實驗IPsec*** NAT-T(穿越)
實驗步驟:
1.首先配置R1 R2 R3 R4 ip地址,在配置R1 R2 R4默認路由
2.然後在R2上做NAT (允許內部所有進行NAT轉換)
R2 0/1 和R4 0/0如果不能通,怎麼做IPsec,所以在這裏是通的
在看下R1和R4能不能通(對端可以ping通)
在看ping下內部局域網(沒有建立***,到對端的內部局域網是不能通的)
R4的0/1 ping R1的0/0 是可以通,
然後做R1 上做ipsec *** (下面的意思,前面的實驗ipsec已經解釋過了)
在做R4上做ipsec ***
在這裏都是一樣,唯一不一樣的,是匹配對端的地址是nat轉換過的10.1.1.1
配好之後,我先用 192.168.10.1 ping 192.168.20.1 不能通
我在到R1上用192.168.20.1 ping192.168.10.1看能不能通
在用R4 上的192.168.10.1 ping 192.168.20.1看能不能通(先用R1pingR4。要出發流量,建立隧道,然後R4纔可以ping通R1)
我這邊能通是因爲默認就開啓端口映射(默認就是開啓所以能夠穿越),我先成查看端口映射(172.0.1:500端口映射成10.1.1.1:500端口,)他不經能ip轉換也能端口轉換
此時我把他刪除所有nat 轉換 ,然後查看下並且R4上ping下,這時就不通了,不通是因爲沒有人帶他負責轉換,
如果想要(外部)R4 ping通R1(內部),如下操作
在R2上配置靜態轉換,把172.16.0.1 500 轉換成出口的地址 0/1 500(500管理連接),172.16.0.1 4500 轉換成出口的地址 0/1 4500(4500數據連接),並且在查看下端口
在到R4上ping下
實 驗 完 成