IPSEC NAT穿越配置举例

合集下载

直连IPSEC的野蛮模式NAT穿越

直连IPSEC的野蛮模式NAT穿越IPsec（Internet Protocol Security）是一种网络协议套件，用于实现网络通信的加密和认证。

野蛮模式（Aggressive Mode）是IPsec的一种传输模式，不需要建立安全通道即可交换密钥。

NAT（Network Address Translation）是用于在网络中分配和转换IP地址的技术。

在传统的IPsec通信中，通常使用隧道模式（Tunnel Mode）来传输IP数据包。

但是，当通信双方之间存在NAT设备时，隧道模式会受到限制。

为了解决这个问题，就出现了野蛮模式NAT穿越。

野蛮模式NAT穿越指的是在存在NAT设备的网络环境中，使用IPsec 的野蛮模式进行通信，并成功穿越NAT设备，实现加密和认证的目的。

下面将详细介绍野蛮模式NAT穿越的原理和实现过程。

野蛮模式NAT穿越的原理：1. NAT设备的限制：NAT设备通过转换IP地址和端口号来实现对网络地址的转换，但这会导致IPsec报文中的IP地址和端口号不一致，从而导致通信失败。

2. 野蛮模式的优势：野蛮模式不需要建立安全通道即可交换密钥，因此可以在初始的IKE（Internet Key Exchange）阶段就完成阶段一和阶段二的协商，减少了通信的时间和开销。

3.NAT穿越的技术：为了实现野蛮模式的NAT穿越，需要使用一些技术手段来绕过NAT设备的限制，包括端口映射和引导报文。

野蛮模式NAT穿越的实现步骤：1. 发起方（Initiator）向响应方（Responder）发送IKE_INIT请求。

该请求包含了发起方的随机数和IP地址等信息。

2.响应方收到IKE_INIT请求后，生成响应方的随机数和IP地址等信息，并使用这些信息生成哈希值和共享密钥。

3.发起方收到响应方的IKE_INIT响应后，生成发起方的哈希值和共享密钥。

4.握手阶段一结束后，发起方和响应方交换生成的哈希值和共享密钥。

IPsecVPN协议的NAT穿透与防火墙配置

IPsecVPN协议的NAT穿透与防火墙配置IPsec VPN协议的NAT穿透与防火墙配置在互联网时代，数据传输的安全性与稳定性成为了企业和个人用户所关注的重要问题。

