FAQ-当IPSec隧道两端之间有中间NAT设备时,防火墙配置IPSec需要注意什么

发布时间:  2014-09-18 浏览次数:  154 下载次数:  0
问题描述
当IPSec隧道两端之间有中间NAT设备时,防火墙配置IPSec需要注意什么?
解决方案
当IPSEC隧道两端的中间设备对某一端的隧道IP作了NAT转换,这时候需要根据如下原则进行配置:
 配置IPSec NAT穿越:主要是为了解决中间NAT设备不支持对ESP报文做NAT转换的问题。配置NAT穿越后加密报文就不用ESP协议封装,而用UDP协议(使用4500端口)封装,这样就保证中间NAT设备对这些加密报文能够正确的进行NAT转换。配置NAT穿越时,两端必须同时配置NAT穿越命令(nat traversal)。其它配置遵循以下原则:
− 两端都使用非模板方式配置:建议使用野蛮模式,名字认证方式。(如果使用IP认证方式,USG需要配置remote-address authentication-address ip-address来指定对端NAT转换前的内网地址。)
− 一端是模板方式,一端是非模板方式配置:当中间NAT设备对非模板端IP作NAT转换时,可以配置为名字认证方式,也可以配置为IP认证方式。无论何种方式认证,最好不要在模板中配置remote-address。
 不配置IPSec NAT穿越:如果中间NAT设备是做NAT Server设备(对对端的私网地址做NAT转换),且该NAT设备支持ESP报文的NAT转换。在这种情况下可以不配置NAT穿越,但是需要在本端设备配置命令remote-address authentication-address ip-address来指定对端NAT转换前的内网地址。

END