NAT穿越VPNSec站点到站点

ASA配置
默认路由一条
ciscoasa(config)# route outside 0 0 192.168.1.1
允许其他人ping
ciscoasa(config)# access-list 100 extended permit icmp any any
ciscoasa(config)# access-group 100 in interface outside

配置管理连接策略
ciscoasa(config)# crypto isakmp enable outside
ciscoasa(config)# crypto isakmp policy 1
ciscoasa(config-isakmp-policy)# encryption 3des
ciscoasa(config-isakmp-policy)# hash md5
ciscoasa(config-isakmp-policy)# authentication pre-share
ciscoasa(config-isakmp-policy)# group 2

配置预共享密钥
ciscoasa(config)# tunnel-group 200.0.0.1 type ipsec-l2l
ciscoasa(config)# tunnel-group 200.0.0.1 ipsec-attributes
ciscoasa(config-tunnel-ipsec)# pre-shared-key vpn

配置加密流量
ciscoasa(config)#access-list vpn extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

交换数据连接的传输集
ciscoasa(config)# crypto ipsec transform-set vpn-set esp-aes esp-sha-hmac

配置crypto map
ciscoasa(config)# crypto map vpn-map 1 match address vpn
ciscoasa(config)# crypto map vpn-map 1 set peer 200.0.0.1
ciscoasa(config)# crypto map vpn-map 1 set transform-set vpn-set

将crypto map应用到接口
ciscoasa(config)# crypto map vpn-map interface outside

启用nat穿越
ciscoasa(config)# crypto isakmp nat-traversal

R1配置
路由表设置
R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.2
R1(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.2

正常PAT转换
R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
R1(config)#access-list 1 permit 192.168.2.0 0.0.0.255
R1(config)#ip nat inside source list 1 interface ethernet 0/1 overload

IPSec VPN发布转换
R1(config)#ip nat inside source static udp 192.168.1.2 500 100.0.0.1 500 extendable
R1(config)#ip nat inside source static udp 192.168.1.2 4500 100.0.0.1 4500 extendable
R1(config)#interface ethernet 0/0
R1(config-if)#ip nat inside
R1(config)#interface ethernet 0/1
R1(config-if)#ip nat outside

R3配置
配置路由表
R3(config)#ip route 0.0.0.0 0.0.0.0 200.0.0.2

管理连接配置
R3(config)#crypto isakmp policy 1
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash md5
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#group 2

预共享密钥配置
R3(config)#crypto isakmp key 0 vpn address 100.0.0.1

数据交换传输集配置
R3(config)#crypto ipsec transform-set vpn-set esp-aes esp-sha-hmac

配置加密流量列表
R3(config)#access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

配置Crypt map
R3(config)#crypto map vpn-map 1 ipsec-isakmp
R3(config-crypto-map)#set peer 100.0.0.1
R3(config-crypto-map)#set transform-set vpn-set
R3(config-crypto-map)#match address 100

将映射应用在接口
R3(config)#interface ethernet 0/0
R3(config-if)#crypto map vpn-map

验证结果

nat端口转换成功

管理连接建立成功

数据连接有流量通过

时间: 2024-11-08 23:22:45

NAT穿越VPNSec站点到站点的相关文章

基于Windows Server 2008 R2架设站点到站点的×××连接

通过×××实现总部与分公司网络的互联. 实验环境:我是用两台电脑的VMware模拟的实验环境,将两台电脑的VMnet8网段利用×××实现互联.一台电脑模拟公司总部,另一台电脑模拟分公司.总公司架设一台基于Windows Server 2008 R2的×××服务器,配置两块网卡,一块网卡设为桥接模式,处于外网网段172.16.0.0/24,IP地址为172.16.0.7/24.另一块网卡设为NAT模式,处于内网网段192.168.80.0/24,IP地址为192.168.80.100/24.分公司

VOIP NAT穿越之SIP信令穿越

本文原创自 http://blog.csdn.net/voipmaker  转载注明出处. 本文是VOIP通信NAT系列专题的第三篇, 本文论述NAT对SIP协议穿越的影响.SIP协议是基于文本的,而他的一些地址是保存在消息头传输.NAT设备在没开启ALG情况下不会改动消息头地址, 多数client填写的地址都是内网地址,这就导致消息路由问题,SIP 信令穿越涉及两部分,一个是注冊.还有一个是INVITE(呼叫),涉及的消息头为contact头和via头, contact头是告知对方自己直接可达