虚拟私人网络（VPN）的出现有效地解决了这一问题，而IPsecVPN协议则在VPN中扮演着重要的角色。

然而，由于网络环境的复杂性，许多用户在使用IPsec VPN时遇到了NAT穿透和防火墙配置的问题。

本文将探讨这些问题，并提供适当的解决方案。

一、NAT穿透的概念及问题1. NAT穿透的概念NAT穿透指的是在网络中使用了网络地址转换（NAT）设备的情况下，如何实现对IPsec VPN的正常通信。

NAT设备通常会对传输的数据包进行源地址和目的地址的转换，以实现多个内部网络与外部网络的通信。

然而，这种地址转换对IPsec VPN的建立和传输过程产生了一定的影响。

2. NAT穿透的问题及解决方案在进行NAT穿透时，常见的问题包括：a) IPsec VPN的建立问题：由于NAT设备对数据包进行了地址转换，使得原始IP地址无法直接访问到VPN服务端。

为了解决此问题，可以使用NAT-T（NAT Traversal）技术，通过在IPsec数据包中封装额外的数据，以绕过NAT设备的限制。

b) IPsec数据包的加密问题：NAT穿透过程中，由于对数据包进行了地址转换，导致IPsec头部中的源地址和目的地址无法与实际通信双方相匹配。

为了解决此问题，可以使用NAT设备支持的IPsec Passthrough功能，将IPsec头部从转换中豁免，保证加密的完整性。

c) NAT设备与IPsec VPN设备的兼容性问题：不同厂商的NAT设备和IPsec VPN设备对NAT穿透的支持程度各不相同，可能存在兼容性问题。

解决此问题的方法是选择厂商间兼容性较好的设备，或者升级设备的固件以支持更高级的协议。

二、防火墙配置和IPsec VPN协议1. 防火墙的作用防火墙是网络安全的重要组成部分，通过规则配置来控制网络流量的进出，保护内部网络免受外部威胁。

IPSEC NAT 穿越 (两种解法) 小余出品

IPSEC NAT 穿越（两种解法）需求分析：如图，R2是上海总公司的路由器，R1是苏州分公司路由器，ISP1是长宽的路由，ISP2是电信路由器。

R2的外部地址是公网地址，R1的外部地址是私网地址。

在实际的工程中我们遇到这种问题太正常了，但恰好我们又需要在R1和R4之间建立IPSEC VPN。

NAT和IPSEC是互相冲突的，因为IPSEC保护私网地址和传输层内容，而NAT需要改这些.OK 我们开始解决这个问题！解法一：基于ESP穿越NAT配置如下R1:interface Loopback0ip address 192.168.12.1 255.255.255.0interface Ethernet0/0ip address 172.16.12.1 255.255.255.0half-duplexip route 0.0.0.0 0.0.0.0 172.16.12.2crypto isakmp policy 10authentication pre-sharecrypto isakmp keepalive 60 ISAKMP的DPDcrypto isakmp nat keepalive 10用于在NAT之后的情況，防止NAT丢弃转发条目crypto isakmp key cisco address 202.100.34.4crypto ipsec transform-set myset esp-des esp-md5-hmaccrypto ipsec nat-transparency spi-matching开启SIP-Matching，跟NAT特性有关access-list 101 permit ip 192.168.12.0 0.0.0.255 192.168.34.0 0.0.0.255 crypto map map 10 ipsec-isakmpset peer 202.100.34.4set transform-set mysetmatch address 101interface Ethernet0/0crypto map mapR2:interface Ethernet0/0ip address 172.16.12.2 255.255.255.0ip nat insideip virtual-reassembly IP分片虚拟重组half-duplexinterface Ethernet0/1ip address 202.100.23.2 255.255.255.0ip nat outsideip virtual-reassemblyhalf-duplexip route 0.0.0.0 0.0.0.0 202.100.23.3ip route 192.168.12.0 255.255.255.0 172.16.12.1ip nat service list 1 IKE preserve-portip nat service list 1 ESP spi-matchip nat inside source list 1 interface Ethernet0/1 overload ip nat inside source list 2 interface Ethernet0/1 overload access-list 1 permit 172.16.12.1access-list 2 permit 192.168.12.0 0.0.0.255R3:interface Ethernet0/0ip address 202.100.23.3 255.255.255.0half-duplexinterface Ethernet0/1ip address 202.100.34.3 255.255.255.0half-duplexR4:interface Loopback0ip address 192.168.34.4 255.255.255.0ip nat insideip virtual-reassembly!interface Ethernet0/0ip address 202.100.34.4 255.255.255.0ip nat outsideip virtual-reassemblyip route 0.0.0.0 0.0.0.0 202.100.34.3crypto isakmp policy 10authentication pre-sharecrypto isakmp keepalive 60 ISAKMP的DPDcrypto isakmp nat keepalive 10用于在NAT之后的情況，防止NAT丢弃转发条目crypto isakmp key cisco address 202.100.23.2crypto ipsec transform-set myset esp-des esp-md5-hmaccrypto ipsec nat-transparency spi-matching开启SIP-Matching，跟NAT特性有关access-list 101 permit ip 192.168.34.0 0.0.0.255 192.168.12.0 0.0.0.255 crypto map map 10 ipsec-isakmpset peer 202.100.23.2set transform-set mysetmatch address 101interface Ethernet0/0crypto map mapip nat inside source route-map nat-map interface Ethernet0/0 overload access-list 102 deny ip 192.168.34.0 0.0.0.255 192.168.12.0 0.0.0.255access-list 102 permit ip 192.168.34.0 0.0.0.255 any route-map nat-map permit 1match ip address 102测试结果解法二：基于UDP穿越NAT将cry ips nat-transparency spi-matching 改成cry ips nat-transparency udp-encapsulation即可测试：注意理解“crypto ipsec nat-transparency”这个命令，后面有两个参数，一个是NAT-T支持，一个是SPI-Matching。

IPSEC(IKE)穿透nat的典型组网和配置

IPSEC(IKE)穿透nat的典型组网和配置1.1 典型组网和介绍图1 IPSEC(IKE)穿透nat的典型组网路由器A，是分部的出口路由器，只负责nat转换；路由器B，是分部内IPSEC加密的路由器，不做nat；路由器C，是总部路由器，有固定IP。

路由器B和C的IPSEC穿透了路由器A的nat转换。

1.2 中端路由器B和C的版本需要VRP3.3-0021.3 IPSEC的配置介绍此组网的配置用到了IPSEC的野蛮模式，和IKE的nat穿越配置；IPSEC野蛮模式的介绍和配置详见《配置手册》。

IKE的nat穿越配置仅一条命令：nat traversal1.4 配置1.4.1 总部路由器C的配置<Center>disp cur#sysname Center#tcp window 8#ike local id Center#ike peer otherexchange-mode aggressivepre-shared-key abcid-type nameremote-id P2nat traversallocal single-subnetpeer single-subnet#ipsec proposal center-1esp authentication-algorithm sha1 #ipsec policy center_1 2 isakmp security acl 100ike-peer otherproposal center-1#controller E1 3/0channel-set 0 timeslot-list 1#controller E1 3/1#interface Aux0async mode flowlink-protocol ppp#interface Ethernet1/0ip address 169.254.0.1 255.255.0.0 #interface Ethernet1/1#link-protocol pppip address 61.1.1.2 255.255.255.0nat outbound 102ipsec policy center_1#interface NULL0#interface LoopBack1ip address 192.168.2.1 255.255.255.0#acl number 100rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 rule 2 deny ipacl number 102rule 0 deny ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 rule 1 permit ip source 192.168.2.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 61.1.1.1#user-interface con 0user-interface aux 0authentication-mode noneuser privilege level 3set authentication password simple a #return<Center>1.4.2 分部路由器B的配置<P2-1760> disp cur#sysname P2-1760#tcp window 8#ike local id P2#ike peer part-1exchange-mode aggressivepre-shared-key abcid-type nameremote-id Centerremote-address 61.1.1.2nat traversallocal single-subnetpeer single-subnet#ipsec proposal part-1esp authentication-algorithm sha1 #ipsec policy part_1 1 isakmp security acl 100ike-peer part-1proposal part-1#interface Aux0async mode protocollink-protocol ppp#interface Ethernet0/0ip address 16.1.1.2 255.255.255.252 ipsec policy part_1#interface Serial0/0clock DTECLK1link-protocol ppp#interface NULL0#interface LoopBack0ip address 192.168.0.1 255.255.255.0#acl number 100rule 1 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 2 deny ip#ip route-static 0.0.0.0 0.0.0.0 16.1.1.1#user-interface con 0user-interface aux 0user-interface vty 0 4user privilege level 3set authentication password simple a#return1.4.3 分部路由器A的nat配置<P1>disp cur#sysname P1#super password level 3 simple a#local-user a password simple a local-user a level 3#tcp window 8#controller E1 1/0#controller E1 1/1#interface Aux0async mode flowlink-protocol ppp#interface Ethernet0/0ip address 16.1.1.1 255.255.255.252 ##interface Serial2/0clock DTECLK1link-protocol pppip address ppp-negotiatenat outbound 101#interface Serial2/1clock DTECLK1link-protocol ppp#interface NULL0#acl number 101rule 0 permit ip source 192.168.0.0 0.0.0.255rule 1 permit ip source 16.1.1.0 0.0.0.3rule 2 deny ip#ip route-static 0.0.0.0 0.0.0.0 Serial 2/0ip route-static 192.168.0.0 255.255.255.0 16.1.1.2 #user-interface aux 0user-interface vty 0 4authentication-mode localset authentication password simple a#return此处必须注意的一点是：acl中必须包括路由器B的上行口地址网段，文中是16.1.1.0/30网段。

