Eudemon1000E上IPsec与NAT同时设置,造成无法触发建立IPsec隧道

发布时间:  2013-05-29 浏览次数:  214 下载次数:  0
问题描述
PC A通过Eudemon A进行NAT后访问Server,Server的IP地址为210.200.10.10。在Eudemon A和Eudemon B之间配置好IPSec通道后,发现IPSec隧道无法建立。如图1所示。
图1 IPSec与NAT同时部署在一台Eudemon上
告警信息
处理过程

步骤 1 查看Eudemon A的IPSec配置。
在Eudemon A上执行如下命令:
<Eudemon> display current-configuration
acl number 3000
  rule permit ip source 192.168.10.10 0 destination 210.200.10.10 0
acl number 3001
  rule permit ip source 192.168.10.10 0
ike local-name HWFW
ike proposal 10
  encryption-algorithm des
  authentication-method pre-share
  authentication-algorithm sha
  dh group1
  sa duration 86400
ike peer IPSec-server
  ike-proposal 10
  local-id-type name
  pre-shared-key test
  remote-address 202.101.99.1
IPSec proposal huawei
  transform esp
  esp authentication-algorithm sha1
  esp encryption-algorithm des
  encapsulation tunnel
IPSec policy huawei 100 isakmp
  security acl 3000
  proposal huawei
  ike-peer IPSec-server
nat address group 1 211.103.200.2 211.103.200.2
nat outbound 3001 address-group 1

步骤 2 确认经过IPSec封装的数据流是否还需要进行NAT转换。
 如果还需要进行NAT转换,则把ACL 3000的源地址改为NAT后地址。
[Eudemon] acl 3000
[Eudemon-acl-adv-3000] rule permit ip source 211.103.200.1 0 destination 210.200.10.10 0

 如果不需要进行NAT转换,则在ACL 3001中增加一条deny规则。
[Eudemon] acl 3001
[Eudemon-acl-adv-3001] rule deny ip source 192.168.10.10 0 destination 210.200.10.10 0
根因
  1. 网络层连通性问题。
  2. 配置错误导致IPSec隧道无法建立。由于NAT和IPSec的兼容性问题,目前在所有厂商设备上,如果NAT和IPSec同时存在,那么会先处理NAT流程,再进行IPSec封装。所以在配置Security ACL的时候,要注意发起流量的源地址应该匹配NAT后的地址,而不是原有的私网地址。
建议与总结
当IPSec与NAT配置在同一台防火墙时,要确认经过IPSec封装的数据流是否还需要进行NAT转换。
 如果需要进行NAT转换,则Security acl要匹配NAT后的地址。
 如果不需要进行NAT转换,则Security acl要匹配NAT前的地址。

END