6-V P N：NAT对IPSEC的影响（短双歧杆益生菌M—16V）

6-V P N：NAT对IPSEC的影响（短双歧杆益生菌M—16V）

抓包看流量：R1#ping 3.3.3.3 source loopback 0

可以看到：都是黑色的标识，正常出包应该是1.1.1.1——>3.3.3.3，但是因为做了NAT转换所以是12.1.1.1——>3.3.3.3；回包应该是3.3.3.3——>1.1.1.1，实际做了NAT转换是：3.3.3.3——>12.1.1.1。解决方法一：在ACL中往前插入一个序号为5的deny ACL，这样它会先匹配序号为5的ACL：R1#show access-lists Extended IP access list pat10 permit ip 1.1.1.0 0.0.0.255 anyR1(config)#ip access-list extended pat R1(config-ext-nacl)#5 deny ip 1.1.1.0 0.0.0.255 3.3.3.0 0.0.0.255测试1：R1#ping 3.3.3.3 source 1.1.1.1 //匹配了ACL 5，不做NAT转换，所以就是ESP的流量了。Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1 !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 20/30/40 ms抓包：

测试2：R1#ping 23.1.1.3 source 1.1.1.1 //这个也可以通，但是地址是有NAT转换的，实际是12.1.1.1——>3.3.3.3；因为流量出去时候不匹配ACL 5，匹配ACL 10，所以会转换。Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 23.1.1.3, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1 !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 96/102/116 ms抓包：

解决方法二：不要让流量从inside进去，不要从outside出来；或者不要让流量从inside进去，可以从outside出来：比如在其它进口写inside，不要在1.1.1.1的环回口下写。要实现 nat 就要满足 3 个条件：感兴趣流（满足），inside 接口进（不满足），outside 接口出。这时必须还要在加一台路由器，所以我加了 R4，因为我之前做的是用环 回口 1.1.1.1,自身发起的流量，这个自身的流量 route-map 是控制不了的。一 定要让这个流量从某一个物理接口进入，我这个策略才好使。这块如何用route-map呢？？？

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。