中职比赛路由ipsec穿越nat实例

Ipsec-1#show runBuilding configuration...Current configuration:!!version 1.3.3Hservice timestamps log dateservice timestamps debug dateno service password-encryption!gbsc group default!crypto nat!crypto identification defaultfqdn "hello"!crypto identification remotofqdn "hello"!crypto isakmp key admin 192.168.1.2 255.255.255.0 !crypto isakmp policy 10encryption 3des!crypto ipsec transform-set testtransform-type esp-3des!crypto map sec 10 ipsec-isakmpid remotoset peer 192.168.1.2set transform-set testmatch address ipsec!interface Loopback1ip address 192.168.7.1 255.255.255.0!interface FastEthernet0/0ip address 192.168.6.1 255.255.255.0no ip directed-broadcastcrypto map sec!interface FastEthernet0/3no ip addressno ip directed-broadcast!interface Serial0/1no ip addressno ip directed-broadcast!interface Serial0/2no ip addressno ip directed-broadcast!interface Async0/0no ip addressno ip directed-broadcast!ip route default 192.168.6.2!ip access-list extended IPSECpermit ip 192.168.7.1 255.255.255.0 192.168.5.1 255.255.255.0 !Nat#show runBuilding configuration...Current configuration:!!version 1.3.3Hservice timestamps log dateservice timestamps debug dateno service password-encryption!gbsc group default!interface Loopback0ip address 192.168.4.1 255.255.255.0!interface Loopback1no ip addressno ip directed-broadcastip nat inside!interface FastEthernet0/0no ip addressno ip directed-broadcast!interface Ethernet0/1ip address 192.168.6.2 255.255.255.0no ip directed-broadcastduplex halfip nat inside!interface Serial0/2ip address 192.168.1.1 255.255.255.0no ip directed-broadcastip nat outside!ip route default Serial0/2ip route default 192.168.6.1!ip access-list standard prpermit any!ip nat inside source list pr interface Serial0/2 !Ipsec-2#show runBuilding configuration...Current configuration:!!version 1.3.3Hservice timestamps log dateservice timestamps debug dateno service password-encryption!gbsc group default!crypto nat!crypto identification defaultfqdn "hello"!crypto identification remotofqdn "hello"!crypto isakmp key admin 192.168.6.1 255.255.255.0 !crypto isakmp policy 10encryption 3des!crypto ipsec transform-set testtransform-type esp-3des!crypto map sec 10 ipsec-isakmpid remotoset peer 192.168.6.1set transform-set testmatch address pr!interface Loopback1ip address 192.168.5.1 255.255.255.0no ip directed-broadcast!interface FastEthernet0/0no ip addressno ip directed-broadcast!interface Ethernet0/1no ip addressno ip directed-broadcastduplex half!interface Serial0/2ip address 192.168.1.2 255.255.255.0no ip directed-broadcastcrypto map secphysical-layer speed 64000!ip route default Serial0/2!ip access-list extended prpermit ip 192.168.5.1 255.255.255.0 192.168.7.1 255.255.255.0 !。

IPSEC野蛮模式互通v7使用模板NAT

IPSEC野蛮模式跨越NAT的实验报告（v7）实验组网：实验需求：总部和分部通过ipsec VPN连接，现在分部通过nat上网，要求总部和分部还能建立VPN连接。

