华为ensp IPSEC隧道两端经过nat配置实验!
此笔记记录毕设建立ipsec 隧道 两端都有nat,出现ike sa会话无ipsec sa会话,且抓包只能看到主模式的包无二阶段quick mode模式的包 无esp数据包的情况。
具体配置命令可以查看华为产品手册;
配置出现问题:
双方防火墙经过nat互访 首先acl感兴趣流要镜像,要放行4500端口NAT-T功能开启,但依然只能看到ike sa的会话信息 ipsec sa没有会话表项,抓包只能看到main mode包,没有二阶段quick mode包 以及 eSp数据包。
解决办法:查看两端的加密协议,ipsec 提议集,ike 提议集,以及共享密钥是否相同。
最终重新配置了两端的密钥ipsec 隧道成功建立。