cisco ipsec ***+NAT穿越

一，地址转换存在的问题及解决方案

ISAKMP/IKE阶段二是通过AH协议和ESP协议实现加密或认证，其区别在于：

AH协议之提供认证，并且对整个三层数据（包括ip包头）实现验证；所以AH不能与NAT设备一起工作，（因为ip包头转化了，发生改变了）

ESP协议同时提供加密和认证，但只认证三层数据的有效载荷（不包括ip包头），所以与NAT可以共存，但是这样却没有是实现ip地址的节省，因为将***设备的地址静态转换成公有ip后，该公有ip将无法在被其他私有地址复用。

解决这个问题就需要实现esp协议和PAT一同工作，实现一个公网地址转换内网的所有私有ip，但esp是一个三层协议，由于三层的有效载荷部分完全被加密，PAT修改的是第四层数据包头，缺少需要的tcp或udp包头的端口信息，无法实现转换，所以需要在ip包头和esp包头之间添加新的四层包头信息，这就是NAT-T（NAT穿越）

ip包头 tcp或udp包头 esp头 密文数据 esp尾

管理连接 端口号为500

数据连接 端口号为4500

在PAT设备将端口500和4500静态映射到内网 如下是实验环境

一、asa1的基本配置

asa1(config)#int e0/0

asa1(config-if)#nameif outside

asa1(config-if)#ip add 192.168.2.1 255.255.255.0

asa1(config-if)#no sh

asa1(config-if)#int e0/1

asa1(config-if)#nameif inside

asa1(config-if)#ip add 192.168.1.1 255.255.255.0

asa1(config-if)#no sh

asa1(config)#route outside 0 0 192.168.2.2

asa1（config）# access-list 111 permit icmp any any （asa不允许低级访问高级别，这样便于测试）

asa1（config）#access-group 111 in int outside

二、NAT的配置

ip配置略

nat(config)#int f0/0

nat(config-if)#ip nat inside

nat(config)#int f1/0

nat(config-if)#ip nat outside

nat(config)#access-list 1 permit any

nat(config)#ip nat inside source list 1 int f1/0 overload 端口复用实现PAT

nat(config)#ip nat inside source static udp 192.168.2.1 4500 192.168.3.1 4500 实现数据连接的静态端口映射

nat(config)#ip nat inside source static udp 192.168.2.1 500 192.168.3.1 500 实现管理连接的静态端口映射

nat(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.2

nat(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.1

三、ISP的配置

只需配置ip即可

四、ASA2的基本配置

asa2(config)#int e0/0

asa2(config-if)#nameif outside

asa2(config-if)#ip add 192.168.4.2 255.255.255.0

asa2(config-if)#no sh

asa2(config-if)#int e0/1

asa2(config-if)#nameif inside

asa2(config-if)#ip add 192.168.5.1 255.255.255.0

asa2(config-if)#no sh

asa2(config)#route outside 0 0 192.168.4.1

asa2（config）# access-list 111 permit icmp any any （asa不允许低级访问高级别，这样便于测试）

asa2（config）#access-group 111 in int outside

五、asa1的ipsec ***的配置

asa1(config)#crypto isakmp enable outside

asa1(config)#crypto isakmp policy 1

asa1(config-isakmp-policy)#encrytion aes

asa1(config-isakmp-policy)#hash sha

asa1(config-isakmp-policy)#authentication pre-share

asa1(config-isakmp-policy)#group 1

asa1(config)#isakmp key benet address 192.168.4.2

asa1(config)#access-list vf*** extended permit ip 192.168.1.0 255.255.255.0 192.168.5.0 255.255.255.0

asa1(config)#crypto ipsec transform-set benet-set esp-aes esp-sha-hmac

asa1(config)#crypto map benet-map 1 match address vf***

asa1(config)#crypto map benet-map 1 set peer 192.168.4.2

asa1(config)#crypto map benet-map 1 set trans benet-set

asa1(config)#crypto map benet-map int outside

六、asa2的ipsec ***的配置

asa2(config)#crypto isakmp enable outside

asa2(config)#crypto isakmp policy 1

asa2(config-isakmp-policy)#encrytion aes

asa2(config-isakmp-policy)#hash sha

asa2(config-isakmp-policy)#authentication pre-share

asa2(config-isakmp-policy)#group 1

asa2(config)#isakmp key benet address 192.168.3.1

asa2(config)#access-list vf*** extended permit ip 192.168.5.0 255.255.255.0 192.168.1.0 255.255.255.0

asa2(config)#crypto ipsec transform-set benet-set esp-aes esp-sha-hmac

asa2(config)#crypto map benet-map 1 match address vf***

asa2(config)#crypto map benet-map 1 set peer 192.168.3.1 对等体写nat设备口

asa2(config)#crypto map benet-map 1 set trans benet-set

asa2(config)#crypto map benet-map int outside

验证

nat设备查nat转换表 sh ip nat tr

两台pc可以ping通

NAT-t是自启动的。

这样的可以节省ip地址，即ipsec设备与NAT设备之间的网段可以使用私有地址，也可以保护***设备。