配置 IP 安全以使用 NAT

若要在「IP 安全」中使用 NAT，您必須在 /etc/isakmpd.conf 檔案中設定 ENABLE_IPSEC_NAT_TRAVERSAL 變數。設定這個變數時，將新增過濾規則以在埠 4500 上傳送及接收資料流量。

下列範例顯示設定 ENABLE_IPSEC_NAT_TRAVERSAL 變數時的過濾規則。


Dynamic rule 2:
Rule action          : permit
Source Address      : 0.0.0.0 (any)
Source Mask         : 0.0.0.0 (any)
Destination Address : 0.0.0.0 (any)
Destination Mask    : 0.0.0.0 (any)
Source Routing      : no
Protocol             : udp
Source Port         : 0 (any)
Destination Port    : 4500
Scope               : local
Direction             : inbound
Fragment control     : all packets
Tunnel ID number     : 0

Dynamic rule 3:
Rule action          : permit
Source Address      : 0.0.0.0 (any)
Source Mask         : 0.0.0.0 (any)
Destination Address : 0.0.0.0 (any)
Destination Mask    : 0.0.0.0 (any)
Source Routing      : no
Protocol             : udp
Source Port         : 4500
Destination Port    : 0 (any)
Scope               : local
Direction             : outbound
Fragment control     : all packets
Tunnel ID number     : 0

設定 ENABLE_IPSEC_NAT_TRAVERSAL 變數也會將一些其他過濾規則新增到過濾表格中。必須新增使用 UDP 封裝與過濾規則的特殊 IPSEC NAT 訊息，以利資料流量的傳輸。此外，在階段 1 中，要求採用簽章模式。若「IP 位址」在憑證中作為 ID 使用，應包含私人 IP 位址。

「IP 安全」也必須傳送 NAT 存活訊息，以維護原始「IP 位址」與 NAT 位址的對映。間隔是由 /etc/isakmpd.conf 檔案中 NAT_KEEPALIVE_INTERVAL 變數所指定。此變數指定傳送 NAT 存活封包的頻率 (以秒為單位)。若您沒有為 NAT_KEEPALIVE_INTERVAL 指定值，將使用預設值 20 秒。