度精品MSR系列路由器IPSecVPN多分支NAT模板穿越功能的配置（完整版）(文档可以直接使用，也可根据实际需要修改使用,可编辑欢迎下载）MSR系列路由器GREOverIPSec+OSPF穿越NAT多分支互通关键词：MSR;IPSec;IKE;野蛮模式;模板;VPN;多分支互通;NAT;穿越;OSPF;GRE一、组网需求：总部对多个分支提供IPSecVPN接入，分支出口存在NAT设备，因此总部与分支之间配置成野蛮模式和NAT穿越，总部路由器不配置ACL，而使用安全模板，总部和分支之间通过内网Loopback建立GRE隧道，分支通过建立ACL使分支Loopback和总部Loopback之间的GRE通过IPSec互通，建立好GRE隧道后，在隧道上运行OSPF，使各内部路由互通，分支之间的流量通过总部转发，需要注意的是Loopback口不能添加到OSPF中设备清单：MSR系列路由器5台二、组网图：三、配置步骤：Center的配置#//本地IKE名字ikelocal-namecenter#//配置到分支1的IKEPeerikepeerbranch1//配置成野蛮模式exchange-modeaggressive//配置预共享密钥pre-shared-keyh3c-msr-branch1//使用名字作为身份标识id-typename//配置对端名字remote-namebranch1//配置NAT穿越nattraversal#//配置到分支1的IKEPeerikepeerbranch2//配置成野蛮模式exchange-modeaggressive//配置预共享密钥pre-shared-keyh3c-msr-branch2//使用名字作为身份标识id-typename//配置对端名字remote-namebranch2//配置NAT穿越nattraversal#//配置默认安全提议ipsecproposaldefault#//配置分支1的安全模板，序号1ipsecpolicy-templatebranch11//指定IKEPeerike-peerbranch1//指定安全提议proposaldefault#//配置分支2的安全模板，序号1ipsecpolicy-templatebranch21//指定IKEPeerike-peerbranch2//指定安全提议proposaldefault#//根据安全模板branch1创建安全策略branch序号1ipsecpolicybranch1isakmptemplatebranch1#//根据安全模板branch2创建安全策略branch序号2ipsecpolicybranch2isakmptemplatebranch2#//总部外网接口G0/0interfaceGigabitEthernet0/0portlink-moderoutecomboenablecopper//外网接口地址ipaddress//绑定安全策略ipsecpolicybranch#interfaceGigabitEthernet0/1portlink-moderoute//总部内网接口地址#//.0/8网段为分支1转换后的出口地址网段，为分支1的NAT设备iproute-static//.0/8网段为分支2转换后的出口地址网段，为分支2的NAT设备iproute-static网段为分支1内网网段，.1为分支1的NAT设备iproute-static192.168.1.0255.255.255.0.1网段为分支2内网网段，.2为分支2的NAT设备iproute-static192.168.2.0255.255.255.0.2#Branch1配置#//分支1本地的IKE名字ikelocal-namebranch1#//配置到总部的IKEPeerikepeercenter//使用野蛮模式exchange-modeaggressive//配置预共享密钥，与总部配置一致pre-shared-keyh3c-msr-branch1//使用名字作为身份标识id-typename//配置对端名字remote-namecenter//指定对端IP地址，因为总部路由器出接口地址不变remote-address.60//配置NAT穿越nattraversal#//默认的安全提议ipsecproposaldefault#//到总部的安全策略，序号1ipsecpolicycenter1isakmp//指定ACLsecurity