實驗拓撲

接口及路由配置省略，R1和R3配置默認路由即可實現公網互通(測試兩端公網互通即可開始操作)

接下來主要配置IPSEC VPN，如下配置

R1配置

R1配置步驟一:在R1上創建感興趣流，匹配兩端私網地址網段 [R1] acl advanced 3500 [R1] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255步驟二:在 R1 上創建IKE提議，配置驗證模式為預共享密鑰，并配置加密算法 [R1]ike proposal 1 [R1-ike-proposal-1]authentication-method pre-share [R1-ike-proposal-1]encryption-algorithm aes-cbc-128步驟三:在 R1 上創建預共享密鑰 [R1]ike keychain r3 [R1-ike-keychain-r3]pre-shared-key address 2.2.2.2 key simple 123456步驟四:在 R1 上創建 IKE Profile，指定本端和對端公網地址，并調用預共享密鑰和 IKE 提議 [R1]ike profile r3 [R1-ike-profile-r3]keychain r3 [R1-ike-profile-r3]local-identity address 1.1.1.1 [R1-ike-profile-r3]match remote identity address 2.2.2.2 [R1-ike-profile-r3]proposal 1步驟五:在 R1 上創建IPsec 轉換集，配置加密和驗證算法。由于工作模式默認是隧道模式，且協議默認使用 ESP，所以無需配置 [R1]ipsec transform-set r3 [R1-ipsec-transform-set-r3]esp authentication-algorithm sha1 [R1-ipsec-transform-set-r3]esp encryption-algorithm aes-cbc-128步驟六:在 R1 上創建 IPsec 策略，調用上述配置 [R1]ipsec policy r3 1 isakmp [R1-ipsec-policy-isakmp-r3-1]security acl 3500 [R1-ipsec-policy-isakmp-r3-1]ike-profile r3 [R1-ipsec-policy-isakmp-r3-1]transform-set r3 [R1-ipsec-policy-isakmp-r3-1]remote-address 2.2.2.2步驟七:在 R1 的公網接口上下發 IPsec 策略 [R1-GigabitEthernet0/0]ipsec apply policy r3

R2配置

R2配置步驟一:在R2上創建感興趣流，匹配兩端私網地址網段 [R2]acl advanced 3500 [R2]rule 5 permit ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255步驟二:在 R2 上創建IKE提議，配置驗證模式為預共享密鑰，并配置加密算法 [R2]ike proposal 1 [R2-ike-proposal-1]authentication-method pre-share [R2-ike-proposal-1]encryption-algorithm aes-cbc-128步驟三:在 R2 上創建預共享密鑰 [R2]ike keychain r1 [R2-ike-keychain-r1]pre-shared-key address 1.1.1.1 key simple 123456步驟四:在 R2 上創建 IKE Profile，指定本端和對端公網地址，并調用預共享密鑰和 IKE 提議 [R2]ike profile r1 [R2-ike-profile-r1]keychain r1 [R2-ike-profile-r1]local-identity address 2.2.2.2 [R2-ike-profile-r1]match remote identity address 1.1.1.1 [R2-ike-profile-r1]proposal 1步驟五:在 R2 上創建IPsec 轉換集，配置加密和驗證算法。由于工作模式默認是隧道模式，且協議默認使用 ESP，所以無需配置 [R2]ipsec transform-set r1 [R1-ipsec-transform-set-r1]esp authentication-algorithm sha1 [R1-ipsec-transform-set-r1]esp encryption-algorithm aes-cbc-128步驟六:在 R2 上創建 IPsec 策略，調用上述配置 [R2]ipsec policy r1 1 isakmp [R2-ipsec-policy-isakmp-r1-1]security acl 3500 [R2-ipsec-policy-isakmp-r1-1]ike-profile r1 [R2-ipsec-policy-isakmp-r1-1]transform-set r1 [R2-ipsec-policy-isakmp-r1-1]remote-address 1.1.1.1步驟七:在 R2 的公網接口上下發 IPsec 策略 [R2-GigabitEthernet0/0]ipsec apply policy r1

此時配置到這里，IPSEC全部結束，你以為就能互通了嘛，太天真了

測試

哈哈是不是不通，分析原理其實是IPSEC的acl與NAT的acl沖突。 解決方法是在NAT的acl中拒絕ipsec的acl，讓他不進行nat轉換

修改ACL

R1上修改 rule 4 deny ip source 192.168.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255 (2 times matched) rule 5 permit ip source 192.168.1.0 0.0.0.255 (3 times matched)R3上修改 rule 4 deny ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 5 permit ip source 172.16.1.0 0.0.0.255 (2 times matched)

實驗結果

PC_4與PC_5成功互訪

ike sa

display ike sa

ipsec sa

display ipsec sa

路由器的ipsec穿越NAT很簡單，下一篇文章我看能不能把防火墻的放出來。因為上午上課防火墻的ipsec穿越NAT實驗沒做出來，其實

都大差不差可能防火墻的策略問題吧，研究一下。
實驗報告下載地址

鏈接：https://pan.baidu.com/s/1rqVXxhuFAFjr6BhodtOnBA 提取碼：mkt5

總結

以上是生活随笔為你收集整理的华三模拟器(路由器)实现ipsec穿越NAT实验的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。