实验配置：Msr1上的配置：interface LoopBack0 写loopback地址做模拟内网ip address 192.168.0.1 255.255.255.0#interface GigabitEthernet0/0port link-mode routecombo enable copperip address 1.1.1.1 255.255.255.0 设置公网口的地址为1.1.1.1ipsec apply policy 1 将ipsec应用在出口上#ip route-static 0.0.0.0 0 1.1.1.2 到外网的路由#acl advanced 3000rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255# 感兴趣流匹配192.168.0.0到192.168.1.0ipsec transform-set liuesp encryption-algorithm 3des-cbc 创建安全提议esp authentication-algorithm md5#ipsec policy 1 1 isakmp 创建安全策略transform-set liu 绑定安全提议security acl 3000 绑定兴趣流remote-address 2.2.2.2 设置对端的地址ike-profile 1 引用profile#ike profile 1 配置profilekeychain 1exchange-mode aggressive 选择模式为野蛮模式local-identity fqdn rt1 定义本段的名字#ike keychain 1pre-shared-key address 2.2.2.2 255.255.255.0 key cipher$c$3$Qe9XOAQz1WG1gqfgpF2vhoMwNfA/Sw==MSR2上的配置：interface GigabitEthernet0/0port link-mode routecombo enable copperip address 1.1.1.2 255.255.255.0#interface GigabitEthernet0/1 在0/1口上设置NATport link-mode routecombo enable copperip address 2.2.2.1 255.255.255.0nat outboundMSR3上的配置：interface LoopBack0ip address 192.168.1.1 255.255.255.0 起loopback口模拟内网的地址#interface GigabitEthernet0/0port link-mode routecombo enable copperip address 2.2.2.2 255.255.255.0 在外网口上配置IP地址应用ipsecipsec apply policy 1#ip route-static 0.0.0.0 0 2.2.2.1 写出公网的路由ipsec transform-set liu 写安全提议esp encryption-algorithm 3des-cbcesp authentication-algorithm md5#ipsec policy-template 1 1 模板的方式互联transform-set liu 引用安全提议local-address 2.2.2.2 设置本端的地址ike-profile 1#ipsec policy 1 1 isakmp template 1 引用安全模板#ike profile 1keychain 1exchange-mode aggressivematch remote identity fqdn rt1#ike keychain 1 这里需要注意配置这个地址为nat设备的地址不能是私网的地址pre-shared-key address 2.2.2.1 255.255.255.255 key cipher$c$3$OyYvNspnlpcz0xEthe6KUIeuj+EwGw==实验成功分析[H3C]dis ipsec saInterface: GigabitEthernet0/0IPsec policy: 1Sequence number: 1Mode: ISAKMPTunnel id: 0Encapsulation mode: tunnel 封装模式为tunnelPerfect forward secrecy:Path MTU: 1435 传输单元为1435Tunnel:local address: 1.1.1.1 本端地址remote address: 2.2.2.2 对端地址Flow:sour addr: 192.168.0.0/255.255.255.0 port: 0 protocol: ipdest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: ip [Inbound ESP SAs]SPI: 4286909264 (0xff850b50)Connection ID: 12884901889Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5 一般排查故障的时候可以看两端Sa的加密方式是否一致SA duration (kilobytes/sec): 1843200/3600SA remaining duration (kilobytes/sec): 1843199/3219Max received sequence-number: 4Anti-replay check enable: YAnti-replay window size: 64UDP encapsulation used for NAT traversal: Y nat穿越开启Status: Active[Outbound ESP SAs]SPI: 1462729958 (0x572f7ce6)Connection ID: 21474836480Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5SA duration (kilobytes/sec): 1843200/3600SA remaining duration (kilobytes/sec): 1843199/3219Max sent sequence-number: 4UDP encapsulation used for NAT traversal: YStatus: Active[H3C]dis ike sa verboseConnection ID: 3Outside VPN:Inside VPN:Profile: 1Transmitting entity: InitiatorLocal IP: 1.1.1.1Local ID type: FQDNLocal ID: rt1Remote IP: 2.2.2.2Remote ID type: IPV4_ADDRRemote ID: 2.2.2.2Authentication-method: PRE-SHARED-KEYAuthentication-algorithm: SHA1Encryption-algorithm: DES-CBCLife duration(sec): 86400Remaining key duration(sec): 85991Exchange-mode: AggressiveDiffie-Hellman group: Group 1NAT traversal: Detected在外网的路由器上的sa<H3C>dis ipsec saInterface: GigabitEthernet0/0IPsec policy: 1Sequence number: 1Mode: Template 模式是模板的方式Tunnel id: 0Encapsulation mode: tunnelPerfect forward secrecy:Path MTU: 1435Tunnel:local address: 2.2.2.2remote address: 2.2.2.1 可以看到这边是到对端公网口的地址，而不是内网口的地址Flow:sour addr: 192.168.1.0/255.255.255.0 port: 0 protocol: ipdest addr: 192.168.0.0/255.255.255.0 port: 0 protocol: ip[Inbound ESP SAs]SPI: 1462729958 (0x572f7ce6)Connection ID: 21474836481Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5可是查看此验证是否一致SA duration (kilobytes/sec): 1843200/3600SA remaining duration (kilobytes/sec): 1843199/2936Max received sequence-number: 4Anti-replay check enable: YAnti-replay window size: 64UDP encapsulation used for NAT traversal: Y v7自动开启NAT穿越Status: Active[Outbound ESP SAs]SPI: 4286909264 (0xff850b50)Connection ID: 21474836480Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-MD5SA duration (kilobytes/sec): 1843200/3600SA remaining duration (kilobytes/sec): 1843199/2936Max sent sequence-number: 4UDP encapsulation used for NAT traversal: YStatus: Active<H3C>dis ike sa verbose-----------------------------------------------Connection ID: 8Outside VPN:Inside VPN:Profile: 1Transmitting entity: Responder-----------------------------------------------Local IP: 2.2.2.2Local ID type: IPV4_ADDRLocal ID: 2.2.2.2Remote IP: 2.2.2.1Remote ID type: FQDNRemote ID: rt1Authentication-method: PRE-SHARED-KEYAuthentication-algorithm: SHA1Encryption-algorithm: DES-CBCLife duration(sec): 86400 Remaining key duration(sec): 85712 Exchange-mode: AggressiveDiffie-Hellman group: Group 1 NAT traversal: Detected。

ipsec与nat的冲突避免

ipsec与nat的冲突避免室外在使用VPN设备时，因VPN设备都是接入到internet网进行传输，同时又需要局域网的PC机上公网，要使用NAT转换。

这就使得在同一台设备上面既要做IPSEC处理，又要做NAT转换，因两者在路由器上面处理顺序的不同会造成一些问题。

以下对IPSEC和NAT结合使用的注意事项进行说明。

一、本地NAT：本地路由器的对数据包的处理流程是先处理NAT，然后才是IPSEC，所以对要进行IPSEC封装的数据，就必须要避开之前的NAT处理，1．对于动态NAT，数据包的匹配是通过ACL来实现，所以把需要IPSEC的数据在ACL里面deny就行了，这也是最常见的应用。

配置举例：（做NAT的ACL）ip access-list extended 1001deny ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255 拒绝IPSEC的数据流permit ip 10.0.2.0 0.0.0.255 anyexit2．对于静态NAT，数据包就不是通过ACL来匹配，而是通过NAT里面的配置的地址来匹配。

所以就需要通过其它模块来避免NAT处理。

众所周知，NAT要生效，除了数据要匹配外，还需在在接口上定义输入输出接口，两个条件只要有一个不符合，那么NAT就不会处理。

解决办法可以使用策略路由把数据送到路由器环回口来避免地址转换。

配置举例：（策略路由配置）interface loopback0ip address 2.2.2.2 255.255.255.0exitip access-list extended 1001permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255 匹配IPSEC的数据流exitroute-map dial permit 10match ip address 1001set interface loopback 0exit3．在配置NAT匹配数据流时，访问列表不要配置permit ip any any，以防止通过IPSEC处理完后，又匹配NAT的数据流再作一次NAT转换。

