请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 355|回复: 5

关于穿越nat建立ipsec vpn

[复制链接]
发表于 2019-11-4 23:20:50 来自手机 | 显示全部楼层 |阅读模式
20可用金钱
本帖最后由 zhongsuopan0661 于 2019-11-4 23:22 编辑

一台公网路由器与一台内网路由器建立ipsecvpn,内网路由器的出口设备是否必需要同时映射其udp500和udp4500,还是可以直接开启udp自动转化,有没有大佬讲解下其建立的过程是怎样的,或者有没有比较新兴的技术来解决这个

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-11-5 16:46:11 | 显示全部楼层
了解下NAT-T
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 6 天前 | 显示全部楼层
本帖最后由 terence 于 2019-11-9 10:00 编辑

- -好像有把,我之前写过
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 前天 09:12 | 显示全部楼层
NAT-T 功能思科默认开启
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 前天 12:03 | 显示全部楼层
本帖最后由 l_enough1 于 2019-11-13 12:05 编辑

先在IKE,交互阶段发送ID的时候,PAYLOAD字段有表示是不是支持NAT-T,双方先检测一下支持不。
在确认双方支持NAT-T之后,发送具有源目IP地址的哈希值,以及目的地址的端口有效负载。两端匹配着路径上不存在NAT设备。
哈希值不匹配着存在NAT设备。启用NAT-T之后原有的IP头部及ESP头部之间插入一个UDP报头。

传统数据包                   原始IP头部|TCP头部|DATA
普通ESP加密后的数据         新IP头部|ESP头部|原始IP头部|TCP头部|DATA
NAT-T封装后的头部        新IP头部|"UDP头部" 插入UDP4500|ESP头部|原始IP头部|TCP头部|DATA


现在还有很多新宜的技术,他们提供服务器, siteA>  cloud>siteB,这种B/S结构。

不管你内网是什么IP,都是由SITE主动去建立,因此就不需要公网地址和NAT,相当于普通的数据包去处理一样。

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 13 小时前 | 显示全部楼层
l_enough1 发表于 2019-11-13 12:03
先在IKE,交互阶段发送ID的时候,PAYLOAD字段有表示是不是支持NAT-T,双方先检测一下支持不。
在确认双方 ...

跟着大神学习一下。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-11-15 22:54 , Processed in 0.095008 second(s), 44 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表