VPN技术:PAT对VPN产生的影响

适用场景:

适用场景:

如图所示,一个企业内网可能会有很成百上千台电脑需要上互联网,但一个企业可能只有几个甚至一个公网IP地址,这时候就需要使用到PAT功能(通过端口转换来把私网IP和公网IP对应起来)。当一个VPN设备处于PAT设备之后,可能会出现一些问题。由于TCP和UDP有端口号,因此NAT设备可以对他们加于区分并进行转换,ICMP是通过特殊处理之后才进行了转换,而默认并不会对ESP的流量进行转换,这就会出现问题。

注意:只有端口地址转换,即PAT才会出现这个问题,而静态的一对一NAT是不会出现这个问题的。

实验:

下面通过一个实验来演示该问题:

实验拓扑:

实验介绍:

该实验需要用到4台路由器。“VPN”和“R1”模拟上海分站的路由器,R2模拟运营商的路由器,R3模拟北京总部的路由器。上海分站的VPN路由器与北京总部的R3路由器建立一个IPSec VPN。把分站和总部身后的网络192.168.10.0/24和192.168.20.0/24连接起来。由于上海分站只有一个公网IP地址12.1.1.1,要供内网所有用户上网,因此在R1上使用PAT功能,将192.168.10.0/24和192.168.1.0/24网段转换成外网接口的IP地址。因此,VPN流量会穿越PAT。

基础配置:

VPN基础配置:

interface FastEthernet0/0

ip address 192.168.1.1 255.255.255.0

no shutdown

!

interface Loopback0

ip address 192.168.10.1 255.255.255.0

!

ip route 0.0.0.0 0.0.0.0 192.168.1.2

R1基础配置:

interface FastEthernet0/0

ip address 192.168.1.2 255.255.255.0

no shutdown

!

interface FastEthernet1/0

ip address 12.1.1.1 255.255.255.0

no shutdown

!

ip route 0.0.0.0 0.0.0.0 12.1.1.2

ip route 192.168.10.0 255.255.255.0 192.168.1.1

!

access-list 100 permit ip 192.168.10.0 0.0.0.255 any

access-list 100 permit ip 192.168.1.0 0.0.0.255 any

!

interface FastEthernet0/0

ip nat inside

interface FastEthernet1/0

ip nat outside

ip nat inside source list 100 interface FastEthernet1/0 overload

R2基础配置:

interface FastEthernet1/0

ip address 12.1.1.2 255.255.255.0

no shutdown

!

interface FastEthernet2/0

ip address 23.1.1.2 255.255.255.0

no shutdown

R3基础配置:

interface FastEthernet2/0

ip address 23.1.1.3 255.255.255.0

no shutdown

!

interface Loopback0

ip address 192.168.20.1 255.255.255.0

!

ip route 0.0.0.0 0.0.0.0 23.1.1.2

VPN配置:

VPN-Device:

crypto isakmp policy 10

authentication pre-share

crypto isakmp key cisco address 23.1.1.3

!

crypto ipsec transform-set trans esp-des esp-md5-hmac

!

access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

crypto map cisco 10 ipsec-isakmp

set peer 23.1.1.3

set transform-set trans

match address 100

interface FastEthernet0/0

ip address 192.168.1.1 255.255.255.0

crypto map cisco

end

R3配置:

crypto isakmp policy 10

authentication pre-share

crypto isakmp key cisco address 12.1.1.1

!

crypto ipsec transform-set trans esp-des esp-md5-hmac

!

access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

crypto map cisco 10 ipsec-isakmp

set peer 12.1.1.1

set transform-set trans

match address 100

interface FastEthernet2/0

ip address 23.1.1.3 255.255.255.0

crypto map cisco

end

进行测试:

VPN-Device#ping 192.168.20.1 source 192.168.10.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.20.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.10.1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 52/85/112 ms

发现并没有出现我们所说的问题,为什么么呢?这是由于路由器默认开启了NAT-T功能,NAT-T会把ESP

的数据封装在UDP包当中(源末端口是4500)。

NAT-T封装:

查看R1的NAT转换

R1#show ip nat translations

Pro Inside global      Inside local       Outside local      Outside global

udp 12.1.1.1:4500      192.168.1.1:4500   23.1.1.3:4500      23.1.1.3:4500

我们把NAT-T功能关闭再次进行测试:

no crypto ipsec nat-transparency udp-encapsulation

清除SA,重新协商:

VPN-Device#clear crypto isakmp

VPN-Device#clear crypto sa

Ping测试:

VPN-Device#ping 192.168.20.1 source 192.168.10.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.20.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.10.1

.....

