ipsec穿越nat典型配置指导

IPSEC穿越NAT

典型配置指导

Huawei-3Com Technologies Co., Ltd.

华为3Com技术有限公司

IPSEC穿越NAT特性典型配置指导目录

目录

1 特性介绍 (2)

2 特性的优点 (2)

3 使用指南 (2)

3.1 使用场合 (2)

3.2 配置步骤 (2)

3.2.1 配置IKE安全提议 (3)

3.2.2 配置IKE对等体 (4)

3.2.3 配置IPSEC访问控制列表 (4)

3.2.4 配置IPSEC安全提议 (5)

3.2.5 配置IPSEC安全策略 (5)

3.2.6 应用IPSEC安全策略 (6)

3.3 注意事项 (6)

3.4 举例：隧道模式下的IPSEC穿越NAT (6)

3.4.1 组网需求 (6)

3.4.2 组网图 (7)

3.4.3 硬件连接图 (7)

3.4.4 配置 (7)

3.4.5 验证结果 (11)

3.4.6 故障排除 (11)

4 关键命令 (12)

4.1 nat traversal (12)

5 相关资料 (13)

5.1 相关协议和标准 (13)

5.2 其他相关资料 (13)

IPSEC 穿越NAT 特性典型配置指导 正文

关键词：IPSEC ，NAT

摘 要：本文简单描述IPSEC 及其穿越NAT 特性的特点，详细描述了路由器上配置IPSEC 穿越

NAT 的基本方法和详细步骤，给出了一种IPSEC 穿越NAT 方法的配置案例。

缩略语：

第1页

1 特性介绍

IPSec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互

操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式，来保证

数据报在网络上传输时的私有性、完整性、真实性和防重放。

IPSec通过AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）这两个安全协议来实现上述目标。并且还可以通过IKE（Internet Key Exchange，因特网密钥交换协议）为IPSec提供了自动协商交换密钥、建立和维护安全联盟的服务，以简化IPSec的使用和管理。

如果两个IPsec设备之间存在一个或多个NAT设备，由于NAT设备会改变源IP地址和源端口，对IPsec报文和IKE协商都造成影响，因此必须配置IPSec/IKE的NAT穿越功能。为了节省IP地址空间，ISP经常会在公网中加入NAT网关，以便于将私有IP地址分配给用户，此时可能会导致IPSec/IKE隧道的两端一端为公网地址，另一端为私网地址，所以必须在私网侧配置NAT穿越，保证隧道能够正常协商建立。

2 特性的优点

IPSEC穿越NAT特性可以帮助用户穿过NAT网关在公网地址和私网地址间建立VPN隧道，极

大拓展了IPSEC VPN的应用范围。

3 使用指南

3.1 使用场合

用户在公网和私网间建立VPN隧道时，若需要对传输数据进行验证和加密，则推荐使用

IPSEC穿越NAT特性。

要求两侧作为VPN网关的路由器设备必须支持IPSEC穿越NAT特性，我司路由器设备均支持

此特性。

路由器VRP版本要求是VRP 3.3 Release 0006及以上。

3.2 配置步骤

IPSec协议有两种操作模式：传输模式和隧道模式。在传输模式下，AH或ESP被插入到IP头

之后但在所有传输层协议之前，或所有其他IPSec协议之前。在隧道模式下，AH或ESP插在原始

IP头之前，另外生成一个新头放到AH或ESP之前。从安全性来讲，隧道模式优于传输模式。它可

第2页

以完全地对原始IP数据报进行验证和加密；此外，可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。从性能来讲，隧道模式比传输模式占用更多带宽，因为它有一个额外的IP头。因此，到

底使用哪种模式需要在安全性和性能间进行权衡。

在传输模式和隧道模式下的IPSEC，均支持穿越NAT特性。该特性删去了IKE协商过程中对UDP端口号的验证过程，同时实现了对VPN隧道中NAT网关设备的发现功能，即如果发现NAT网关设备，则将在之后的IPSec数据传输中使用UDP封装（即将IPSec报文封装到IKE协商所使用的UDP连接隧道里）的方法，避免了NAT网关对IPSec报文进行篡改（NAT网关设备将只能够修改最外层的IP和UDP报文头，对UDP报文封装的IPSec报文将不作修改），从而保证了IPSec报文的完整性（IPSec数据加密解密验证过程中要求报文原封不动地被传送到接收端）。

配置IPSEC穿越NAT，需要配置以下内容：

●IKE 安全提议和IKE 对等体，为IPSec 提供自动协商交换密钥和建立安全联盟的服

务，此外，IKE 对等体中设置的NAT 穿越功能开关可以保证协商及数据报文成功穿过NAT 网关

●配置IPSEC 访问控制列表，来判断报文是否进行安全保护

●配置IPSEC 安全提议，为安全联盟提供各种安全参数

●配置IPSEC 安全策略，来决定何种报文采用何种安全提议

●在接口上应用IPSEC 安全策略

3.2.1 配置IKE安全提议

IKE提议定义了一套属性数据来描述IKE协商怎样进行安全通信。配置IKE提议包括创建IKE提议、选择加密算法、选择验证方法、选择验证算法、选择Diffie-Hellman组标识和设置安全联盟生存周期。

用户可以按照优先级创建多条IKE提议，但是协商双方必须至少有一条匹配的IKE提议才能协商成功。协商时将从优先级最高的提议开始匹配一条双方都相同的提议，匹配的原则是：协商双方具有相同的加密算法、验证算法、验证方法和DH组标识。

执行ike proposal命令会进入IKE提议视图。在IKE提议视图下可以配置加密算法、验证算法、组标识、生存周期和验证方法。系统提供一条缺省的IKE提议，具有最低的优先级。

配置IKE提议，路由器上需要做如下配置：

第3页