?申明：第一次發博文，以下內容純屬個人經驗總結，若有不妥當之處歡迎大家指點交流，QQ:765390765。

NAT和ipsec本身是一對矛盾體，但是現實生活中又時經常用到的，現在總結出三種解決方案供大家參考：（在定義第二階段交換集的時候使用ESP的封裝方式，不能使用HA方式）

方案一：

情景描述：總公司和分公司在出口設備上都做了NAT，現在兩個公司又要在出口設備上起用IPsec×××以方便兩邊內網用戶可以互相訪問。

解決方案：在兩邊配置NAT的時候使用擴展的ACL來匹配流量（此目的是區分IPSEC和NAT的流量，效果就是兩端互訪的時候不需要經過NAT，自然IPsec的數據包就不會被破壞了）：

? ? 以總公司端配置為例：

原先我們配置NAT的時候使用標準ACL：

ip access－list st nat

permit 1.1.1.0 0.0.0.255

配置IPSEC的ACL時候使用擴展的ACL：

ip acccess-list ex ***

permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

由以上兩條acl可以看出，當總公司內網用戶（1.1.1.0/24）訪問分公司內網(2.2.2.0/24）的時候,兩條ACL都能夠匹配到。通過實際驗證，這種數據流量是不進入IPsec隧道的，直接NAT之后扔到公網上了，所以我們要做的就是區分出不同需求的流量。

比如我們在定義nat的ACl的時候可以這樣定義（使用擴展的）：

ip access-list ex nat

deny ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

permit ip 1.1.1.0 0.0.0.255 any

IPSEC的ACl保持不變，這樣的一個小小改變就能夠使得去往分公司的流量統統走IPSEC隧道，而其他流量走NAT了。

?

轉載于:https://blog.51cto.com/nanjingfm/847244

《新程序員》：云原生和全面數字化實踐50位技術專家共同創作，文字、視頻、音頻交互閱讀

總結

以上是生活随笔為你收集整理的NAT和IPsec并存的几种模型（方案一）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。