Leaflet
10-6
思科 ASA 系列命令参考,A 至 H 命令
第 10 章 crypto isakmp disconnect-notify 至 cxsc auth-proxy port 命令
crypto isakmp nat-traversal
crypto isakmp nat-traversal
要全局启用 NAT 穿越,请确认已在全局配置模式下启用 ISAKMP(可使用 crypto isakmp enable
命令启用)。要禁用 NAT 穿越,请使用此命令的 no 形式。
crypto isakmp nat-traversal natkeepalive
no crypto isakmp nat-traversal natkeepalive
语法说明
默认值 默认启用 NAT 穿越。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 NAT(包括 PAT)用于许多也使用 IPsec 的网络,但存在许多不兼容,使 IPsec 数据包无法成功穿
越 NAT 设备。NAT 穿越使 ESP 数据包可通过一个或多个 NAT 设备。
ASA 支持 NAT 穿越,如 IETF“UDP Encapsulation of IPsec Packets”(IPsec 数据包的 UDP 封
装)草案的第 2 版和第 3 版(可在 http://www.ietf.org/html.charters/ipsec-charter.html 下载)所
述,并且动态和静态加密映射均支持 NAT 穿越。
此命令在 ASA 上全局启用 NAT-T。要在加密映射条目中禁用,请使用 crypto map set
nat-t-disable 命令。
示例 以下示例在全局配置模式下输入,它先启用 ISAKMP,再设置保持连接间隔为 30 秒的 NAT 穿越:
ciscoasa(config)# crypto isakmp enable
ciscoasa(config)# crypto isakmp nat-traversal 30
natkeepalive
设置 NAT 保持连接的间隔时间:10-3600 秒。默认值为 20 秒。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是
—
• 是 • 是
—
版本 修改
7.0(1)
引入了 isakmp nat-traversal 命令。
7.2.(1)
crypto isakmp nat-traversal 命令取代了 isakmp nat-traversal 命令。
8.0(2)
默认启用 NAT 穿越。
9.0(1)
增加了多情景模式支持。