IPSec穿越NAT实验

IPSec穿越NAT实验实验目的: 掌握IPSec基本配置，熟悉IPSec穿越NAT特性原理，并且验证拓扑说明.:R1,NAT,R2设备通过e0/0和e0/1口之间相互连接，如图，具体试验连接接口，按照自己的配置，中间NAT设备提供地址转换功能，保证了R1到R2设备的连通性，这里需要回顾NAT的配置，R1，R2设备上面各自有loopback0口接口地址配置如下：R1-E0/0:192.168.1.2/24,R1-Loopback0:10.1.1.1/24NAT-E0/0-:192.168.1.1/24 NAT-E0/1:202.106.0.20/24R2-E0/0:202.106.0.21/24 R2-Loopack0:10..1.2.1/24最终目标实现10.1.1.1到10.1.2.1地址的通信，保证使用了IPSEC加密，同时穿越了NAT设备并且注意这里的NAT是穿越运营商的NAT配置过程：1，首先配置各个设备的ip地址，保证设备的直连通信，同时保证了nat设备能够正常工作，保证了从R1的192.168.1.2地址可以ping通R2设备的202.106.0.21地址，但是反过来ping却不通，这是属于正常，因为中间有nat设备，做到这个效果，也就是nat 的配置。

2，进行IPSEC的具体配置，感兴趣的数据流使用访问控制列表配置，IKE阶段一的配置，IKE阶段二配置，还有IPSEC策略配置，以及最后把策略运行在接口上面，第一部分：配置所有接口的ip地址保证直连接通信，然后配置NAT特性R1配置：Router(config)#hostname R1 设置R1设备主机名字R1(config)#interface Loopback0 建立loopback口，并且给接口配置地址R1(config-if)#ip address 10.1.1.1 255.255.255.0R1(config-if)#exitR1(config)#interface Ethernet0/0 给e0/0接口配置ip地址保证设备之间连通性R1(config-if)#ip address 192.168.1.2 255.255.255.0R1(config-if)#no shutdownNAT设备配置：Router(config)#hostname NAT 设置NAT设备主机名字NAT (config)#interface Ethernet0/1 给e0/1接口配置ip地址保证与R2设备之间连通性NAT(config-if)#ip address 202.106.0.20 255.255.255.0NAT (config-if)#no shutdownNAT (config-if)#ip nat outside 设置nat外网接口NAT (config-if)#exitNAT (config)#interface Ethernet0/0 给e0/0接口配置ip地址保证与R1设备之间连通性NAT (config-if)#ip address 192.168.1.1 255.255.255.0NAT (config-if)#no shutdownNAT (config-if)#ip nat inside 设置nat内网接口NAT (config)#access-list 10 permit 192.168.1.0 0.0.0.255 配置nat使用的访问控制列表NAT (config)#ip nat inside source list 10 interface Ethernet0/1 overload 配置nat保证网连通R2配置：Router(config)#hostname R2 设置R2设备主机名字R2(config)#interface Loopback0 建立loopback口，并且给接口配置地址R2(config-if)#ip address 10.1.2.1 255.255.255.0R2(config)#interface Ethernet0/0 给E0/0接口配置地址保证与NAT设备之间的连通性R2(config-if)#ip address 202.106.0.21 255.255.255.0R2(config-if)#no shutdown第二部分：1，首先在R1和R2上面配置访问控制列表定义感兴趣的数据流，也就是ipsec需要保护的数据流，镜像配置R1(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255R2与 R1的互相为镜像R2(config)#access-list 101 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.2552，配置R1与R2的IKE 的第一个阶段所需要的参数R1的配置：R1(config)#crypto isakmp policy 10R1(config-isakmp)#authentication pre-shareR1(config-isakmp)#hash shaR1(config-isakmp)#group 5R1(config-isakmp)#encryption 3desR1(config-isakmp)#exitR1(config)#crypto isakmp key 0 cisco address 202.106.0.21R2配置R2(config)#crypto isakmp policy 10R2(config-isakmp)#authentication pre-shareR2(config-isakmp)#hash shaR2(config-isakmp)#group 5R2(config-isakmp)#encryption 3desR2(config-isakmp)#exitR2(config)#crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0 这里意思是允许任何人给我建立ike的peer关系3，配置IPSec阶段2里面需要的传输集R1(config)#crypto ipsec transform-set r1 esp-3des esp-md5-hmacR2配置和R1的配置是一样里面的参数必须一致R2(config)#crypto ipsec transform-set r1 esp-3des esp-md5-hmac4，建立IPSEC策略，捆绑访问控制列表IKE PEER,以及传输集R1的配置：R1(config)#crypto map r1_map 10 ipsec-isakmp% NOTE: This new crypto map will remain disabled until a peerR1(config-crypto-map)#match address 101R1(config-crypto-map)#set peer 202.106.0.21R1(config-crypto-map)#set transform-set r1R1(config-crypto-map)#exitR2配置：R2(config)#crypto dynamic-map r2_dymap 10R2(config-crypto-map)#match address 101R2(config-crypto-map)#set transform-set r2R2(config-crypto-map)#exitR2(config)#crypto map r2_map 10 ipsec-isakmp dynamic r2_dymap discover这里需要用动态的map表，因为是一端ip地址是动态的，需要自动发现功能5，应用策略到接口上面R1配置：R1(config)#interface Ethernet0/0R1(config-if)#crypto map r1_mapR2配置：R2(config)#interface Ethernet0/0R2(config-if)#crypto map r2_map最后验证：在R1设备上面扩展PING,R1#ping 10.1.2.1 source 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.2.1, timeout is 2 seconds:Packet sent with a source address of 10.1.1.1!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 20/43/96 ms这种IPSEC的建立过程必须有R1触发，可以使用命令clear crypto sa和clear crypto isakmp清空所有设备的sa，然后从R2扩展PING发现不可以建立IPSEC可以在中间的NAT设备上面使用命令看NAT的会话表NAT#sh ip nat translationsPro Inside global Inside local Outside local Outside globaludp 202.106.0.20:500 192.168.1.2:500 202.106.0.21:500 202.106.0.21:500 udp 202.106.0.20:4500 192.168.1.2:4500 202.106.0.21:4500 202.106.0.21:4500发现nat穿越使用了4500端口。

