前言
网 络地址转换(NAT)被开发涉及互联网协议版本4 (IPV4的)问题用尽地 址空间的。 今天,家庭用户和小型办公室网络使用NAT 作 为代替采购的注册的地址。公司实现NAT 单独或以防火墙保 护他们的内部资源。
多对一,最普 通被实施的NAT解决方案,映射几个专用地址到一个单个可路由(共 享)地址; 这是亦称端口地址转换(PAT)。 协会是被实 施在端口级别。PAT 解决方案制造一个问题为不使用任何端 口的IPSec信息数据流。
在您开始之前
惯例
欲知关于文件惯例的更 多信息,请参阅 Cisco技术提示惯例。
前提
此 文档没有特殊的先决条件。
使用的组件
本文的信息根据以下的软件及硬件版本。
-
Cisco VPN 3000集中器
-
Cisco VPN 3000客户端软件版本 2.1.3及以后
本文提供的信息在特定 实验室环境里从设备被创建了。用于本文的所有设备开始了 以一个缺省(默认)配置。如果在一个真实网络工作,保证 您使用它以前了解所有命令的潜在影响。
封装安全有效载荷
协议50 (封装安全有效 载荷[ ESP ])处理IPSec encrypted/encapsulated信息包。多数PAT设备不工作与ESP因为他们被编程工作仅带有传输控制协议 (TCP)、用户数据协议(UDP)和互联网控制信息协议(ICMP)。 另外,PAT设备无法映射多个安全参数索引(SPIs)。 NAT透明模式在VPN 3000客户软件在UDP之内通过封装ESP和 发送它解决此问题到一个协商的端口。激活的属性的名字在 VPN 3000集中器是IPSec通过NAT。
如何NAT透明模式工作?
激活IPSec透明模式在 VPN集中器创建不明显过滤器规则并且适用于他们公共过滤器。 当VPN客户端软件连接时,配置端口编号然后通过对VPN客户 端软件透明地。在Inbound 侧,UDP Inbound数据流从该端口 通过直接地对IPSec为处理。数据流正常解密并且被解封装, 然后路由。在流出端,IPSec加密,封装然后应用UDP头(如果 如此配置)。 运行时过滤器规则从适当的过滤器被撤销并且 被删除在三个情况下:当在UDP的IPSec为组是失效,当组被 删除,或者当在SA UDP的最后有效IPSec在该端口被删除。发送Keepalive防止NAT设备结束端口映射由于不活动。
配置NAT透 明模式
使用以下程 序配置NAT透明模式在VPN集中器。
-
在 VPN集中器,去 Configuration > User Management > Groups。
-
添加组, 选择 Add。修改一个现有组,选择它并且 点击Modify。
-
点击IPSec制表符,通过 NAT 检查 IPSec 并且 通过 NAT UDP端口配置IPSec。默认端口为IPSec通过NAT是10000 ( 包括源和目的地),但可能更改此设置。
转载地址:http://www.net130.com/CMS/Pub/special/special_vpn/211118.htm