AR2200做NAT业务出现nat转换失败

发布时间:  2016-05-11 浏览次数:  341 下载次数:  0
问题描述

项目为增加AR承担NAT业务,分担FW的一部分业务。

拓扑为FW9000使用IPsec VPN建立专线,模式为ESP的传输模式。

AR2200使用NATpt网络地址端口转换。

故障现象为NAT配置失效,报文没有被地址转换,与远端通信失败。

处理过程

1,由于检查AR2200配置,发现NAT配置无问题。

2,与客户协商,发现下面的防火墙配置了VPN。

3,更改IPsec vpn的模式为esp的隧道模式。

4,在USG9000上配置nat-t。

5,联系对端设备更改IPsec vpn模式与配置net-t。

NAT-t的配置方式如下:

ike peer peer-name,创建IKE Peer,并进入IKE Peer视图。
执行命令nat traversal,开启NAT穿越功能。

IPsec vpn的模式更改为ESP的隧道模式:

ipsec proposal tran1
encapsulation-mode tunnel
transform esp



根因

由于FW使用了IPsec VPN,并且是ESP的传输模式,封装格式如下:

由于TCP是进行了加密,可知是无法进行端口转换的。

如果是NAT一对一转换的话,也会因为传输层Checksum字段校验失败。TCP的Checksum校验的是IP层、传输层、应用层,正常情况下穿过NAT,会把Checksum改成EFG。

解决方案

在IPsec VPN隧道间,需要做NAT的情况下。

必须在两端的IPsec VPN设备上配置NAT-t,并且IPsec VPN的模式必须为ESP的隧道模式。




END