NAT原理与NAT穿越

最近在看东西的时候发现很多网络程序中都需要NAT穿越,特意在此总结一下. 先做一个约定: 内网A中有:A1(192.168.0.8).A2(192.168.0.9)两用户 网关X1(一个NAT设备)有公网IP 1.2.3.4 内网B中有:B1(192.168.1.8).B2(192.168.1.9)两用户, 网关Y1(一个NAT设备)有公网IP 1.2.3.5 公网服务器:C (6.7.8.9) D (6.7.8.10) NAT原理 网络地址转换(NAT,Network Address Tran

VOIP 通信 NAT穿越系列专题

本文原创自 http://blog.csdn.net/voipmaker  转载注明出处. 鉴于经常有人在QQ群(45211986)里问NAT穿越相关话题,本系列文章我将介绍NAT穿越相关内容,题目就叫VOIP  NAT穿透,没具体说SIP或者其他是因为VOIP包含信令 NAT和媒体的NAT,所以我将介绍这两部分,也是多数初学者容易混淆的内容,此系列专题将包括以下内容: 1.  NAT基本原理介绍及与VOIP关系 2  VOIP NAT穿越之SIP信令穿越 3. VOIP NAT穿越之媒体穿越

VOIP 通信 NAT穿越系列专题之NAT基本原理介绍及与VOIP关系

本文是VOIP通信NAT穿越系列专题的第二篇, NAT 是一种在IP分组通过路由器或防火墙时重写源IP地址或/和目的IP地址的技术,这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中.20世纪90年代中期,NAT是作为一种解决IPv4地址短缺以避免保留IP地址困难的方案而流行起来的.家庭和小型办公室的路由器一般都集成了防火墙,DHCP服务器和NAT功能. NAT穿越是广泛用于P2P领域的通信方式.在视频会议过程中,NAT穿越也在内外网消息通信中起到了至关重要的作用,平台

IPSec VPN 简单介绍以及站点到站点配置

Vpn的连接模式 1)  传输模式 从数据的发出到接收,中间的传输过程全部是加密的(隐藏) 不保护目标和源IP地址(可见) 截获后可以看见目的IP地址和源IP地址,但是看不见里面的数据 多用于一个局域网内通信 2)  隧道模式 隐藏整个数据包 添加一个新的包头,,封装VPN设备的IP地址信息 截获后,既无法看见数据内容,又无法看到通信双方的地址 多用于,总公司和分公司之间通信 VPN的类型: 1)  站点到站点 通过隧道模式在VPN网关之间保护两个或多个站点之间的流量 对于终端用户来说,在VPN

SOCKET 实现NAT 穿越

在当前IPv4NAT盛行的网络环境下,两个用户要直接进行P2P连接是非常困难的.较好的解决办法是借助含公网的用户或是服务器中介实现P2P连接. NAT:Network Address Translation,网络地址转换.由于IPv4地址数量十分有限,不可能每一台网络设备都能拥有一个IP.于是NAT技术很好地解决了这个问题.路由设备被ISP分给一个公网地址,路由设备自己生成另外的局域网地址,局域网内部的信息通过路由器的网络地址转换,实现内部网络与外部网络的通信. 对于通常的NAT,当一个内部地址

P2P网络穿越 NAT穿越

http://blog.csdn.net/mazidao2008/article/details/4933730 —————————————————————————————————————————————————————————————— 穿越NAT的意义: NAT是为了节省IP地址而设计的,但它隐藏了内网机器的地址,“意外”起到了安全的作用.对外不可见,不透明的内部网络也与互联网的“公平”应用,“相互共享”的思想所不容,尤其是P2P网络中“相互服务”的宗旨,所以穿越NAT,让众多内部网络的机器

Azure 上搭建 站点到站点(s2s) VPN

本篇文章我们将创建Site to Site的虚拟网络连接,以满足本地网络到云端的网络连接. 1). 登录到Azure管理门户 国内版:https://manage.windowsazure.cn 在管理门户导航中选择网络,在右侧选择"创建虚拟网络". 第一步:填写名称及选择位置 填写适当的名称和选择合适的网络接入位置后点击后续按钮 第二步:配置DNS及VPN类型 填写DNS服务器地址,如果为空,则使用Azure默认的DNS服务器: 选择VPN类型:选择"站点到站点的连接&qu