• 文章搜索:
  • 战神图录

        • 分享到...

        • 新浪微博
        • 腾讯微博
        • 推荐到豆瓣 豆瓣空间
        • 分享到搜狐微博 搜狐微博
        • 分享到QQ空间 QQ空间
        • 分享到腾讯朋友 腾讯朋友
        • 网易微博分享 网易微博
        • 添加到百度搜藏 百度搜藏
        • 转贴到开心网 开心网
        • 转发好友 告诉聊友
    • 推荐
    • 打印
    • 收藏

    破除NAT需七招,穿越障碍建隧道

    作者:  |  上传时间:2014-11-26  |  关键字:破除NAT需七招,穿越障碍建隧道

    ER路由器在江湖中颇有声望,素以简单易用为众人所熟悉。在众多招式之中不乏有闻名江湖的IPSec VPN,ER集百家之长将复杂繁琐的“梵文”转换为所见即所得的“图文”,极大降低了攻城狮在使用此招式时所耗费的内力。

    在众多环境下,穿越NAT是其中相对复杂的场景,ER路由器为了让广大攻城狮能够在此种场景下化险为夷,本着人人为我,我为人人的精神,特将独门秘籍公布于天下。

    一、 招式效果:

    分布在不同两地的分支机构通过建立VPN实现互通。其中,一个分支机构使用ER3200作为出口路由上网。另一个分支机构的内网客户端通过ICG1800级联NAT设备(ER2100)实现上网。两端的公网地址均以静态IP形式,在ICG1800和ER3200上建立IPSec VPN实现互通。

    二、 招式布阵图:

    三、 招式分步解析:

    1.设置ICG1800

    (1) 设置虚接口

    VPN→VPN设置→虚接口

    选择一个虚接口名称和与其相应的WAN口绑定,单击<增加>按钮。

    (2) 设置IKE安全提议

    VPN→VPN设置→IKE安全提议

    输入安全提议名称,并设置验证算法和加密算法分别为MD5、3DES,单击<增加>按钮。

    (3) 设置IKE对等体

    VPN→VPN设置→IKE对等体

    输入对等体名称,选择对应的虚接口ipsec0。在“对端地址” 文本框中输入ER3200的WAN1口地址,并选择已创建的安全提议等信息,单击<增加>按钮。

    (4) 设置IPSec安全提议

    VPN→VPN设置→IPSec安全提议

    输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为MD5、3DES,单击<增加>按钮。

    (5) 设置IPSec安全策略

    VPN→VPN设置→IPSec安全策略

    输入安全策略名称,在“本地子网IP/掩码”和“对端子网/IP 掩码”文本框中分别输入ICG1800侧和ER3200侧的子网信息,并选择协商类型为“IKE 协商”、对等体为“IKE-d1”、安全提议为“IPSEC-PRO”,单击<增加>按钮。

    (6) 启用IPSec功能

    相关IPSec VPN配置完成后,请在IPSec安全策略页面勾选启用IPSec功能,并且单击<应用>按钮。

    (7) 设置路由

    需要为经过IPSec VPN隧道处理的报文设置路由,才能使隧道两端互通。一般情况下,只需要为隧道报文配置静态路由即可。

    配置静态路由时,指定目的地址网段后不需要指定下一跳地址,直接配置使用正确的IPSec虚接口即可。

    高级设置→路由设置→静态路由

    2.设置ER3200

    (1) 设置虚接口

    VPN→VPN设置→虚接口

    选择一个虚接口名称和与其相应的WAN口绑定,单击<增加>按钮。

    (2) 设置IKE安全提议

    VPN→VPN设置→IKE安全提议

    输入安全提议名称,并设置验证算法和加密算法分别为MD5、3DES,单击<增加>按钮。

    (3) 设置IKE对等体

    VPN→VPN设置→IKE对等体

    输入对等体名称,选择对应的虚接口ipsec0。在“对端地址” 文本框中输入NAT设备(ER2100)的WAN口地址,并选择已创建的安全提议等信息,单击<增加>按钮。

    (4) 设置IPSec安全提议

    VPN→VPN设置→IPSec安全提议

    输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为MD5、3DES,单击<增加>按钮。

    (5) 设置IPSec安全策略

    VPN→VPN设置→IPSec安全策略

    输入安全策略名称,在“本地子网IP/掩码”和“对端子网/IP 掩码”文本框中分别输入ER3200侧和ICG1800侧的子网信息,并选择协商类型为“IKE 协商”、对等体为“IKE-d1”、安全提议为“IPSEC-PRO”,单击<增加>按钮。

    (6) 启用IPSec功能

    相关IPSec VPN配置完成后,请在IPSec安全策略页面勾选启用IPSec功能,并且单击<应用>按钮。

    (7) 设置路由

    需要为经过IPSec VPN隧道处理的报文设置路由,才能使隧道两端互通。一般情况下,只需要为隧道报文配置静态路由即可。

    配置静态路由时,指定目的地址网段后不需要指定下一跳地址,直接配置使用正确的IPSec虚接口即可。

    高级设置→路由设置→静态路由

    3. 查看VPN状态

    两端均设置完成后,通过选择路由器的“VPN→VPN状态→安全联盟”页面,并单击<刷新>按钮来查看相应的隧道是否已成功建立。

    在查看VPN状态之前,先在ICG1800侧ping ER3200侧内网地址,以触发隧道建立。

    当ping通对端内网地址后,查看ICG1800 VPN状态

    查看ER3200 VPN状态

    四、 行走江湖必须知道的那些暗语:

    1、在VPN的配置中要注意双方的参数要保持一致:设置IKE安全提议时,验证算法和加密算法要一致;设置IKE对等体时,域共享密钥、DPD功能使用要一致;设置IPSec安全提议时,安全协议类型、验证算法和加密算法要一致;设置IPSec安全策略时,“本地子网IP/掩码”和“对端子网/IP掩码”要根据设置端如实填写,注意两端的配置正好相反。

    2、静态路由配置要注意填写目的地址时,需要填写对端的子网地址,不要填写下一跳地址,直接选IPSec子接口为出接口。

    3、IKE IPSec隧道两端之间如果有NAT网关设备存在时,双方应使用IKE野蛮模式name类型的ID,并且只能使用ESP安全协议,不能使用AH安全协议。

    4、IKE野蛮模式name类型的ID两端确保一致,否则在建立隧道的过程中可能会被一端拒绝掉,从而导致隧道建立失败。

    5、当NAT网关设备WAN侧网络路由器配置IKE对等体地址时,应配置对端地址为NAT设备WAN接口的IP地址;LAN侧路由器的配置与普通组网方式一样。

    6、配置IKE SA周期和IPSec SA周期时,需要让LAN侧路由器的两个SA周期都小于WAN侧的路由器SA周期(推荐:LAN侧路由器SA周期为WAN侧路由器SA周期的一半,否则运行更新时可能会出现问题)。

    7、在测试互ping对方WAN口地址之前,请先将路由器的WAN口防ping功能取消。