NAT和IPSec在思考路由器上的实现

最新推荐文章于 2024-07-31 17:12:02 发布
原创 最新推荐文章于 2024-07-31 17:12:02 发布 · 3.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#NAT IPSec

Topology:

Client --- Router(NAT) ===IPSec=== Router --- Server


Client:  90.1.0.8

NAT Router outside: 90.1.0.1

Server 1: 100.100.100.142

Server 2: 100.100.100.162

Server GW: 100.100.100.1


关注点:

1. outside必然是放在client的GW这一侧,这无可争议

2. inside应该是放在出口interface上,在这里是Gi0/0/1


NAT Router

最低0.47元/天 解锁文章

200万优质内容无限畅学
云上 AWS 云下本地数据中心内网 IP 地址段相 同通过静态地址转换实现 IPSEC 互联互通 (解决IPsec网段冲突问题)
scliubingxin的博客
04-24 2863
如有疑问请加作者微信qw596583587咨询1规划设计1.1 功能需求客户本地数据中心一台服务器迁移上云后服务器 IP 本地数据中心服务器同在192.168.9.0/24 网段。现在因业务需要,要求两分支通过 IPSEC 互联,实现业务互访。 1.2 组网设计如图所示,本地数据中心出口为一台华为 USG6300 NGFW,本地数据中心服务器网段 为 192.168.9.0/24,云上分为公有子...
华为路由器实现ipsec
a_helloworlds的博客
01-15 2万+
ipsec,指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用专用网络的端对端加密验证服务。 导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路...
IPSec***建立在两个NAT路由器
weixin_33743661的博客
05-18 522
1、测试拓扑:2、相关说明:实际的网络情况中,Site1Site2之间要建立IPSec ×××,已让 Site后面的内网网段互通。但是实际的情况往往也有访问internet的需求,所以一般会有NAT的情况,例如这里的情况一般的NAT-T不一样。做×××的设备NAT的设备一样。3、相关配置:R1:crypto isakmp policy 10encr 3desaut...
vrf--虚拟路由转发
最新发布
m0_50130952的博客
07-31 703
这个接口是专门用来进行管理设备的,不能进行业务数据流的转发,所以要创建一个单独的路由表,用于专门的管理流量,无法进行正常的数据转发。为VRF实例配置接口。
IPFS: NAT traversal(NAT穿越)
omnispace的博客
03-26 2244
IPFS是一个p2p网络,那么一定绕不开的一个问题就是NAT穿越。之前的文章里面也提到过IPFS网络连通性使用的ICE NAT穿越框架,本文简单介绍一下什么是NAT。为什么有NAT技术?NAT主要用来缓解全球的IPv4地址不够用的情况,IPv4地址最多能提供2^32个(4,294,967,296),现在IPv4已经变得非常紧张了,IPv6发展了这么多年,一直没能取代IPv4的地位,IPv6可以容纳...
IPsec中传输模式与隧道模式中的点到点端到端本质区别
qq_47529104的博客
05-01 3941
拿这个图来说吧,端到端指的是FW或者路由器这类VPN网关之间创建的IPsec隧道,主要用于保护网关背后的局域网而创建出来的隧道,且这类网络场景中主要使用的是隧道模式,其原因不言而喻,主要就是因为FW需要保护内部网络,分支与总部之间如果需要通信,它们的数据报文都需要打上额外的IP首部,这个IP首部是由VPN网关来决定的,新的IP首部的目的地址就是VPN网关对外开放的IP地址,也正是因为新的IP首部的目的地址是VPN网关对外开放的公网接口,VPN网关才能接收这个IPsec的相关报文进行解封解密的操作,然后才..
华为路由器配置IPSEC VPN
aaheguosong的博客
05-07 1362
AR1为企业分支网关,AR2为企业总部网关,分支与总部通过公网建立通信。分支子网为10.0.10.0/24,总部子网为10.0.20.0/24。企业希望对分支子网与总部子网之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于分支子网较为庞大,有大量需要IPSec保护的数据流,可基于虚拟隧道接口方式建立IPSec隧道,对Tunnel接口下的流量进行保护,不需使用ACL定义待保护的流量特征。
华为路由器配置IPSec (手动配置)
qq_42906357的博客
12-19 3483
