IPsec+PAT实验失败，请教

chenlianghx · 发表于 2016-3-14 13:21:54

如图10网段访问3网段实现站点到站点的VPN，将10网段转换成f0/0接口做PAT，请问如何配置？
R4
interface FastEthernet0/1
ip address 10.1.1.4 255.255.255.0

no ip routing
ip default-gateway 10.1.1.1

-------------------------------------------
R2
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 13.1.1.3
crypto ipsec transform-set Trans esp-des esp-md5-hmac
crypto map Cry-map 10 ipsec-isakmp
set peer 13.1.1.3
set transform-set Trans
match address VPN2

interface FastEthernet0/0
ip address 12.1.1.2 255.255.255.0
ip nat outside
crypto map Cry-map

interface FastEthernet0/1
ip address 10.1.1.2 255.255.255.0
ip nat inside

ip route 0.0.0.0 0.0.0.0 12.1.1.1
ip nat inside source list 100 interface FastEthernet0/0 overload
ip access-list extended VPN2
permit ip 10.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255

access-list 100 permit ip 10.1.1.0 0.0.0.255 any
----------------------------------------
R1
interface FastEthernet0/0
ip address 12.1.1.1 255.255.255.0
interface FastEthernet0/1
ip address 13.1.1.1 255.255.255.0

-----------------------------------------
R3
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 12.1.1.2
crypto ipsec transform-set Trans esp-des esp-md5-hmac
crypto map Cry-map 10 ipsec-isakmp
set peer 12.1.1.2
set transform-set Trans
match address VPN2
interface Loopback0
ip address 3.3.3.3 255.255.255.0
interface FastEthernet0/1
ip address 13.1.1.3 255.255.255.0
duplex auto
speed auto
crypto map Cry-map
ip route 0.0.0.0 0.0.0.0 13.1.1.1
ip access-list extended VPN2
permit ip 3.3.3.0 0.0.0.255 10.1.1.0 0.0.0.255

w1305 · 发表于 2016-3-14 13:21:55

chenlianghx 发表于 2016-3-14 17:16
这个我知道，这样VPN流量就不是PAT，我是想让VPN流量也被PAT，是用NAT-T的技术实现的，在ESP头部之前封装 ...

楼主要搞明白NAT-T的应用场景。NAT-T用于中间穿越的设备存在PAT，这个拓扑的话，在Internet上做PAT，转换R3的IP，然后R2和这个PAT的地址建立VPN。这样才会用到NAT-T。

w1305 · 发表于 2016-3-14 14:10:48

本帖最后由 w1305 于 2016-3-14 14:12 编辑

因为NAT的优先级高于加密，所以这样配置会有问题。需要在R2上，NAT的ACL中no掉VPN感兴趣流的流量：access-list 100 deny ip 10.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255
access-list 100 permit ip 10.1.1.0 0.0.0.255 any

楼主试试，应该就好使了

pgzycz · 发表于 2016-3-14 16:22:06

no掉VPN的感兴趣流

chenlianghx · 发表于 2016-3-14 17:16:01

w1305 发表于 2016-3-14 14:10
因为NAT的优先级高于加密，所以这样配置会有问题。需要在R2上，NAT的ACL中no掉VPN感兴趣流的流量：access-l ...

这个我知道，这样VPN流量就不是PAT，我是想让VPN流量也被PAT，是用NAT-T的技术实现的，在ESP头部之前封装新的IP头部和UDP4500，听说IOS是默认开启NAT-T的，请问这个需求如何实现

worm1943 · 发表于 2016-3-15 01:15:19

chenlianghx 发表于 2016-3-14 17:16
这个我知道，这样VPN流量就不是PAT，我是想让VPN流量也被PAT，是用NAT-T的技术实现的，在ESP头部之前封装 ...

在r2和r1之间加一台路由器充当外网路由器启用pat，这样r2的ipsec流量就能被pat，做的时候要注意网络连通性。

chenlianghx · 发表于 2016-3-15 22:01:38

worm1943 发表于 2016-3-15 01:15
在r2和r1之间加一台路由器充当外网路由器启用pat，这样r2的ipsec流量就能被pat，做的时候要注意网络连通 ...

谢谢

账号		自动登录	找回密码
密码			论坛注册

[求助] IPsec+PAT实验失败，请教

最佳答案

浏览过的版块

客服中心

投诉建议