實驗IPsecvpn NAT-T(穿越)
實驗步驟:
1.首先配置R1 R2 R3 R4 ip位址,在配置R1 R2 R4預設路由
2.然後在R2上做NAT (允許内部所有進行NAT轉換)
R2 0/1 和R4 0/0如果不能通,怎麼做IPsec,是以在這裡是通的
在看下R1和R4能不能通(對端可以ping通)
在看ping下内部區域網路(沒有建立vpn,到對端的内部區域網路是不能通的)
R4的0/1 ping R1的0/0 是可以通,
然後做R1 上做ipsec ××× (下面的意思,前面的實驗ipsec已經解釋過了)
在做R4上做ipsec ×××
在這裡都是一樣,唯一不一樣的,是比對對端的位址是nat轉換過的10.1.1.1
配好之後,我先用 192.168.10.1 ping 192.168.20.1 不能通
我在到R1上用192.168.20.1 ping192.168.10.1看能不能通
在用R4 上的192.168.10.1 ping 192.168.20.1看能不能通(先用R1pingR4。要出發流量,建立隧道,然後R4才可以ping通R1)
我這邊能通是因為預設就開啟端口映射(預設就是開啟是以能夠穿越),我先成檢視端口映射(172.0.1:500端口映射成10.1.1.1:500端口,)他不經能ip轉換也能端口轉換
此時我把他删除所有nat 轉換 ,然後檢視下并且R4上ping下,這時就不通了,不通是因為沒有人帶他負責轉換,
如果想要(外部)R4 ping通R1(内部),如下操作
在R2上配置靜态轉換,把172.16.0.1 500 轉換成出口的位址 0/1 500(500管理連接配接),172.16.0.1 4500 轉換成出口的位址 0/1 4500(4500資料連接配接),并且在檢視下端口
在到R4上ping下
實 驗 完 成