nat-t

nat-t的transport封装

会用一个源末均为4500号端口,插入一个udp hdr和non-ike

插入一个udp hdr和non-ike

no crypto ipsec nat-transparency udp-encaps(打开nat-t)

nat keeplive

默认由inside可以出去,pix会保存nat转换表项。为了保持住nat转换项。解决由外到里

cry isakmp nat keepalive 10(每10秒发一次nat keeplive包)

在防火墙上设置,静态500号端口转换项。

static (inside,outside) udp interface 500 192.168.1.10 500

static (inside,outside) udp interface 4500 192.18.1.0 4500

access-list out permit udp host 202.100.1.10 host 202.100.1.1 eq 500

access-list out permit udp host 202.100.1.10 host 202.100.1.1 eq 4500

nat-t协商

在主模式的第一个包和第二个包他们会相互发送nat-t的版本号,如果双方都能支持nat-t,它会进入第二阶段,会在我们主模式的第三个包和第四个包,am模式的第二个包和第三个包进行一个hash的交换,这个hash包括了发起出来的原始包的源目ip源目端口。当这个hash送到了对方,如果这个hash不匹配,那么很明显,我们的源目端口ip肯定是有所变化。标示我们不仅能够支持nat-t这个技术,而且中间确实存在nat转换,这时会造成esp封装的时候变成了udp封装,通过这种方法来探测。