华为路由器配置IPSec VPN(手动配置) 如图:上海总部 合肥分部需要建立IPsec VPN 步骤: 1、配置网络可达 2、配置感兴趣流 3、创建安全提议(IPSec proposal) 4、创建安全策略(IPSec policy) 5、验证 1、配置网络可达 AR1配置: // AR1的配置 sys sys Router_SH dhcp enable acl 3000 rule 1 deny ip des 192.168.20.0 0.0.0.255 //此网段需
H3C 点对点IPSec 添加NAT穿越的实验
松紧带的自习室
01-18 2241
本次实验里面有一部分我只是做了皮毛,大部分配置都是可以自己定制的,我写这篇文章的主要目的就是为了让新手能够有一个相对靠谱的答案,其实本次实验可能在高手看来不足为奇,但是如果是对于初学者来说,还是有难度的,特别是在NAT设备加入以后,整个的思路可能就乱了,我也乱了好久,因为我以前对什么IPSec真的一窍不通,通过这次学习,也算是了解了一部分知识。我相信只要又不断的求知欲,再难的问题也可以解决,不要怕麻烦,解决问题不麻烦那不就都成神了。
IPSEC ××× 的NAT穿越(1)
weixin_33969116的博客
12-09 258
  IPSec是基于网络层的,不能穿越通常的NAT、防火墙,这篇文章就是要讨论,在需要NAT网络的环境中,如果使用IPsec ××× 隧道技术。 IPsec 协议有两种运行模式:   IPSec隧道模式   IPSec传输模式   隧道模式通常是建立在双方的网关之间的。传输模式下,IPSec主要对上层的传输进行封装保护,通常情况下,传输...
subscriber-template
05-31
Zap 订阅者模板 用于创建管理链上/链下 zap 订阅者的模板 查看我们的 以获取有关 zap 订阅者的更多信息 subscriber_contract_example: 链上订阅者合约,通过callback绑定、查询接收来自预言机的响应 布局: SSubscriber.sol :这是您的订阅者合约,它将绑定-查询-接收响应,随时更改名称结构,这只是一个示例。 只需要修改函数callback以添加更多自定义逻辑来处理收到的响应 ZapBridge:这个合约包含了你的订阅者合约需要调用的所有必要的Zap Contracts函数调用,例如bond、delegate bond、query 设置 : 用你的钱包节点信息填写松露配置文件 使用有关要使用的 Oracle Endpoint 的信息填写2_subscriber_migration.js文件 在SimpleSubscri
NATIPsec并存的几种模型(方案二)
weixin_34179968的博客
04-30 164
方案二:先上拓扑图 场景描述: R2为总公司的出口路由器,R3是分公司的出口路由器,R1为总公司内部的一台路由器。现在有需求要在R1R3之间做一条IPSEC ×××隧道,以供两端内网用户互相访问。为了防止NAT对***数据包的破坏,在R3(分公司)上可以使用扩展ACl来区分流量(做法见方案一),但是R1的***数据包,必须要经过R2,必须要进行一次地址转换。 解...
IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
frankluwei的专栏
12-13 7128
IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置   USG5500A 与USG5500C、USG5500D建立IPSEC VPN Tunnel,其中USG5500C穿越USG5500B NAT;USG5500A 、USG5500D  undo nat traversal。 ISP配置(用路由器模仿Internet) dis cur # sysname ISP
NAT详解:基本原理、穿越技术(P2P打洞)、端口老化等
hellojackjiang2011的博客
05-04 435
这是一篇介绍NAT技术要点的精华文章,来自华3通信官方资料库,文中对NAT技术原理的介绍很全面也很权威,对网络应用的应用层开发人员而言有很高的参考价值。 学习交流 移动端即时通讯学习交流:215891622推荐 1. IPv4协议NAT的由来 今天,无数快乐的互联网用户在尽情享受Internet带来的乐趣。他们浏览新闻,搜索资料,下载软件,广...
VRF技术-原理简介
热门推荐
dolphin98629的专栏
02-18 6万+
VRF技术白皮书 1  原理简介 近年来网络VPN技术方兴未艾,日益成为业界关注的焦点。根据VPN实现的技术特点,可以把VPN技术分为以下三类: 传统VPN:FRATM CPE-based VPN:L2TPIPSec等 Provider Provisioned VPNs ( PP-VPN ):MPLS L2VPNMPLS L3VPN。 本文
HTTP Keep-Alive模式
weixin_34077371的博客
12-11 945
——献给那些向我这样对HTTP的“伪”熟悉者。 故事发生在10月份的一次面试经历中,本来我不想说出来丢人显眼,但是为了警醒自己告诫后人,我决定写成博文发出来。因为在面试过程中,我讲在2009年写过QQ农场助手,在这期间深入学习了HTTP协议,而且在2010-05-18写了博文:HTTP协议及其POST与GET操作差异 & C#中如何使用POST、GET等。面试官说既然我熟悉HTTP协议...
多区域ospf在帧中继环境下实现互通-配置命令(请各位多指教)