华为IPSEC VPN互通 + 上网配置示例【包含基本VPN+NAT+NAT免俗】

华为IPSEC VPN互通 + 上网配置示例【包含基本VPN+NAT+NAT免俗】一、实验目的掌握 NAT 的配置掌握 IPSEC VPN 的基础配置二、实验拓扑三、配置要点1.总公司的配置#sysname ZongGongSi#acl number 3000rule 5 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.20.0 0.0.0.255 rule 10 permit ipacl number 3001rule 5 permit ip source 172.16.10.0 0.0.0.255 destination 172.16.20.0 0.0.0.255 #ipsec proposal test#ike proposal 1#ike peer test v2pre-shared-key simple passwordremote-address 23.1.1.2ipsec policy test 10 isakmpsecurity acl 3001ike-peer testproposal test#interface GigabitEthernet0/0/0ip address 172.16.10.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 12.1.1.1 255.255.255.0ipsec policy testnat outbound 3000#ip route-static 0.0.0.0 0.0.0.0 12.1.1.22.分公司配置sysname FenGongSi#acl number 3000rule 5 deny ip source 172.16.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 rule 10 permit ipacl number 3001rule 5 permit ip source 172.16.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 #ipsec proposal test#ike peer test v2pre-shared-key simple passwordremote-address 12.1.1.1#ipsec policy test 10 isakmpsecurity acl 3001ike-peer testproposal test#interface GigabitEthernet0/0/0ip address 172.16.20.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 23.1.1.2 255.255.255.0ipsec policy testnat outbound 3000#ip route-static 0.0.0.0 0.0.0.0 23.1.1.1#3.互联网的配置#sysname Internet#interface GigabitEthernet0/0/0ip address 12.1.1.2 255.255.255.0#interface GigabitEthernet0/0/1ip address 23.1.1.1 255.255.255.0#interface LoopBack100ip address 100.100.100.100 255.255.255.0 #interface LoopBack200ip address 200.200.200.200 255.255.255.0 #四、互通测试1.主机上 ping 分支上网PC>ping 172.16.20.20Ping 172.16.20.20: 32 data bytes, Press Ctrl_C to break From 172.16.20.20: bytes=32 seq=1 ttl=127 time=47 ms From 172.16.20.20: bytes=32 seq=2 ttl=127 time=47 ms From 172.16.20.20: bytes=32 seq=3 ttl=127 time=31 ms From 172.16.20.20: bytes=32 seq=4 ttl=127 time=16 ms From 172.16.20.20: bytes=32 seq=5 ttl=127 time=31 ms--- 172.16.20.20 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 16/34/47 msPC>ping 100.100.100.100Ping 100.100.100.100: 32 data bytes, Press Ctrl_C to break From 100.100.100.100: bytes=32 seq=1 ttl=254 time=31 ms From 100.100.100.100: bytes=32 seq=2 ttl=254 time=15 ms From 100.100.100.100: bytes=32 seq=3 ttl=254 time=31 ms From 100.100.100.100: bytes=32 seq=4 ttl=254 time=47 ms From 100.100.100.100: bytes=32 seq=5 ttl=254 time=47 ms --- 100.100.100.100 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 15/34/47 ms2.路由器上校验<ZongGongSi>dis ike sa v2Conn-ID Peer VPN Flag(s) Phase---------------------------------------------------------------3 23.1.1.2 0 RD 22 23.1.1.2 0 RD 1Flag Description:RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUTHRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP<ZongGongSi>dis ipsec sa briefNumber of SAs:2Src address Dst address SPI VPN Protocol Algorithm------------------------------------------------------------------------------- 23.1.1.2 12.1.1.1 2433519709 0 ESP E:DES A:MD5-9612.1.1.1 23.1.1.2 2579144653 0 ESP E:DES A:MD5-96。

IPSEC-NAT穿越

ipsecvpn nat穿越研究前言：阅读本文的前提是读者已经非常熟悉ipsecvpn的原理以及配置，如果对上述技术不清楚的，请先学习相关资料，再阅读本文。

第一部分ipsecvpn nat 穿越原理ipsec使用两种认证技术：AH和ESP，下图是两种认证技术在传输模式（transport mode）和隧道模式(tunnel mode)下的包结构。

默认情况下，cisco使用隧道模式，也是推荐的模式。

从图中可以看出，不管AH使用传输模式还是隧道模式，认证的部分都包含ip包头，根据nat的原理，不管是哪种nat，都会改变ip包头的内容，一但认证的数据在建立隧道的过程中被修改过，则隧道不能建立，所以，使用AH认证方式是无法穿越nat的。

而ESP认证方式则不一样，在传输模式下，它不认证原有的ip包头，而在隧道模式下，它不认证新ip 包头（源地址和目的地址为建立ipsec的两个网关的地址，原ip包头的源和目的地址为实际发生数据传输的两个节点的地址），由于ESP认证的这种特性，使用ESP方式，可以穿越NA T，推荐的模式为：ESP隧道模式。

nat中的pat（最为常用的）方式需要使用传输层的端口，而ipsec里又没有端口号，如何让ipsec能够穿越pat？可以使用UDP封装（源端口和目的端口均为UDP 500），如下图（不采用TCP的原因是TCP头结构过于复杂，而且数据太长，开销大）：建立隧道的发起方可以是PA T内部的vpn网关，也可以是PA T外部的vpn网关，不管采用哪种方式，只需要让执行PA T的设备把目的端口为UDP 500的建立隧道请求，转发至PA T 后端的vpn网关，则ipsec可以穿过PA T建立隧道。

第二部分ipsecvpn nat 穿越实验1实验环境完成目标：●按照拓扑图要求连接各个设备●使用ipsec启用VPN，穿透NAT访问内网服务器2实验过程2.1配置基本配置，完成拓扑图，保证连通性mypc为192.168.2.11，server为192.168.0.112.2配置VPN1，启用IPSEC-VPN，使之成为VPN网关2.3配置NAT1，首先是配制普通的网络地址转换，然后配置NAT穿透，映射VPN服务2.4配置ISP，模拟运营商提供时钟2.5配置NAT2，首先是配制普通的网络地址转换，然后配置NAT穿透，映射VPN服务2.6配置配置VPN2，启用IPSEC-VPN，使之成为VPN网关3验证结果3.1用mypc测试其网关之外的路由发现，虽然不能ping通其他路由，但是却能ping通VPN网关，以及VPN网关下面的内网192.168.0.0网段3.2同时服务器端也可访问mypc3.3不止底层的ICMP协议，连应用层的服务也可以穿透3.4甚至是类似\\192.168.0.11这样的操作3.5我们来看下关于IPSEC-VPN的一些信息4总结VPN实现了局域网的对接，把广域网变得象局域网一样简单特别注明！本例子中两台nat路由器并没有完整的路由配置nat1中无ip route 192.168.2.0 255.255.255.0 192.168.3.1nat2中无ip route 192.168.0.0 255.255.255.0 192.168.1.1没有路由也能通信。