Success rate is 0 percent (0/5)

发现无法ping通了已经。

IPSec VPN封装协议 是否能够穿越NAT 是否能够穿越NAT
仅源IP地址一对一转换 源IP地址与源端口的多对一转换(PAT)
AH传输模式 不能 不能
AH隧道模式 不能 不能
ESP传输模式 TCP/UDP不能,其他三层以协议可以 不能
ESP隧道模式 不能

NAT-T协商介绍:

步骤1:

主要用于协商IPSec双方是否都支持NAT-T技术,如果任何一方不支持NAT-T,协商就会失败,则     使用原始的ESP封装。

协商由IKE第一阶段的第一、二个包来实现,双方交互NAT-T中的verdor ID来表示自己是否支持NAT-T。

步骤2:

判断两个Peer之间是否存在NAT(包括一对一的NAT或者是PAT)。两个IPsec Peer会在IKE第一阶段的第3、4个包交换一个叫“NAT-D”的散列值。IKE的第3个数据包会传输两个NAT-D负载(就是两个HASH值),其中一个是源IP和端口计算的HASH值,另一个是目的IP和端口计算的HASH值,接收方收到后再进行计算得到HASH值,如果不一样,则中间网络有NAT,需要启用NAT-T;HASH值一样,则中间网络没有NAT,不需要启用NAT-T。

步骤3:

如果在步骤1中确认两个Peer都支持NAT-T技术,在步骤2中确认两个Peer之间存在NAT,则从第一阶段的5、6个包起,往后的所有数据都使用NAT-T技术进行封装。

总结:

在启用NAT-T技术后,当路由器协商IKE的时候,发现中间网络存在NAT,路由器即使用NAT-T进行封装,这样,所有的ESP数据包头前都会增加一个UDP包头,PAT设备在转换的时候能够对UDP进行转换,到此,问题解决。

时间: 2024-10-25 23:09:55

VPN技术:PAT对VPN产生的影响的相关文章

VPN技术:NAT对VPN设备造成的问题(VPN流量bypass)

在普通站点到站点VPN中,我们通常要考虑一个问题,那就是NAT对VPN产生的影响.一般的企业中,由一台路由器或防火墙即充当了VPN设备,将两个站点连接起来,又充当了将公司内网的私有地址转换成公网IP地址的作用,这样一来,VPN就会产生问题.这种情况只会对普通的站点到站点VPN产生影响,不会对隧道模式的VPN产生影响,如VTI和GRE Over IPSec.下面来演示问题的产生和解决方法: 实验环境: IOS:Version 12.4(15)T5 ASA 8.4版本 拓扑图如下: 在上面的拓扑图中

<转>VPN技术原理

原文地址:VPN技术原理 VPN,Virtual Private Network(虚拟专用 网络),被定义为通过一个公用网络(通常是因特网)建立一个临时的.安全的连接,是一条穿过公用网络的安全.稳定的隧道.虚拟专用网是对企业内部网的扩 展,它可以帮助异地用户.公司分支机构.商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输. IETF 组 织对基于IP 的VPN 解释为:通过专门的隧道加密技术在公共数据网络上仿真一条点到点的专线技术.所谓虚拟,是指用户不再需要拥有实际的长途数

网络规划与设计中的VPN技术

从VPN技术分析入手,总结出了VPN在园区中的部署方式,并给出了VPN在教育城域网部署中的推荐模型. 对VPN实现的Tunnel技术影响转发速度,不适合通过Internet配置Tunnel的内部网络系统的问题,提出了在路由表中添加用于实现Tunnel的信息表和增加Tunnel表,来取代Tunnel Server Card的解决办法. 对VPN安全认证机制存在的安全隐患,提出虚拟工作流的概念,采用延迟后验,来弥补VPN方式的安全缺陷,提高系统的安全性. 把基于角色的访问控制(RBAC)模型引入到V

VPN技术:动态IP地址问题

前面的博文已经介绍过了基本的站点到站点VPN,但不管是普通L2L VPN还是GRE.SVTIR技术,都需要互相连接的所有站点都有一个固定的公网IP地址,但是在实际工程中,一些中小型企业,很难满足这样的条件.一些公司总部会使用固定IP地址,但分站往往使用价格低廉的动态IP地址(往往是ADSL接入):还有一些公司站点少,员工少,即使是总部也是使用动态的IP地址.要在这种环境下部署VPN,可以使用下面几种解决方案: 动态crypto map 动态crypto map是普通L2L VPN技术的扩展,要求

VPN技术:GRE Over IPSEC

普通的IPSEC VPN主要适用于不同厂家VPN之间的对接,兼容性非常好,IOS路由器和ASA可以和大部分的非思科厂家的VPN设备进行IPSEC VPN对接.然而,这种普通的IPSEC VPN并不适用于复杂的网络环境,主要存在如下问题: 由于没有虚拟隧道接口,不支持通过运行动态路由协议来实现路由互通: 由于没有虚拟隧道接口,不能对通信点之间的明文流量进行控制和监测(如ACL.QOS.NAT.Netflow等): 操作较多,每增加一个站点或网段,都要增加许多感兴趣流,排错复杂. 为了解决普通IPS

传统的VPN技术已经无法胜任移动互联网了

随着网络带宽的快速提高以及接入资费的逐步降低,将会有越来越多的视频在互联网上传输代替文字,视频的表现力是直接的,而文字是抽象的,视频的产生是方便 且快速的,而文字是复杂且慢的,你可以用摄像头花10秒时间拍摄一段小视频分享到朋友圈,如果用文字表达同样的信息就有难度了,再说也不一定会有人看完. 和文字,图片为主的时代一样,视频也需要安全保护,无疑要使用各类VPN技术,另一方面,随着接入点越来越多,移动接入将会是趋势,正如石油可以让机器移 动一样,锂电池,闪存和接入点也让电脑移动了起来,这就带来了一个

【VPN】01、VPN基础

一.VPN概述 1.VPN简介 VPN:Virtual Private Network  虚拟专用网络,虚拟私人网路 虚拟专用网络的功能是: 在公用网络上建立专用网络,进行加密通讯.在企业网络中有广泛应用. VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问. VPN有多种分类方式,主要是按协议进行分类.VPN可通过服务器.硬件.软件等多种方式实现. 2.VPN的应用场景 虚拟专用网络可以实现不同网络的组件和资源之间的相互连接.虚拟专用网络能够利用Internet或其它公共互联网络的

创联动态VPN好用代理VPN软件-动态VPN

创联VPN企业网络加速器发展在中国记者: 冯诗林 李琳 采访:创联VPN摘要:进入互联网新时代,中国互联网高新技术发展临新的机遇和挑战,大批从孵化器毕业的成长性企业缺少专业化的"加速"服务,直接影响高新技术产业化的进程.近年来,在我国科技政策的引导下,一些城市借鉴企业加速器发展的国际经验,投资兴建企业加速器.随着建设数量增多,中国已成为世界第二大加速器大国.企业加速器的建立,使科技园区创新服务链更加完整,形成"孵化器-加速器-科技园区"三位一体的新格局,为高新区&q

通过使用 L2TP/IPsec VPN 协议连接到 VPN Gate

本文档描述了如何使用 L2TP/IPsec VPN 客户端连接到 VPN Gate 的一个 VPN 中继服务器. L2TP/IPsec VPN 客户端在 Windows.Mac.iOS 和安卓上的插件.这比 使用 OpenVPN 容易配置.在您尝试使用 OpenVPN 之前,推荐使用 L2TP/IPSec VPN.然而,一些网络或防火墙拦截 L2TP/IPSec 数据包.如果 L2TP/IPsec 失败,请尝试 OpenVPN. L2TP/IPsec VPN 的连接参数 如果您知道如何安装,通过