nat对vpn的影响配置实例

标题：nat对vpn的影响目的：解决nat对vpn的影响拓扑：步骤：1.按照拓扑对路由器的接口配置ip地址------Ip地址规划Site1上site1(config)#intf0/0site1(config-if)#ipadd202.100.1.1255.255.255.0site1(config-if)#noshsite1(config-if)#intlo0site1(config-if)#ipadd1.1.1.1255.255.255.0Isp上isp(config)#intf0/1isp(config-if)#ipadd202.100.1.10255.255.255.0isp(config-if)#noshisp(config-if)#intf0/0isp(config-if)#ipadd202.100.2.10255.255.255.0isp(config-if)#noshSite2上site2(config)#intf0/1site2(config-if)#ipadd202.100.2.1255.255.255.0site2(config-if)#noshsite2(config-if)#intlo0site2(config-if)#ipadd2.2.2.2255.255.255.0在is上测试连通性2.解决路由底层问题缺省路由，保证路由底层路由可达测试3.定义vpn的协商策略和认证Site1上site1(config)#cryptoisakmppolicy10site1(config-isakmp)#authenticationpre-sharesite1(config)#cryptoisakmpkey0ciscoaddress202.100.2.1定义协商策略和认证，预共享密钥，配置域共享key（负责认证策略）Site2上site2(config)#cryptoisakmppolicy10site2(config-isakmp)#authenticationpre-sharesite2(config)#cryptoisakmpkey0ciscoaddress202.100.1.1定义协商策略和认证，预共享密钥，配置域共享key（负责认证策略）4.定义vpn的加密策略Site1上site1(config)#ipaccess-listextendedVPNsite1(config-ext-nacl)#permitip1.1.1.00.0.0.2552.2.2.00.0.0.255site1(config)#cryptoipsectransform-settransesp-desesp-md5-hmacsite1(cfg-crypto-trans)#modetunnel利用ACL配置感兴趣流；配置转换集：des加密、MD5认证，隧道模式Site2上site2(config)#ipaccess-listextendedvpnsite2(config-ext-nacl)#permitip2.2.2.00.0.0.2551.1.1.00.0.0.255site2(config)#cryptoipsectransform-settransesp-desesp-md5-hmacsite2(cfg-crypto-trans)#modetunnel利用ACL配置感兴趣流；配置转换集：des加密、MD5认证，隧道模式5.定义vpn的加密图Site1上site1(config)#cryptomapcisco10ipsec-isakmpsite1(config-crypto-map)#matchaddressVPNsite1(config-crypto-map)#settransform-settranssite1(config-crypto-map)#setpeer202.100.2.1定义加密图，匹配感兴趣流，匹配转换集，确定对端接口地址Site2上site2(config)#cryptomapcisco10ipsec-isakmpsite2(config-crypto-map)#matchaddressvpnsite2(config-crypto-map)#settransform-settranssite2(config-crypto-map)#setpeer202.100.1.16.接口调用接口调用加密图，当内网的通信点与vpn对端的通信点进行通信，会触发连接internet的接口（加密点），对数据加密，以保障数据在internet网络中传输时的安全，vpn对端接口则会解密、验证，如果认证通过，数据传输；不通过，直接丢弃Site1上site1(config)#intf0/0site1(config-if)#cryptomapciscoSite2上site2(config)#intf0/1site2(config-if)#cryptomapcisco测试查看加解密包7.Site2的内网需要访问internet网络Site2上site2(config)#ipaccess-listextendednatsite2(config-ext-nacl)#permitip2.2.2.00.0.0.255anysite2(config)#ipnatinsidesourcelistnatinterfacef0/1overloadsite2(config)#intf0/1site2(config-if)#ipnatoutsidesite2(config-if)#intlo0site2(config-if)#ipnatinside利用ACL匹配流量（nat感兴趣流）；ip与接口的映射（绑定）；定义内部和外部网络接口测试查看地址转换8.Vpn站点之间再测试对比优先级，nat比vpn的优先级高，因此数据包的ip头部的ip首先被nat的感兴趣流匹配，进行地址转换，转换后就不匹配vpn感兴趣流，就不会被加密，撞击map，因为有缺省路由，从接口发送至互联网。所以互联网收到之后查看数据包，目的为私网地址，直接丢弃，因此不通9.解决nat与vpn之间的问题在nat的感兴趣流配置中，deny掉通信点与通信点直接的流量，让匹配上这个流量不进行地址转换测试