Ipsec与NAT
第一阶段主模式认证发包的时候会出现不匹配,建议使用野蛮模式
Svti配法:
前两个阶段配好的前提下,
r2(config)#crypto ipsec profile r2
r2(ipsec-profile)#set transform-set r2
r2(ipsec-profile)#exit
r2(config)#interface tunnel 0
r2(config-if)#tunnel protection ipsec profile r2
校验变了
Ipsec做动态nat时不能成功,最少保证一方是静态nat。
解决多VPN连接连接问题:
第一阶段:要么直接不检查源端口,要么有特殊目的端口号则不查源端口号。
第二阶段:找个四层协议给他一个端口号:例如,增加一个UDP分配端口号:4500
解决单向通信,使用静态映射。
记录两个阶段的原目地址与端口号
解决一个路由器上多个VPN调动认证问题:
解决办法:做精确调用要用isakmp profile
Crypto isakmp aggressive-mode 野蛮模式默认开启
如果ipsec的出流量接口在vrf中的配置: