MSR2600

您好，应该怎么写，典型案例吗？ rule 10 permit tcp source-port eq www destination 172.16.0.0 0.0.255.255 这样写是给80端口放行了吗

可以试一下

试了，还是不行，还有别的思路吗

服务器是在172.16.0.0/24吗？

服务器是在本地的，172.16.0.0是对端地址 本端ACL rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255 rule 5 permit ip source 100.0.0.0 0.0.0.255 destination 172.16.0.0 0.0.255.255 rule 10 permit tcp source-port eq www destination 172.16.0.0 0.0.255.255 对端ACL acl number 3000 rule 0 permit ip source 172.16.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 rule 5 permit ip source 172.16.0.0 0.0.255.255 destination 100.0.0.0 0.0.0.255

服务器地址是100.0.0.0网段的

对端的acl有一条指向100.0.0.0的，那个加端口号测试过吗？

这个acl加端口号的话要在哪里加？dest那边吗，那边不能输端口号了，是V5的设备

对端能ping通100.0.0.0这个地址段了吗？

带源地址172.16.x.x是可以ping通的

在对端的pc呢？

PC是可以通的，就是服务器端口访问不了

服务器端也可以ping通pc哦？

ping服务器的是ping内网的地址吧？

是的

有做过测试吗？就是把服务器的外网映射去掉后，可以访问吗？

没有把服务器外网映射去掉过，在运行中

加入了ipsec的pc用外网的地址和端口能访问吧？

加入ipsec的服务器都可以用外网地址加端口正常访问

我试了下。把外网映射去掉，内网可以正常访问- -

那就对了，晚点给你答复为什么会这样。稍等

IPSec穿越NAT存在的兼容性问题    IPSec作为一种重要的安全技术得到越来越广泛的应用，但客户网络边缘大量使用的NAT地址翻译*作可能影响到IPSec的正常*作。目前，NAT和IPSec之间存在的不兼容性问题可以分为以下三类：    1.NA(P)T固有的问题    这类不兼容问题是直接由NA(P)T与IPSec协议本身不兼容造成的，因此并不是所有的NA(P)T设备都存在。NA(P)T协议固有的不兼容性包括IPSec AH和NAT不兼容、NAT与校验和不兼容、IPSec SPI选择和NAT不兼容、IKE地址标识符和NAT不兼容、固定IKE目的端口和NAPT之间不兼容、重叠(Overlap)SPD条目和NAT间不兼容、嵌套IP地址和NAT不兼容以及NA(P)T隐含的方向性问题等。    2.NA(P)T实现方面的问题    这类不兼容问题虽然不是NA(P)T协议所固有的，但却在大量的NA(P)T实现中存在。它们不是NA(P)T协议的固有问题，因此原则上在以后的NA(P)T设计实现中可以避免其产生。但由于这些问题已经广泛存在，因此在NA(P)T穿越方案中必须予以考虑。NA(P)T实现方面带来的不兼容性包括不能处理非UDP/TCP通信流、NAT映射超时、不能处理输出和输入分片等。    3.辅助功能引入的问题    这类不兼容问题出现在那些拟解决IPSecNA(P)T穿越问题的NA(P)T设备中。在这些NAT设备中，由于设计部分穿越辅助功能而产生了新的不兼容性，造成更难于解决的问题。虽然不是所有的NA(P)T设备都提供这种所谓的辅助功能，但鉴于该类问题的普遍性，在NA(P)T穿越方案中也需要考虑这类问题。在IPSec和NAT的辅助功能之间存在的不兼容问题包括ISAKMP头部检查、对端口500的特殊处理及ISAKMP载荷检查等。 

针对这种情况，有考虑使用ipsec over gre这个方案吗？

有典型案例吗，现在还不需要保证内外网同时访问，但不确定什么时候就需要了

您邮箱多少？我自己整理一个给您发过去。

974055645@qq.com 不好意思，前面一直没看，如果可以，发我邮箱把，谢谢！