IPSec穿越NAT-实例

IPSec穿越NAT-实例IPSec穿越NATIPSec ×××有两种封装格式，⼀种是AH，⼀种是ESP，AH由于包含对数据包源⽬IP进⾏完整性校验，Nat是绝对不能部署的，否则，⽬的端在收到数据包由于完整性校验失败，⽽丢弃该数据包，⽽ESP可以部署Nat，却不能部署PAT，因为该数据包没有传输层报头，⽆法进⾏端⼝转化，⽽导致数据包被丢弃，Cisco 开发了⼀种Nat-traver（nat穿越）技术，⽤来解决这样的问题，通过在IKE phase1阶段协商的数据包中有个VID字段，⽤来表明该路由器是否⽀持Nat-traver，⽽在3，4个数据包通过交换NAT-D（⼀种由源IP和源端⼝或者由⽬的IP和⽬的端⼝号的Hash值），通过交换⽐较知道是否进⾏了Nat-traverse，从⽽在后续的数据包以后都会在IP包头后添加⼀个UDP/4500的报头，来实现PAT，以下是部署的配置实例！拓扑图R1配置crypto isakmp policy 10encr 3deshash md5authentication pre-sharegroup 2crypto isakmp key nat address 34.1.1.4ip access-list extended ipsecpermit ip 172.16.10.0 0.0.0.255 172.16.40.0 0.0.0.255crypto ipsec transform-set ipsec esp-3des esp-md5-hmacmode tunnelcrypto map ipsec 10 ipsec-isakmpset peer 34.1.1.4set transform-set ipsecmatch address ipsecinterface Loopback0ip address 172.16.10.1 255.255.255.0interface Ethernet0/1ip address 12.1.1.1 255.255.255.0crypto map ipsecip route 0.0.0.0 0.0.0.0 12.1.1.2R2interface Ethernet0/0ip address 23.1.1.2 255.255.255.0ip nat outsideip virtual-reassembly in!interface Ethernet0/1ip address 12.1.1.2 255.255.255.0ip nat insideip virtual-reassembly inip nat inside source list 1 interface Ethernet0/0 overloadaccess-list 1 permit anyip route 0.0.0.0 0.0.0.0 23.1.1.3ip route 172.16.10.0 255.255.255.0 12.1.1.1R3interface Ethernet0/0ip address 23.1.1.3 255.255.255.0!interface Ethernet0/1ip address 34.1.1.3 255.255.255.0R4crypto isakmp policy 10encr 3deshash md5authentication pre-sharegroup 2crypto isakmp key nat address 23.1.1.2 #是与NAT设备建⽴连接crypto ipsec transform-set ipsec esp-3des esp-md5-hmacmode tunnelip access-list extended ipsecpermit ip 172.16.40.0 0.0.0.255 172.16.10.0 0.0.0.255crypto map ipsec 10 ipsec-isakmpset peer 23.1.1.2set transform-set ipsecmatch address ipsecinterface Loopback0ip address 172.16.40.1 255.255.255.0interface Ethernet0/1ip address 34.1.1.4 255.255.255.0crypto map ipsecip route 0.0.0.0 0.0.0.0 34.1.1.3在R1设备上查看ipsec配置R1#show crypto sessionCrypto session current statusInterface: Ethernet0/1Session status: UP-ACTIVEPeer: 34.1.1.4 port 4500IKEv1 SA: local 12.1.1.1/4500 remote 34.1.1.4/4500 ActiveIPSEC FLOW: permit ip 172.16.10.0/255.255.255.0 172.16.40.0/255.255.255.0 Active SAs: 2, origin: crypto mapR1#show crypto isakmp saIPv4 Crypto ISAKMP SAdst src state conn-id status34.1.1.4 12.1.1.1 QM_IDLE 1001 ACTIVE在R2设备上查看nat转换R2#show ip nat translationsPro Inside global Inside local Outside local Outside global udp 23.1.1.2:4500 12.1.1.1:4500 34.1.1.4:4500 34.1.1.4:4500可以看到是重新封装的UDP4500端⼝在R1进⾏测试，完成实验R1#ping 172.16.40.1 source l0 repeat 10Type escape sequence to abort.Sending 10, 100-byte ICMP Echos to 172.16.40.1, timeout is 2 seconds: Packet sent with a source address of 172.16.10.1。

gre over ipsec 穿越nat

MSR系列路由器
GRE Over IPSec + OSPF穿越NAT多分支互通配置关键词：MSR;IPSec;IKE;野蛮模式;模板;VPN;多分支互通;NA T;穿越;OSPF;GRE
一、组网需求：
总部对多个分支提供IPSec VPN接入，分支出口存在NAT设备，因此总部与分支之间配置成野蛮模式和NAT穿越，总部路由器不配置ACL，而使用安全模板，总部和分支之间通过内网Loopback建立GRE隧道，分支通过建立ACL使分支Loopback和总部Loopback之间的GRE通过IPSec互通，建立好GRE隧道后，在隧道上运行OSPF，使各内部路由互通，分支之间的流量通过总部转发，需要注意的是Loopback口不能添加到OSPF中
设备清单：MSR系列路由器5台
二、组网图：
三、配置步骤：
四、配置关键点：
1) 大部分配置参考IPSec VPN多分支NAT穿越模板方式功能的配置；
2) 分支的ACL可以配置成精确的GRE流量；
3) 建立GRE隧道的地址必须是内网地址；
4) 不能将建立GRE隧道连接的Loopback接口加入到OSPF，否则连接会失效。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

