下，配置ACL规则
port1 [ port2 ] ] [ icmp-type {icmp-type icmp-code | icmp-message} ]
[ precedence precedence ] [ dscp dscp ] [ established ] [ tos tos ] [ time-
Copyright © 2007 杭州华三通信技术有限公司

IPsec NAT穿越配置举例
3.2 配置步骤
配置野蛮模式下IPsec穿越NAT，需要以下步骤：
z 配置访问控制列表 z 配置 IKE 对等体 z 定义安全提议 z 创建安全策略 z 在接口上应用安全策略
1. 配置访问控制列表
在IPsec/IKE组建的VPN隧道中，若存在NAT网关设备，且NAT网关设备对VPN业务数据流进 行了NAT转换的话，则必须配置IPsec/IKE的NAT穿越功能。该功能删去了IKE协商过程中对UDP 端口号的验证过程，同时实现了对VPN隧道中NAT网关设备的发现功能，即如果发现NAT网关设 备，则将在之后的IPsec数据传输中使用UDP封装（即将IPsec报文封装到IKE协商所使用的UDP连 接隧道里）的方法，避免了NAT网关对IPsec报文进行篡改（NAT网关设备将只能够修改最外层的 IP和UDP报文头，对UDP报文封装的IPsec报文将不作修改），从而保证了IPsec报文的完整性 （IPsec数据加密解密验证过程中要求报文原封不动地被传送到接收端）。目前仅在IKE野蛮模式 下支持NAT穿越，主模式下不支持。
操作命令
在系统视图下，创建一个
1
高级访问控制列表
[H3C] acl number acl-number [ match-order { config | auto } ]
[H3C-acl-adv-3000] rule [ rule-id ] { permit | deny } protocol [ source
为了使IKE支持目前广泛应用的通过ADSL及拨号方式构建VPN的方案中的特殊情况――即局 端设备的IP地址为固定分配的，用户端设备的IP地址为动态获取的情况，在IKE阶段的协商模式中 增加了IKE野蛮模式，它可以选择根据协商发起端的IP地址或者ID来查找对应的身份验证字，并最 终完成协商。IKE野蛮模式相对于主模式来说更加灵活，能够支持协商发起端为动态IP地址的情 况。
2 特性的优点
该特性适合IPsec隧道中间存在NAT设备的组网情况。同时，由于使用了IKE野蛮模式，同样 也适用于IP地址不固定的远程访问用户与总部之间建立I 使用场合
1) IPsec隧道中间存在NAT设备的组网情况 2) 适用于IP地址不固定的远程访问用户与总部之间建立IPsec隧道的情况。
缩略语：
VPN IPsec NAT IKE
缩略语
英文全名 Virtual Private Network\ IP security Network Address Translation Internet Key Exchange
中文解释 虚拟私有网 IP安全 网络地址转换 Internet密钥交换
3.1 使用场合....................................................................................................................................1 3.2 配置步骤....................................................................................................................................2 3.3 注意事项....................................................................................................................................4 3.4 举例...........................................................................................................................................4
IPsec NAT穿越配置举例
IPsec NAT穿越配置举例
关键词：IPsec、NAT、野蛮模式
摘 要：本文简单描述了IPsec穿越NAT网关的特点，详细描述了在SecPath防火墙系列防火墙上 配置IPsec野蛮模式下穿越NAT的基本配置方法和详细步骤，给出了一种IPsec穿越NAT 的基本配置案例。
Copyright © 2007 杭州华三通信技术有限公司

IPsec NAT穿越配置举例
1 特性介绍
IPsec（IP security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互 操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数 据报在网络上传输时的私有性、完整性、真实性和防重放。
{ sour-addr sour-wildcard | any } ] [ destination { dest-addr dest-wildcard |
2
在高级访问控制列表视图 any } ] [ source-port operator port1 [ port2 ] ] [ destination-port operator
Copyright © 2007 杭州华三通信技术有限公司

IPsec NAT穿越配置举例
目录
1 特性介绍 ................................................................................................................................... 1 2 特性的优点 ............................................................................................................................... 1 3 使用指南 ................................................................................................................................... 1
IPsec使用高级访问控制列表来判断哪些报文需要受到保护，哪些则不需要，用于IPsec的扩 展访问控制列表可称为加密访问控制列表。在本地和远端安全网关上定义的加密访问控制列表应 该是相对应的（即互为镜像），这样在某一端加密的数据才能在对端上被解密。否则，会造成一 端不能解密另一端发来的数据。
步骤
操作说明
IPsec作为一种重要的安全技术得到越来越广泛的应用，但是客户网络边缘大量使用的NAT地 址转换操作可能影响到IPsec的正常操作。目前，NAT和IPsec之间存在的不兼容性问题主要可以 分为以下三类：
z IP 地址和端口不匹配的问题 z IPsec 不能验证 NAT 报文的问题 z NAT 超时影响 IPsec 的问题 针对此问题，我司在IKE野蛮模式的基础上实现NAT穿越，很好地解决了此问题。
range time-name ] [ logging ] [ fragment ]
2. 配置IKE对等体
在实施IPsec的过程中，可以使用Internet密钥交换IKE（Internet Key Exchange）协议来建立 安 全 联 盟 ， 该 协 议 建 立 在 由 Internet 安 全 联 盟 和 密 钥 管 理 协 议 ISAKMP （ Internet Security Association and Key Management Protocol）定义的框架上。IKE为IPsec提供了自动协商交换密 钥、建立安全联盟的服务，能够简化IPsec的使用和管理。
3.4.1 组网需求 ........................................................................................................................4 3.4.2 组网图............................................................................................................................4 3.4.3 配置 ...............................................................................................................................4 3.4.4 验证结果 ........................................................................................................................8 3.4.5 故障排除 ......................................................................................................................10 4 关键命令 ................................................................................................................................. 11 4.1 ipsec policy（系统视图） .......................................................................................................11 4.2 ipsec proposal.........................................................................................................................12 4.3 ike peer ...................................................................................................................................13 5 相关资料 ................................................................................................................................. 14 5.1 相关协议和标准.......................................................................................................................14 5.2 其它相关资料 ..........................................................................................................................14