CISCO路由器建立穿越NAT的VPN几种解决方法

3种方法：

1ipsec-over-udp cisco udp任何 6×isa esp---udp特定端口 group-policy

2nat-t rfc udp4500 6×isa esp---udp4500 nat-tran

3ipsec-over-tcp 只有特定端口tcp的流量 isa ipsec-over-tcp

例如下：

ip nat inside source static esp 1111 interface FastEthernet0/0

静态方式将esp封装中的IP地址NAT转换出去 为 f0/0 端口的ip

ip nat inside source static udp 1111 4500 interface FastEthernet0/0 4500

NAT会影响ipsec协商包括ESP 和AH

所以用UPD500号端口重新封装IPSEC数据，让NAT放行500号端口数据

ip nat inside source static udp 1111 500 interface FastEthernet0/0 500

是nat遍历，你可以理解为用于在ipsec***设备之间发现NAT服务器用的

你把电脑网卡的mtu调小到1400，试试了。怎么调小电脑网卡的mtu，可以看我“百度空间”上的文章。如果是windows远程桌面的默认接口，是3389，你可以先在cmd下，用telnet xxxx 3389测试一下，是否tcp是通的。

共有三种，方法过于复杂，不是几篇能说详细的，下面只说三种方法，具体实现请百度：

1、MPLS ***，也就是基于多协议标记交换的***，一般运行于服务商，用户不需要参与配置，需要在运营商处开通这个业务，费用高，但不需要客户维护。

2、IPSEC ***，这个在用户侧配置，配置复杂，但运营商不参与配置，费用低。

3、IPSEC EASY ***，与二差不多，但配置更复杂，但使用者不需要配置，相对简单，复杂的实现都在本地网络处，对网络工程师的要求高，不需要运营商参与，费用低。

首先SSL 不属于应用层。它属于表示层和会话层，在OSI模型中位于应用和传输层中间。

SSL ***就是用到了系统已有的SSL协议来构建安全的通道，但并不等于SSL ***只支持WEB应用。

目前，新的SSL ***已经可以通过 应用重定向支持的IPSEC 的所有应用了。简单说就是将原应用再次进行封装，将原数据经过SSL构建的加密隧道发往服务端，然后进行解析还原后转发。

如下图，实际上正在ping 谷歌的DNS服务器并得到了回应。然而数据封装却看不到ICMP协议，可见ICMP必然是被重新封装了进入了***隧道，data部分必然包含了ICMP的数据包。等到服务端解密后即可看到，然后进行转发。

当然要实现上述功能，需要有插件和客户端。

无论你是安装思科的anyconnect 客户端或者是登陆网页输入账号密码，你都会自动形成你的虚拟***网卡，同时自动装好了其对应的驱动和插件。

至于你说的SSL over IPsec ***，很少有人这么做，不过也是可行的。一般是指站点间的IPsec ***，由于此***只提供了点到点的加密安全，可能有部分需求希望实现端到端的安全。可以在已有的IPsec ***（比如公司已经搭建）隧道中，再构建一个SSL 隧道。不过效率会较低，其实也就是一个二次封装而已。

长沙宏宇提供专业的咨询与回复，希望对你有帮助

username AAAAAA password BBBBBB 设定一个用户登录用的用户名和密码

vpdn enable 启动VPDN

!

vpdn-group test***（这个名字随便起）

! Default PPTP VPDN group

accept-dialin

protocol pptp

virtual-template 1 （建立一个虚接口1）

!

interface Virtual-Template1

ip unnumbered FastEthernet0/0 （指定虚接口的实际拨入接口是Fa0/0）

peer default ip address pool testpool (指定***拨入的地址池为testpool)

ppp encrypt mppe 128 required （指定封装为128位加密，有些版本没有，不一定必须用，可以不写这行）

ppp authentication ms-chap-v2 chap （用户名和密码的校验方式为MS-chap）

ip nat enable （这两行可以不写，写了的话可以让拨入的用户用本地的网络出口做NAT上网）

ip nat inside （这两行可以不写，写了的话可以让拨入的用户用本地的网络出口做NAT上网）

!

ip local pool testpool 172300100 172300150 （设定 地址池testpool 的起止IP）

大致就是这样了，不过cisco 支持做***的好像都是路由器，3层交换机支不支持我还真没试过，主要是看命令行里有没有 VPDN enable。

***client ip是不变的，右下角有个锁的图标如果没锁上就没成功链接***，如果锁上了就是***链接成功，如果成功链接了，右键点锁，statistics，address information，client：xxxx就是你的***地址

使用VRRP协议，使用IPSLA技术。

1、使用VRRP协议：是一种实现路由器冗余的协议。思科设备可以通过配置VRRP实现两条***线路的冗余。

2、使用IPSLA技术：技术可以实现两条***线路的冗余。