基于NAT和IPSec的VPN配置与验证

【摘要】企业或组织，为节约IP地址，普遍采用NAT技术连接互联网。针对互联网的不安全性，采用适当的安全技术保证企业或单位重要数据安全显得非常必要，目前使用最为广泛的技术是IPSec。在NAT的基础上，通过构造通道，利用通道组织企业远程局域网，从而为企业提供高效安全的网络环境。在认识NAT和IPSec的前提下，理解配置NAT和IPSec的含义，并在GNS3环境下加以仿真验证。

【关键词】NATVPNIPSec通道安全

一、前言

采用RFC1918编址方式节约IP地址的方法通称为NAT，NAT分为三类：静态NAT、动态NAT、NAPT。NAPT应用最为广泛。NAT技术是为了节约IP地址，在网络内部采用私有地址，在出口采用公网地址，内部地址要访问外网时，需要将内网地址转换为公网地址，这种转换主要是IP地址和端口的转换，涉及到修改每个IP包的IP地址和端口值。而IPSec是一套网络安全协议规范，常用于组建VPN，构建两个远程局域网之间的安全隧道，进而把位于两地的两个局域网合并成一个可以通过不安全的互联网相互联系的一个局域网，而IPSec中使用的协议不允许修改IP报头内容，因此，NAT和IPSec相互矛盾，不能在一起混用。虽然目前有一些方法克服这种矛盾，比如IP OVER TCP，IP OVER UDP，NAT-T等，但是都是对IP报文结构的一种破坏，本文根据NAT和IPSec的不同用途，客户端采用NAT和IPSec分别访问不同的对象，在配置上巧妙避开矛盾，使两种协议各司其职，互不影响。

二、NAT结构分析

私有网络192.168.1.0/24的多台计算机，需要访问internet，但是只有一个公网地址，在路由器R1上启用NAPT功能，将源地址为192.168.1.x的私有地址转换成internet中可以识别和交换的公网地址200.1.1.1，同时将端口进行相应的转换，并在R1中储存对应表，如图1所示。

三、IPSec VPN解析

IPSec是一种IP层的数据加密方法，它包含两种模式：传输模式和隧道模式，有两种封装：AH和ESP，两种模式和两种封装共组合成四种应用，比较常见的是隧道模式的ESP封装。其基本封装原理如图2所示。

四、配置与验证

试验网络拓扑如图3所示。

4.1NAT配置与验证

首先在R1上设置NAT，排除到对端的流量，其余流量均采用NAT。

R1（config）#access list 102 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255

R1（config）#access list 102 permit ip any any

R1（config）#ip nat inside source list 102 int f0/1 overload

R1（config）#int f0/1

R1（config）#ip nat outside

R1（config）#int f0/0

R1（config）#ip nat inside

在R3上设置NAT，排除到对端的流量，其余流量均采用NAT。

R3 （config）#access list 102 deny ip 172.16.1.0 0.0.0.255 192.168.1.0.0.0.0.255

R3（config）#access list 102 permit ip any any

R3（config）#ip nat inside source list 102 int f0/1 overload

R3（config）#int f0/1

R3（config）#ip nat outside

R3（config）#int f0/0

R3（config）#ip nat inside

实验的关键是NAT的访问控制列表范围的规定，前往对端私用网络的源IP不要转换，而去往公网的源地址需要转换，采用debug ip nat验证NAT转换过程。

4.2IPSec配置与验证

第一步配置IKE协商

R1（config）#crypto isakmp policy 100建立IKE协商策略

R1（config-isakmap）# authentication pre-share预共享密钥认证

R1 （config）# crypto isakmp key wwp address 201.1.1.2设置共享密钥和对端地址

R3（config）#crypto isakmp policy 100建立IKE协商策略

R3（config-isakmap）# authentication pre-share预共享密钥

R3 （config）# crypto isakmp key wwp address 200.1.1.1设置共享密钥和对端地址

第二步配置IPSEC相关参数

R1 （config）# crypto ipsec transform-set wwpset esp-des配置转换集、验证算法、加密算法

R1（config）# access-list 101 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255定义访问控制列表

R2 （config）# crypto ipsec transform-set wwpset esp-des传输模式

R2（config）# access-list 101 permit ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255

第三步应用配置到接口

R1 （config）#crypto map wwpmap 110 ipsec-isakmp采用IKE协商，优先级为110

R1（config-crypto-map）#set peer 201.1.1.2指定VPN链路对端IP地址

R1 （config-crypto-map）#set transform-set wwpset指定转换集

R1（config-crypto-map）#match address 101指定访问控制列表，匹配信息流

R1（config）# int f0/1

R1（config-if）# crypto map wwpmap应用此表到端口

R3 （config）#crypto map wwpmap 110 ipsec-isakmp采用IKE协商，优先级为110

R2（config-crypto-map）#set peer 200.1.1.1指定VPN链路对端的IP地址

R2 （config-crypto-map）#set transform-set wwpset指定转换集

R2（config-crypto-map）#match address 101指定访问控制列表匹配需要加密的信息流

R2（config）# int f0/1

R2（config-if）# crypto map wwpmap应用此表到端口

IPSEC VPN配置完成后，首先采用ping命令，测试到对端私网和公网是否畅通；其次，采用show命令查看IPSec状态，R1#show crypto ipsec sa，R1#show crypto isakmp sa，R1# show crypto isakmp policy；最后，采用debug crypto isakmp和debug crypto ipsec命令，查看IPSec运行情况。

五、结论

根据VPN和NAT的不同应用范围，灵活配置策略，精细化配置测试，可以采用不同信息流量采用不同途径的方法，分别使用NAT和VPN，达到到达对端采用VPN，到达公网采用NAT，各司其职，既保障了访问公网的灵活性，又保证了私网通信的安全性。

参考文献

[1]洪洲. NAT的UDP穿透技术分析与实现.广州城市职业学院学报[J]，2009，2：27-31

[2]杨翼平.双重NAT技术在集中网络管理业务中的应用.中国新通信[J]，2012，10：49-51

[3]吴丽华，肖子玉. IMS组网中的NAT/防火墙穿越方案.电信工程技术与标准化[J]，2009，5：16-21页

[4]蔡琴.运用VPN技术组建新疆党校虚拟专用网络.无线互联科技[J]，2012，11：8-9

[5]黄益彬，吕洋，杨维永.智能终端网络安全防护设计.计算机与现代化[J]，2012，12：106-109

[6]程龙，张学平，王海涛.基于OPNET的IPSec协议性能监测与仿真.计算机安全[J]，2012，11：51-55

[7]王凤领.基于IPSec的VPN技术的应用研究.计算机技术与发展[J]，2012，9：250-252

[8]董靖超. VPN技术与应用.电脑与电信[J]，2012，7：42-44