4、测试
① 测试 R1、R5 背后的企业网互访时是否加密。
明显看到 R1、R5 背后的企业网互访时是加密的。② 测试 R1、R5 背后的企业网访问 ISP 网络时是否加密。
由于要 R5 的 e0/1 上进行了 NAT 转换,故抓包时使用的是 R5 的 e0/1 接口上的地址做为源地址。
③ 使用 R1 的 loopback0 访问 R5 的公网地址(即 R5 的 e0/1 接口)。
明显看到 R1 背后的企业网访问另一侧的边界路由器 R5 的公网 IP 时,还是加密的。
从抓包中可以看,企业网内部的 PC 访问公网中的任何地址时,不会对流量加密。
至此,带 NAT 功能的 IPSEC 配置完成,并且保证了该加密的流量,不该加密的不加密,综合考虑了效率和安全的需求。
最后思考:为什么可以在 GRE OVER IPSEC 中可以带上 NAT?
因为当 R1 背后的企业网访问公网中时,经过 NAT 转换,源 IP 地址转换为 R1 的公网 IP— —12.1.1.1/24,而目标地址却为公网中的 IP 地址,即并非为 R5 侧的企业网地址 5.5.5.0/24,故不会被访问控制列表 R1TOR5 抓取,这样就不会被加密。
而当 R1 背后的企业网访问 R5 背后的企业网时,则由于 R1 上定义了去往 R5 背后企业网的静态路由Ip route 5.5.5.0 255.255.255.0 tunnel 15 。故该流量会走 tunnel15,而走 tunnel15 时,必会带上 GRE 头部和 tunnel15 的源、目地址,即会加上 R1 的 e0/0 和 R5 的 e0/1 地址,这样,就会被 R1TOR5 抓取,这样就会进行加密。
