VPN（虚拟专用网络）详解：原理、隧道技术（四）IPSec配置实例

IPSec配置实例-NAT下无公网IP配置

网络拓扑图如下：

VPN两端路由器WAN口需要公网IP，如没有公网IP则需要考虑NAT下的IPSec应用，普通设置和有公网下的设置一样，主要设置区别在高级设置中，点开高级设置，首先阶段1设置中，本地/对端ID类型选择NAME，其次，由于 NAT模型与IPSEC中的AH协议的设计理念是完全相违背的，所以，阶段2设置中，在选择IPSEC协议的的时候，只能选择ESP协议。

阶段2设置如图：

配置好后，将北京，上海的vpn设置中的高级设置与深圳保持一致即可。

注意：路由器搭建ipsec时ike协商模式为响应者模式，且前端有nat设备，需在前端nat设备里做映射。（映射端口为500和4500）