（可选）配置NAT穿越功能（NAT穿越(NAT-T)）命令：ipsec nat-traversal source-port xxxx

（可选）配置NAT穿越功能（NAT穿越(NAT-T)）

背景信息 

部署IPSec VPN网络时，如果发起者位于一个私网内部，远端位于公网侧，而它希望与远端响应者直接建立一条IPSec隧道。为保证存在NAT设备的IPSec隧道能够正常建立，这就涉及到IPSec的NAT穿越问题，如图所示。

IPSec的NAT穿越

由于AH对数据进行的完整性检查会对包括IP地址在内的整个IP包进行Hash运算，而地址转换会改变IP地址，从而破坏AH的Hash值。因此使用AH的IPSec隧道无法穿越NAT设备。

ESP对数据进行的完整性检查不包括外部的IP头，若只进行地址转换时，ESP可以正常工作。但ESP是三层协议，无法设置端口，所以执行允许端口转换的NAT时ESP也存在问题。NAT穿越采用了增加UDP头封装ESP报文的方法解决这个问题。传输模式下，NAT穿越在原报文的IP头和ESP头间增加一个标准的UDP报头；隧道模式下，NAT穿越在新IP头和ESP头间增加一个标准的UDP报头。这样，当ESP报文穿越NAT设备时，NAT设备对该报文的外层IP头和增加的UDP报头进行地址和端口号转换；转换后的报文到达IPSec隧道对端后，与普通IPSec处理方式相同。

NAT设备上的NAT会话表项有一定的存活时间，如果IPSec隧道建立后长时间没有报文进行NAT穿越，NAT设备会删除该NAT会话表项，这将导致在NAT设备外网侧的对等体无法继续传输数据。为防止NAT表项老化，NAT设备内网侧的IKE SA会以一定的时间间隔向对端发送NAT Keepalive报文，以维持NAT会话的存活。

配置NAT穿越功能时，使用的IPSec安全提议ipsec proposal只支持ESP安全协议。AH协议对IP报文的验证范围涵盖了整个IP报文，对IP报文头的任何修改将导致AH的完整性校验失败，因此使用AH协议保护的IPSec隧道不能穿越NAT。

操作步骤
（1）执行命令system-view，进入系统视图。
（2）执行命令ike peer peer-name，创建IKE对等体并进入IKE对等体视图。
（3）执行命令nat traversal，使能NAT穿越功能。
    缺省情况下，NAT穿越功能处于开启状态。
（4）执行命令quit，退回至系统视图。
（5）执行命令ipsec nat-traversal source-port port-number [ port-number2 ]，配置IPSec NAT穿越的端口号。
    缺省情况下，IPSec NAT穿越的端口号为4500。
（6）执行命令ike nat-keepalive-timer interval interval，配置IKE发送NAT Keepalive报文的时间间隔。
    缺省情况下，设备发送NAT Keepalive报文的时间间隔为20秒。

命令：ipsec nat-traversal source-port port-number [ port-number2 ]
port-number     指定IPSec NAT穿越的UDP端口号。     整数形式，取值范围是4501～49151。
port-number2     指定IPSec NAT穿越的结束UDP端口号。     整数形式，取值范围是4501～49151。

使用指南
缺省情况下，IPSec NAT穿越的UDP端口号为4500，用户需要使用其他IPSec NAT穿越的UDP端口号时，可以执行命令ipsec nat-traversal source-port进行配置。
配置多个UDP端口号时，设备收到IPSec协商报文后，会从最小的端口号依次尝试，直至UDP端口号匹配成功。

使用实例
# 配置IPSec NAT穿越的UDP端口号。
<sysname> system-view
[sysname] ipsec nat-traversal source-port 4510


使用实例
# 配置NAT穿越的UDP端口号范围10000至10005。
<sysname> system-view
[sysname] ipsec nat-traversal source-port 10000 10005