FAQ-USG6380如何配置安全策略允许IPsec VPN中NAT穿越端口

发布时间:  2017-01-04 浏览次数:  170 下载次数:  0
问题描述

USG6380如何配置安全策略允许IPsec VPN中NAT穿越端口?

解决方案

USG6380部署在出口,为了实现总部与分支机构内网网络互联互通,需建立IPsec VPN。因分支机构中间设备涉及NAT设备,防火墙如何配置安全策略允许?截图如下:

PS:IKE协商的初始端口是500,在IPsec隧道上做NAT穿越时,网关设备完成NAT-T能力检测和网关探测之后,ISAKMP消息封装的UDP端口被变更为4500,因此后续协商及传输数据的端口都使用该端口。

END