欢迎访问南京建策科技股份有限公司! 分支机构: 南京 | 广州 | 合肥 | 长沙 | 上海 | 扬州 | 常州
 最新动态 NEWS     More...
建策9月H3CTE通过榜
建策科技2018年秋季专场招...
建策10月RHCE考试战报|...
建策CCIELAB通过战报
Linux技术大赛暨2018...
建策人才联盟秋季专场招聘会—...

 

  网站位置:首页 > 学习交流 > 技术文档下载
特别的nat穿越需求的实现
[2018-10-18]

在TE的课程中会讲到ipsec配置NAT穿越的问题,因为NAT会修改报文的源IP地址,导致报文在交给接收方进行时,接收方通过IPSEC对报文进行安全检查,因为IP地址修改过了,导致报文不能正确验证的问题。具体为什么IPSEC不兼容NAT的原因因为篇幅有限,大家可以参考一些资料。

我们今天主要讲IPSEC NAT的特殊实验,老版的SE教材上有一个NAT穿越的实验,但是那个实验只有一台NAT设备。我们今天要介绍的实验是有两个NAT设备的实验,也是实践当中可以会遇到的IPSEC穿越NAT的情况。

拓扑图如下图所示:

需求:RT1和RT4分别作为一家公司的总部与分部的私网路由器,两台设备分别连接两个私网IP地址,分别是192.168.1.1和192.168.4.1。这两个地址需要跨越公网互通。其中RT1设备出口连接一台NAT设备RT2,这个设备会把私网的源IP地址替换成RT2自身G0/0/1接口公网IP地址20.1.1.1/24;同理RT4连接的NAT出口设备RT3也会把私网源IP地址替换成出接口的公网IP地址20.1.1.2。此时要求私网IP192.168.1.1和192.168.4.1能够跨越公网互通,同时报文要通过ipsec进行加密验证。

此时为了理解这个实验,我们把两个loopback地址通信的报文报文格式与协商过程通过图示的形式进行演示:

  1. 左边loopback的PC机向右侧发送的普通报文的格式,如下图所示:

此报文交给RT1之后RT1对报文进行IPSEC封装,交给IPSEC设备进行封装时,因为IPSEC是在RT1的出接口生效,所以封装的报文源IP地址是RT1的G0/0/0接口的IP地址192.168.2.1,目的地址指向RT3的公网出接口地址20.1.1.2因为是配置了nat穿越功能,所以在ESP头前封装UDP头。

  1. 上图的报文交给RT2设备之后,因为RT2是NAT设备,此设备会把报文头最外层的私网源IP地址192.168.2.1替换成RT2出接口的公网地址20.1.1.1。如下图所示:

  1. 替换完成的报文变成公网报文可以发送给RT3设备,RT3收到的公网报文如下图所示:

  1. 那么RT3设备收到报文之后查看目的地址是20.1.1.2这个地址,是它自身的公网地址,同时在RT3上配置了NAT server功能,把20.1.1.2这个公网目的地址映射成私网地址,如下图所示:

 

  1. 此时RT3发送给RT4的报文如下图所示:

  1. RT4收到上图所示报文之后,发现报文目的地址就是自身接口IP地址,去掉新IP头,RT4设备配置ipsec的NAT穿越,去掉UDP头后,对报文进行校验、解密,发现一致,露出内层私网地址,目的地址是192.168.2.1是自身loopback接口地址,发送成功;依次类推,接收的过程类似发送的过程,就不再赘述。

  2. 配置命令如下图所示:

RT1配置如下图所示:

RT2配置如下图所示:

Ping过后的检测结果如下图所示:

RT1上通过display ipsec sa和display ikesa命令查看结果如下图所示:

在RT2上开启debugging功能,查看debugging nat packet结果如下图所示:

因为NAT穿越使用的是UDP的500和4500两个端口号,所以在NAT映射时不仅要允许IP地址映射,也要允许相应的端口号映射,RT3的配置如下图所示:

这就是我们这一期给大家介绍的ipsec特殊的NAT穿越实验。


 如果您对技术帖内容有任何疑问,请联系官方邮箱:jcit@jiancenj.com,也欢迎广大学员踊跃投稿,一经录用,有稿费酬谢

友情链接
 
瞻博网络
华三
红帽
华三
瞻博网络
 Copyright @ 2016-2019 www.jiancenj.com All Rights Reserved. 版权所有 建策科技 苏ICP备11058165号
 总 部地 址:南京市玄武区洪武北路55号斯亚•置地广场23楼 联系电话: 025-84804339;84804652
 广州办事处:广州市天河区天河北路906号高科大厦A座11楼 联系电话:020-22233596、020-22233426
 长沙办事处:长沙市韶山北路139号湖南文化大厦2103室    联系电话:0731-82812056 82812057
 合肥办事处:合肥市南二环路与马鞍山路交口加侨国际广场A栋2111-2112室 联系电话:0551-65670518
 上海办事处:上海普陀区真南路1008号上海信息技术学院8号楼114室
 常州办事处:常州市武进区科教城创研港3A804 18662714115
 扬州办事处:扬州市邗江区润扬南路33号南京邮电大学通达学院2号实验楼2203-2206室