【防火墙技术连载28】强叔侃墙 VPN篇 IPSec遭遇NAT处变不惊，见招拆招化险为夷

honghao_ouyang

欢迎访问华为企业网论坛。
www。huawei。com/enterprise/ecommunity/bbs/list_4355,4357。html
把。改为. 即可访问。



前文说到，使用模板方式可以在总舵与公网IP不固定的分舵之间建立IPSec隧道。至此，无论是拥有固定公网IP的分舵还是动态获得公网IP的分舵，都可以通过IPSec安全地访问总舵，天地会业务兴隆一片祥和。
但Internet的江湖远非如此平静，天地会又面临新的问题。有的分舵连动态的公网IP都没有，只能先由网络中的NAT设备进行地址转换，然后才能访问Internet，此时分舵能否正常访问总舵？另外，分舵除了访问总舵之外，还有访问Internet的需求，有些分舵在网关上同时配置了IPSec和NAT，两者能否和平共处？如何解决上述这两个问题，且听强叔一一道来。
IPSec隧道途径NAT设备，NAT穿越力保畅通无阻 先来看网络中存在NAT设备的情况，如下图所示，分舵网关B的出接口IP是私网地址，必须经过NAT设备进行地址转换，转换为公网IP之后才能与总舵网关A建立IPSec隧道。

                               
登录/注册后可看大图

honghao_ouyang

我们都知道，IPSec是用来保护报文不被修改的，而NAT却专门修改报文的IP地址，看起来两者水火不容，我们来详细分析一下。首先，协商IPSec的过程是由ISAKMP消息完成的，而ISAKMP消息是经过UDP封装的，源和目的端口号均是500，NAT设备可以转换该消息的IP地址和端口，因此ISAKMP消息能够顺利的完成NAT转换，成功协商IPSec安全联盟。但是数据流量是通过AH或ESP协议传输的，在NAT转换过程中存在问题。下面分别看一下AH和ESP报文能否通过NAT设备。

•AH协议
因为AH对数据进行完整性检查，会对包括IP地址在内的整个IP包进行Hash运算。而NAT会改变IP地址，从而破坏AH的Hash值。因此AH报文无法通过NAT网关。

• ESP协议
ESP对数据进行完整性检查，不包括外部的IP头，IP地址转换不会破坏ESP的Hash值。但ESP报文中TCP的端口已经加密无法修改，所以对于同时转换端口的NAT来说，ESP没法支持。
为了解决这个问题，必须在建立IPSec隧道的两个网关上同时开启NAT穿越功能（对应命令行nat traversal）。开启NAT穿越功能后，当需要穿越NAT设备时，ESP报文会被封装在一个UDP头中，源和目的端口号均是4500。有了这个UDP头就可以正常进行转换。
根据NAT设备所处的位置和地址转换功能的不同，我们从下面三个场景来分别介绍：
场景一：NAT转换后的分舵公网地址未知，总舵使用模板方式
该场景中，NAT设备位于分舵网络之外，分舵网关B接口GE0/0/1的私网IP地址，经过NAT设备转换后变为公网IP地址。由于天地会无从获知经过NAT设备转换后的分舵公网IP地址，也就无法在总舵网关A上明确指定对端分舵的公网地址。因此，总舵网关A必须使用模板方式来配置IPSec，同时总舵和分舵的网关上都要开启NAT穿越功能。
总舵既然使用了模板方式，那就无法主动访问分舵，只能由分舵主动向总舵发起访问。

honghao_ouyang

总舵和分舵网关的关键配置如下：


关键配置
总舵
分舵

IPSec安全提议
ipsec proposal pro1

transform esp  //采用ESP协议传输报文
ipsec proposal pro1

transform esp  //采用ESP协议传输报文

IKE对等体
ike peer fenduo

pre-shared-key tiandihui1

ike-proposal 10

nat traversal  //双方同时开启，默认为开启
ike peer zongduo

pre-shared-key tiandihui1

ike-proposal 10

remote-address 1.1.1.1

nat traversal //双方同时开启，默认为开启

IPSec安全策略
ipsec policy-template tem1 1 //配置模板方式

security acl 3000

proposal pro1

ike-peer fenduo

ipsec policy policy1 1 isakmp template tem1
ipsec policy policy1 1 isakmp

security acl 3000

proposal pro1

ike-peer zongduo