、配置要点

1、配置R1、R3的基本IPSEC功能,IPSEC的NAT穿越功能设备默认启用,无需手动配置。

注意:和某些友商老设备对接时,由于其不支持nat穿越功能,在协商时可能报错无法建立连接,在该情况下建议关闭我方nat穿越功能,可通过如下命令关闭:

Ruijie(config)#crypto isakmp nat-traversal disable

2、完成以上配置后,默认只能由R1主动发起IPSEC连接,R3无法主动发起。如果允许外部主动发起IPSEC的建立,受限于NAT的工作机制,需要在PAT设备上映射UDP 500,4500端口。

ip nat inside source static udp 10.1.1.1 500 202.100.1.1 500

ip nat inside source static udp 10.1.1.1 4500 202.100.1.1 4500

四、配置验证

R1#show cry isakmp sa

 destination       source            state                    conn-id           lifetime(second)

 202.100.1.100     10.1.1.1          QM_IDLE                  33                86365           

RSR50-20#show cry ipsec sa

Interface: GigabitEthernet 0/0

         Crypto map tag:crymap, local addr 10.1.1.1

         media mtu 1500

         ==================================

         item type:static, seqno:10, id=32

         local  ident (addr/mask/prot/port): (1.1.1.1/0.0.0.0/0/0))

         remote  ident (addr/mask/prot/port): (3.3.3.3/0.0.0.0/0/0))

         PERMIT

         #pkts encaps: 4, #pkts encrypt: 4, #pkts digest 4

         #pkts decaps: 4, #pkts decrypt: 4, #pkts verify 4

         #send errors 0, #recv errors 0

         Inbound esp sas:

              spi:0x262ca54c (640460108)

               transform: esp-des esp-md5-hmac

               in use settings={Tunnel UDP-Encaps,}                                 //标准的NAT-T封装

               crypto map crymap 10

               sa timing: remaining key lifetime (k/sec): (4607998/3563)

               IV size: 8 bytes

               Replay detection support:Y

         Outbound esp sas:

              spi:0x3800b2ca (939569866)

               transform: esp-des esp-md5-hmac

               in use settings={Tunnel UDP-Encaps,}

               crypto map crymap 10

               sa timing: remaining key lifetime (k/sec): (4607998/3563)

               IV size: 8 bytes

               Replay detection support:Y

 

00 分享 纠错
相关条目