[问题求助]询问关于NAT与IPSEC共存的问题 [复制链接]

linux作nat网关，如何配置才能允许网内与外部建.立ips.ec的vpn连接。学习

在网上看到的：
                                                                  
　　　　为了解决ESP IPsec和NAPT共用的问题，
个工作站来运行IKE，以处理所有的IPsec分组，但
通过端口号500传送数据进行协商，将所有进入到N
将所需的IPsec数据送回到客户端。为了使NAPT正
号是惟一的。因此，我们可以使用IKE来进行协商
为了在两个主机之间传送IPsec流量，我们需要使
，它们互相交换SPI。NAPT设备将这一对SPI数字映
映射到一个内部IP地址，因为NAPT设备要通过它来
        设备生产商提出了多种解决方法。简单的办法是专门用一
这样只允许一个IPsec VPN通过NAPT。客户端可以一开始
APT设备的IPsec分组传送到指定的主机，同时使NAPT设备
常工作，必须保证内部网络和外部网络之间转换的源端口
，IKE采用UDP的500端口，所以不需要任何的特殊处理。
用SPI。每个SA都有SPI，在VPN安装过程中进行IKE协商时
射到NAT内的相关的VPN终端。IPsec 客户端选择的SPI要
确定将流入的流量传送到哪里。
        

　　　　几点值得注意：1．这
IPsec VPN；2．必须要设置IPse
和协议号来查找IPsec分组所属
这个地址进行协商；3．许多IKE
IPsec网关与NAPT IP地址之间的
        种解决争端的方法只适用于位于NAPT
c网关，用NAPT网关给出的某个IP地
的SA，因为IPsec网关只是通过NAPT
鉴定是通过IP地址相关的预先设定或
协商。
        设备之外的IPsec 客户端来初始化
址进行IKE协商。ESP用SPI、目的地址
地址来确定IPsec客户端，它必须使用
者与密码来进行处理的，因此必须设置

这个我也看到了，但有谁确实实践过，能不能说一下过程。