下，配置ACL规则
port1 [ port2 ] ] [ icmp-type {icmp-type icmp-code | icmp-message} ]
[ precedence precedence ] [ dscp dscp ] [ established ] [ tos tos ] [ time-
Copyright © 2007 杭州华三通信技术有限公司

IPsec NAT穿越配置举例
3.2 配置步骤
配置野蛮模式下IPsec穿越NAT，需要以下步骤：
z 配置访问控制列表 z 配置 IKE 对等体 z 定义安全提议 z 创建安全策略 z 在接口上应用安全策略
1. 配置访问控制列表
在IPsec/IKE组建的VPN隧道中，若存在NAT网关设备，且NAT网关设备对VPN业务数据流进行了NAT转换的话，则必须配置IPsec/IKE的NAT穿越功能。该功能删去了IKE协商过程中对UDP 端口号的验证过程，同时实现了对VPN隧道中NAT网关设备的发现功能，即如果发现NAT网关设备，则将在之后的IPsec数据传输中使用UDP封装（即将IPsec报文封装到IKE协商所使用的UDP连接隧道里）的方法，避免了NAT网关对IPsec报文进行篡改（NAT网关设备将只能够修改最外层的 IP和UDP报文头，对UDP报文封装的IPsec报文将不作修改），从而保证了IPsec报文的完整性（IPsec数据加密解密验证过程中要求报文原封不动地被传送到接收端）。目前仅在IKE野蛮模式下支持NAT穿越，主模式下不支持。
操作命令
在系统视图下，创建一个
1
高级访问控制列表
[H3C] acl number acl-number [ match-order { config | auto } ]
[H3C-acl-adv-3000] rule [ rule-id ] { permit | deny } protocol [ source
为了使IKE支持目前广泛应用的通过ADSL及拨号方式构建VPN的方案中的特殊情况――即局端设备的IP地址为固定分配的，用户端设备的IP地址为动态获取的情况，在IKE阶段的协商模式中增加了IKE野蛮模式，它可以选择根据协商发起端的IP地址或者ID来查找对应的身份验证字，并最终完成协商。IKE野蛮模式相对于主模式来说更加灵活，能够支持协商发起端为动态IP地址的情况。
2 特性的优点
该特性适合IPsec隧道中间存在NAT设备的组网情况。同时，由于使用了IKE野蛮模式，同样也适用于IP地址不固定的远程访问用户与总部之间建立I 使用场合
1) IPsec隧道中间存在NAT设备的组网情况 2) 适用于IP地址不固定的远程访问用户与总部之间建立IPsec隧道的情况。
缩略语：
VPN IPsec NAT IKE
缩略语
英文全名 Virtual Private Network\ IP security Network Address Translation Internet Key Exchange
中文解释虚拟私有网 IP安全网络地址转换 Internet密钥交换
3.1 使用场合....................................................................................................................................1 3.2 配置步骤....................................................................................................................................2 3.3 注意事项....................................................................................................................................4 3.4 举例...........................................................................................................................................4
IPsec NAT穿越配置举例
IPsec NAT穿越配置举例
关键词：IPsec、NAT、野蛮模式
摘要：本文简单描述了IPsec穿越NAT网关的特点，详细描述了在SecPath防火墙系列防火墙上配置IPsec野蛮模式下穿越NAT的基本配置方法和详细步骤，给出了一种IPsec穿越NAT 的基本配置案例。
Copyright © 2007 杭州华三通信技术有限公司

IPsec NAT穿越配置举例
1 特性介绍
IPsec（IP security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
{ sour-addr sour-wildcard | any } ] [ destination { dest-addr dest-wildcard |
2
在高级访问控制列表视图 any } ] [ source-port operator port1 [ port2 ] ] [ destination-port operator
Copyright © 2007 杭州华三通信技术有限公司

IPsec NAT穿越配置举例
目录
1 特性介绍 ................................................................................................................................... 1 2 特性的优点 ............................................................................................................................... 1 3 使用指南 ................................................................................................................................... 1
IPsec使用高级访问控制列表来判断哪些报文需要受到保护，哪些则不需要，用于IPsec的扩展访问控制列表可称为加密访问控制列表。在本地和远端安全网关上定义的加密访问控制列表应该是相对应的（即互为镜像），这样在某一端加密的数据才能在对端上被解密。否则，会造成一端不能解密另一端发来的数据。
步骤
操作说明
IPsec作为一种重要的安全技术得到越来越广泛的应用，但是客户网络边缘大量使用的NAT地址转换操作可能影响到IPsec的正常操作。目前，NAT和IPsec之间存在的不兼容性问题主要可以分为以下三类：
z IP 地址和端口不匹配的问题 z IPsec 不能验证 NAT 报文的问题 z NAT 超时影响 IPsec 的问题针对此问题，我司在IKE野蛮模式的基础上实现NAT穿越，很好地解决了此问题。
range time-name ] [ logging ] [ fragment ]
2. 配置IKE对等体
在实施IPsec的过程中，可以使用Internet密钥交换IKE（Internet Key Exchange）协议来建立安全联盟，该协议建立在由 Internet 安全联盟和密钥管理协议 ISAKMP （ Internet Security Association and Key Management Protocol）定义的框架上。IKE为IPsec提供了自动协商交换密钥、建立安全联盟的服务，能够简化IPsec的使用和管理。
3.4.1 组网需求 ........................................................................................................................4 3.4.2 组网图............................................................................................................................4 3.4.3 配置 ...............................................................................................................................4 3.4.4 验证结果 ........................................................................................................................8 3.4.5 故障排除 ......................................................................................................................10 4 关键命令 ................................................................................................................................. 11 4.1 ipsec policy（系统视图） .......................................................................................................11 4.2 ipsec proposal.........................................................................................................................12 4.3 ike peer ...................................................................................................................................13 5 相关资料 ................................................................................................................................. 14 5.1 相关协议和标准.......................................................................................................................14 5.2 其它相关资料 ..........................................................................................................................14