weixin_34088598的博客
01-23 545
实验拓扑R1:R1#show runBuilding configuration... Current configuration : 1582 bytes!! Last configuration change at 16:23:13 CST Wed Jan 23 2019!version 15.4service timestamps debug datetime msecservice tim...
在eNSP中配置ipsec优先级高于nat的命令事例
06-11
好的,我理解了你的问题。在 eNSP 中,要配置 IPSec 优先级高于 NAT 的命令,可以按照以下步骤进行操作: 1. 首先,进入 eNSP 的设备管理界面,选择需要配置的设备,比如 Router 1 Router 2。 2. 在 Router 1 Router 2 上分别配置 IPSec NAT,具体命令如下: Router 1: ``` interface GigabitEthernet0/0/0 ip address 192.168.1.1 255.255.255.0 ip nat inside interface GigabitEthernet0/0/1 ip address 10.0.0.1 255.255.255.0 ip nat outside tunnel mode ipsec ipv4 tunnel destination 192.168.2.1 tunnel protection ipsec profile IPSec_Profile ``` Router 2: ``` interface GigabitEthernet0/0/0 ip address 192.168.2.1 255.255.255.0 ip nat inside interface GigabitEthernet0/0/1 ip address 20.0.0.1 255.255.255.0 ip nat outside tunnel mode ipsec ipv4 tunnel destination 192.168.1.1 tunnel protection ipsec profile IPSec_Profile ``` 上述命令中,我们在两台路由器上都配置了一个 IPSec 隧道,同时在 NAT 内部接口上配置了 `ip nat inside` 命令,在 NAT 外部接口上配置了 `ip nat outside` 命令。 3. 接下来,我们要配置 IPSec 优先级高于 NAT。这可以通过在路由器上配置策略路由来实现。具体命令如下: Router 1: ``` route-map IPSec_Priority permit 10 match ip address IPSec_ACL set ip next-hop 10.0.0.2 interface GigabitEthernet0/0/1 ip policy route-map IPSec_Priority ``` Router 2: ``` route-map IPSec_Priority permit 10 match ip address IPSec_ACL set ip next-hop 20.0.0.2 interface GigabitEthernet0/0/1 ip policy route-map IPSec_Priority ``` 上述命令中,我们先创建了一个名为 IPSec_Priority 的路由映射,然后在路由器IPSec 隧道上配置了 IP 路由策略。我们使用 `match ip address` 命令来匹配 IPSec 流量,然后使用 `set ip next-hop` 命令将流量转发到 IPSec 隧道的对端。 4. 最后,我们需要在路由器上配置 IPSec 配置文件。具体命令如下: ``` crypto isakmp policy 10 hash md5 authentication pre-share group 2 crypto isakmp key 0 mypassword address 192.168.2.1 crypto ipsec transform-set ESP_MD5_SHA1 esp-md5-hmac esp-sha1-hmac crypto map IPSec_Map 10 ipsec-isakmp set peer 192.168.2.1 set transform-set ESP_MD5_SHA1 match address IPSec_ACL interface GigabitEthernet0/0/1 crypto map IPSec_Map ``` 上述命令中,我们创建了一个名为 IPSec_Profile 的 IPSec 配置文件,其中包括了 IPSec 的加密算法,预共享密钥转换集。然后我们创建了一个名为 IPSec_Map 的 IPSec 映射,将 IPSec 流量映射到 IPSec_Profile 上。最后,在路由器IPSec 隧道上应用了 IPSec_Map 映射。 以上就是在 eNSP 中配置 IPSec 优先级高于 NAT 的命令示例。希望能对你有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值