1.你说的这不是nat-t的特性,nat-t是在IKE协商时检测两个设备中间是否有NAT,如果有NAT就启用nat-t技术。
2.为什么要启用nat-t?因为IPSEC协商后esp封装是一个特殊与TCP和UDP并列的协议,和ICMP一样,ESP是没有端口号的,而NAT是需要进行端口号转换的,如果开启nat-t,两个设备对esp数据包进行udp封装,端口4500。
3.这个功能默认开启的,不需要干预。
4.你本身的问题是在配置vpn的设备上的nat对IPSEC vpn的影响吗?设备上默认策略是先处理NAT,再匹配感兴趣流,所以如果在vpn设备上配置了NAT,会导致无法匹配感兴趣流,也就导致内网无法访问对端了,这种情况只要注意下用扩展访问列表做nat,并把感兴趣流的流量排除掉就OK了
ipsec_vpn隧道穿越nat设备
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024