H3C 点对点IPSec 添加NAT穿越的实验

实验的目的

        实验本身使用的是H3C的HCL 5.10.1来做的。公司原本是两台H3C的F100-C-G2防火墙，分别部署在公司网络出口和数据机房的网络出口，但是集团要求，要把防火墙的出接口接入到集团防火墙，给公司分配了一个内网地址，以前的公网地址收回，所有流量都要经过集团防火墙，由于集团防火墙使用的是华为的USG6000，在HCL上无法进行试验，我就用另外一台防火墙进行代替。

实验的原因

        本人是一个网络初学者，这个实验主要涉及到IPSec以及NAT穿越，现在网上胡说八道的教程太多了，像什么“NAT穿越实验” ，我在网上搜了一大把，不是在说理论，就是不假思索的复制粘贴，许多文章的实验结果根本没有体现NAT穿越，但是却说自己是NAT穿越实验，这就非常恶心了，你就不能抄的细心点儿吗？我在网上一直没有找到一个正确的答案，最后是在一个热心网友的提示下完成的，所以把这个实验发布在网上，希望能帮上更多的初学者，不要被网上个各种复制粘贴误导。

拓扑图

划入集团前的网络拓扑

划入集团后的网络拓扑

IP规划

公司的局域网IP：10.0.3.0/24，网关10.0.3.1

公司原有公网出口IP：110.1.1.2/24，网关110.1.1.1

纳入集团网络后的出口IP：172.16.0.249，网关172.16.0.254

机房的局域网IP：10.98.0.0/24，网关10.98.0.1

机房的公网出口IP：220.1.1.2/24，网关220.1.1.2

需要说明

1. 本实验实际是两个实验，第一个实验是创建公司和机房的IPSec连接，第二个实验是在原有的基础上，把公司路由器前面再加一个NAT设备，由于集团加的是防火墙，我也用防火墙代替。

2. 由于本实验主要是IPSec和NAT穿越的实验，我这里就不再添加防火墙规则了，直接放行所有的流量，不再配置防火墙。

实验步骤

第一步：先配置实验设备的名称

公司路由器命名为：COM

<H3C>sys
System View: return to User View with Ctrl+Z.
[H3C]sysn COM
[COM]

模拟运营商命名为：ISP

<H3C>sys
System View: return to User View with Ctrl+Z.
[H3C]sysn ISP
[ISP]

机房路由器命名为：IDC

<H3C>sys
System View: return to User View with Ctrl+Z.
[H3C]sysn IDC
[IDC]

第二步：配置ISP(运营商)的IP

说明一下，这里主要是模拟真实的布网环境，我看网上有些人没加这个，对于实验来说有没有都行，但是我觉得如果没有，可能会有人看不懂，所以还是加上了，你可以把它当作联通或者电信的运营商，分别给公司和机房做了公网网关，没这个你就不能上网。

[ISP]int gig 0/1
[ISP-GigabitEthernet0/1]ip addr 110.1.1.1 24
[ISP-GigabitEthernet0/1]qu
[ISP]int gig 0/2
[ISP-GigabitEthernet0/2]ip addr 220.1.1.1 24
[ISP-GigabitEthernet0/2]qu
[ISP]

第三步：配置公司路由器

# 配置路由器接公网端口0/1
[COM]int gig 0/1
# 配置IP地址为110.1.1.2 子网掩码24位(也可以写成255.255.255.0)
[COM-GigabitEthernet0/1]ip addr 110.1.1.2 24
# 配置完退出
[COM-GigabitEthernet0/1]qu
[COM]
# 由于公司的主机都是DHCP获取IP，所以一定要先开启路由器的DHCP服务，要不肯定忘
[COM]dhcp enable
# 创建DHCP池名称为pool
[COM]dhcp server ip-pool pool
# 配置DHCP的网段为10.0.3.0 24位掩码
[COM-dhcp-pool-pool]network 10.0.3.0 24
# 配置DHCP的网关为10.0.3.1
[COM-dhcp-pool-pool]gateway 10.0.3.1
# 配置DHCP的DNS为114.114.114.114（由于是实验环境，配不配都行，习惯了）
[COM-dhcp-pool-pool]dns 114.114.114.114
# 退出DHCP地址池配置（还可以在里面设置排除的IP以及IP的存活时间，和实验无关的我就不设置了）
[COM-dhcp-pool-pool]qu
# 创建VLAN100
[COM]vlan 100
# 退出
[COM-vlan100]qu
# 进入到VLAN100进行配置
[COM]int vlan 100
# 配置VLAN100的IP地址为10.0.3.1 掩码24位
[COM-Vlan-interface100]ip addr 10.0.3.1 24
# 把地址池应用到vlan100中
[COM-Vlan-interface100]dhcp server apply ip-pool pool
# 退出vlan配置
[COM-Vlan-interface100]qu
# 进入网卡接口的0/2
[COM]int gig 0/2
# 修改接口模式为桥接模式
[COM-GigabitEthernet0/2]port link-mode bridge
# 设置数据桥接至vlan100
[COM-GigabitEthernet0/2]port access vlan 100
# 退出接口设置
[COM-GigabitEthernet0/2]qu
# 配置一条静态路由，让设备能够上网
[COM]ip route-static 0.0.0.0 0 110.1.1.1
# 现在局域网中的设备还不能上网，所以需要做NAT，创建一个标号为2000的基本访问控制列表
[COM]acl basic 2000
# 列表中增加一条标号为10的规则（rule 10） 允许源地址是10.0.3.0 的24位地址的流量
[COM-acl-ipv4-basic-2000]rule 10 permit source 10.0.3.0 0.0.0.255
# 退出ACL配置
[COM-acl-ipv4-basic-2000]qu
# 进入接口0/01
[COM]int gig 0/1
# 把ACL 2000里面规定的流量作为NAT流量转出
[COM-GigabitEthernet0/1]nat outbound 2000
# 退出0/1接口配置
[COM]quit

经过上面的操作，公司一侧的上网基本上就没啥问题了，机房一侧也是同样设置，机房的设置我就复制粘贴了，