实验IPsec*** NAT-T(穿越)

wKioL1UrK1LjVHTBAAE1-pVMgig269.jpg

实验步骤:

1.首先配置R1 R2 R3 R4 ip地址,在配置R1 R2 R4默认路由

wKiom1UrKiuQ4IxZAAGIbMxPxs8650.jpg

wKioL1UrK3qBqz_DAAEDBrX4lKw733.jpg

wKioL1UrK3rCSycMAAHT9PMABbU916.jpg

wKioL1UrK3vzFLlBAAEwcD-P-nI540.jpg

2.然后在R2上做NAT (允许内部所有进行NAT转换)

wKiom1UrKlawVsSgAADXsO_F5O8946.jpg

R2 0/1 R4 0/0如果不能通,怎么做IPsec,所以在这里是通的

wKioL1UrK7rCXImUAADO60QKtRo266.jpg

在看下R1R4能不能通(对端可以ping通)

wKiom1UrKrvgfx8cAADB6p-czNU712.jpg

在看ping下内部局域网(没有建立***,到对端的内部局域网是不能通的)

wKiom1UrKtTCUdtFAAHDDlBHBCk692.jpg

R40/1 ping R10/0 是可以通,

wKioL1UrLF7BJmC7AAEPUvxhHz4987.jpg

然后做R1 上做ipsec ××× (下面的意思,前面的实验ipsec已经解释过了)

 wKiom1UrKxzxaTwdAALVSphh7Rc373.jpg

在做R4上做ipsec ×××

wKiom1UrK37xNBRBAAD0g6l7Fno140.jpg

在这里都是一样,唯一不一样的,是匹配对端的地址是nat转换过的10.1.1.1

wKiom1UrK4bQMWrGAAK4py4VCvM334.jpg

配好之后,我先用 192.168.10.1 ping 192.168.20.1 不能通

 

wKioL1UrLQChr6dTAADiSGA7Ue4688.jpg

我在到R1192.168.20.1 ping192.168.10.1看能不能通

wKioL1UrLVXiH0D3AAEHEuQFGdg055.jpg

在用R4  上的192.168.10.1 ping 192.168.20.1看能不能通(先用R1pingR4。要出发流量,建立隧道,然后R4才可以pingR1

wKiom1UrLCyhMA8NAAFIjIqT1Ys595.jpg

我这边能通是因为默认就开启端口映射(默认就是开启所以能够穿越),我先成查看端口映射(172.0.1:500端口映射成10.1.1.1500端口,)他不经能ip转换也能端口转换

 

此时我把他删除所有nat 转换 ,然后查看下并且R4ping下,这时就不通了,不通是因为没有人带他负责转换,

wKiom1UrLIDTLD9UAAEe6XR1OgA385.jpg

wKiom1UrLMuRO-zKAACm2drEOoE541.jpg

wKiom1UrLQSDpbY7AADErO1E_Ig561.jpg

如果想要(外部)R4 pingR1(内部),如下操作

R2上配置静态转换,把172.16.0.1 500 转换成出口的地址 0/1 500500管理连接),172.16.0.1 4500 转换成出口的地址 0/1 45004500数据连接)并且在查看下端口

wKiom1UrLSbxpdOzAAFLrMzodNA913.jpg

在到R4ping

wKiom1UrLc2i9grhAABTCH-rDf8126.jpg

wKiom1UrLc3gHuMtAACcEvnHxow422.jpg