华为认证HCIE Datacom培训崔志鹏老师笔记-第二阶段：三个报文作用

WOLFLAB官方微信：17316362402，【WOLFLAB网络技术实验室】联系网站客服预约免费试听，了解HCIE Datacom培训价格、HCIE Datacom报名费用、HCIE Datacom最新课程大纲等！

HCIE Datacom培训预约免费试听

下面是HCIE Datacom培训技术笔记正文

第1、2个报文协商加密算法、认证算法、封装协议（AH/ESP）、模式（tunnel、transport）等；

第三个确认报文；

扩展1：如果分支机构采用PPPOE拨号的方式动态获取地址，总部采用固定IP，因为总部无法提前预知分支机构的IP地址，也无法在IKE PEER指定分支的IP地址，此时总部可以配置基于模板的IPSEC VPN，分支机构正常配置

AR1：

ike proposal 10

ike peer AR3 v1

 pre-shared-key simple huawei

 ike-proposal 10

ipsec proposal wolf

ipsec policy-template huawei 10

 ike-peer AR3

 proposal wolf

ipsec policy wolf 10 isakmp template huawei        //模板跟策略做联动

interface GigabitEthernet0/0/0

 ipsec policy wolf

AR3：

acl number 3000  

 rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

ike proposal 10

ike peer AR1 v1

 pre-shared-key simple huawei

 ike-proposal 10

 remote-address 1.1.12.1

ipsec proposal wolf

ipsec policy wolf 10 isakmp

 security acl 3000

 ike-peer AR1

 proposal wolf

interface GigabitEthernet0/0/1

 ipsec policy wolf

注意：

①只能有分支发起IKE的协商，因为总部不配置remote；

②总部无需配置感兴趣流，因为总部的感兴趣流会跟分支进行协商；

③如果配置完成主机之间无法互相访问，此时可以在设备上创建loop0接口测试；

扩展2（只需了解）：

如果AR1和AR3之间建立IPSEC VPN，中间如果有NAT设备，此时AR3收到AR1发送的数据的SIP是1.1.23.2，此时数据源检测失败，此时可以配置NAT穿越功能，让ESP的报文穿越NAT；

AR2：

acl number 2000  

 rule 5 permit 

#

interface GigabitEthernet0/0/1

 ip address 1.1.23.2 255.255.255.0 

 nat outbound 2000

使用指南

应用场景

部署IPSec VPN网络时，如果发起者位于私网中，远端响应者位于公网侧，而它希望与远端响应者直接建立一条IPSec隧道。为保证存在NAT设备的IPSec隧道能够正常建立，这就涉及到IPSec的NAT穿越问题。

NAT穿越使IKE在协商过程中发现两个端点之间存在NAT网关，使ESP报文正常穿越NAT网关。

注意事项

配置NAT穿越功能时，使用的IPSec安全提议ipsec proposal只能选择ESP安全协议。

使用实例

# 配置开启NAT穿越功能。

<Huawei> system-view

[Huawei] ike peer peer1

[Huawei-ike-peer-peer1] nat traversal

HCIE Datacom培训循环开班，WOLFLAB实验室资深讲师崔志鹏老师负责LAB阶段版本辅导，联系WOLFLAB网站客服，预约免费试听

https://www.wolf-lab.com/

WOLFLAB官方微信：17316362402

WOLFLAB官方QQ：2569790740

我们提供：思科认证｜华为认证

CCNA｜CCNP｜EI CCIE;HCIA｜HCIP｜HCIE Datacom｜VMware等培训