FAQ-USG9000支持几种NAT穿越功能

发布时间:  2014-09-19 浏览次数:  115 下载次数:  0
问题描述
USG9000支持几种NAT穿越功能?
解决方案
支持2种NAT穿越功能,分别对应不同的场景:
 USG9000作为IPSec网关,且隧道中间有NAT设备
此场景需要在IKE对等体视图(ike peer)下运行nat traversal命令,开启NAT穿越功能。缺省情况下,USG9000启用NAT穿越功能。
建议配置ike sa nat-keepalive-timer interval seconds命令,可以及时了解NAT设备是否工作正常。
当USG9000主动发起协商时,IKE Peer中除了要配置对端地址,还要配置验证地址(authentication-address)。当USG9000只做响应端时,可以不指定验证地址。
 USG9000不作IPSec网关,而是作为隧道中间的NAT设备
如果协商隧道的IPSec网关不支持NAT穿越功能,那么加密后的报文无法通过USG9000。此场景需要在系统视图下运行firewall esp nat enable命令,开启ESP NAT穿越功能,ESP报文即可正常通过USG9000。

END