配置NAT透明模式为IPSec在VPN 3000

前言

网 络地址转换(NAT)被开发涉及互联网协议版本4 (IPV4的)问题用尽地 址空间的。 今天，家庭用户和小型办公室网络使用NAT 作 为代替采购的注册的地址。公司实现NAT 单独或以防火墙保 护他们的内部资源。

多对一，最普 通被实施的NAT解决方案，映射几个专用地址到一个单个可路由(共 享)地址; 这是亦称端口地址转换(PAT)。 协会是被实 施在端口级别。PAT 解决方案制造一个问题为不使用任何端 口的IPSec信息数据流。

使用的组件

本文的信息根据以下的软件及硬件版本。

Cisco VPN 3000集中器

Cisco VPN 3000客户端软件版本 2.1.3及以后

本文提供的信息在特定 实验室环境里从设备被创建了。用于本文的所有设备开始了 以一个缺省（默认）配置。如果在一个真实网络工作，保证 您使用它以前了解所有命令的潜在影响。

封装安全有效载荷

协议50 (封装安全有效 载荷[ ESP ])处理IPSec encrypted/encapsulated信息包。多数PAT设备不工作与ESP因为他们被编程工作仅带有传输控制协议 （TCP）、用户数据协议(UDP)和互联网控制信息协议(ICMP)。 另外，PAT设备无法映射多个安全参数索引(SPIs)。 NAT透明模式在VPN 3000客户软件在UDP之内通过封装ESP和 发送它解决此问题到一个协商的端口。激活的属性的名字在 VPN 3000集中器是IPSec通过NAT。

如何NAT透明模式工作？

激活IPSec透明模式在 VPN集中器创建不明显过滤器规则并且适用于他们公共过滤器。 当VPN客户端软件连接时，配置端口编号然后通过对VPN客户 端软件透明地。在Inbound 侧，UDP Inbound数据流从该端口 通过直接地对IPSec为处理。数据流正常解密并且被解封装， 然后路由。在流出端，IPSec加密，封装然后应用UDP头(如果 如此配置)。 运行时过滤器规则从适当的过滤器被撤销并且 被删除在三个情况下：当在UDP的IPSec为组是失效，当组被 删除，或者当在SA UDP的最后有效IPSec在该端口被删除。发送Keepalive防止NAT设备结束端口映射由于不活动。

配置NAT透 明模式

使用以下程 序配置NAT透明模式在VPN集中器。

在 VPN集中器，去 Configuration > User Management > Groups。

添加组， 选择 Add。修改一个现有组，选择它并且 点击Modify。

点击IPSec制表符，通过 NAT 检查 IPSec 并且 通过 NAT UDP端口配置IPSec。默认端口为IPSec通过NAT是10000 ( 包括源和目的地)，但可能更改此设置。