描述IPSec安全协议——AH，说明AH的运行模式，并描述为什么在传输模式下AH与NAT冲突？

IPSec是一个开放式标准的框架。基于IETF开发的标准，IPSec可以在一个公共IP网络上确保数据通讯的可靠性和完整性。IPSec对于实现通用的安全策略所需要的基于标准的灵活的解决方案提供了一个必备的要素。
IPSec主要包括两个安全协议AH（Authentication Header）和ESP（Encapsulating Security Payload）及密钥管理协议IKE（Internet Key Exchange）。AH提供无连接的完整性、数据发起验证和重放保护。ESP 还可另外提供加密。密钥管理协议IKE 提供安全可靠的算法和密钥协商。这些机制均独立于算法，这种模块化的设计允许只改变不同的算法而不影响实现的其它部分。协议的应用与具体加密算法的使用取决于用户和应用程序的安全性要求。
由于IPsec的AH Tunnel/Transport Mode会针对整个封包（包括IP Header及Data Payload）做资料完整性的检查，因此，当作完IPsec-AH、又再执行NAT的Source IP/Port的转换后，此封包在抵达远端的IPsec Device时，AH的检验必定失败，因此IPsec-AH + NAT的结合方式将无法运作。

公司使用电信私有云服务，服务器在电信私有云平台，不支持***产品，需要自行搭建***站点，公司内部使用华为usg防火墙做为***网关。为解决公司到云平台网络互通，故决定使用ipsec搭建站点到站点***隧道。

服务器公网IP要作为我们的网关，需要将服务器开启转发：

加入此行 netipv4ip_forward = 1

利用iptables 实现nat MASQUERADE 共享上网

1、安装strongSwan，可以使用源码安装，但此次我们主要针对配置相关讲解，故使用yum安装

2、查看strongSwan版本，命令和结果如下：

3、安装完成先配置ipsecconf文件。

以下是真实的配置文件：

4、配置ipsecsecrets文件。

配置文件如下：PSK需要是大写，冒号前后需要有空格，密码需要有双引号

5、配置 sysctlconf文件

配置文件如下：

使配置生效：

6、启动服务：

IPSec监听在UDP的500和4500两个端口,其中500是用来IKE密钥交换协商,4500是nat穿透的。

7、设置开机自动启动

8、运行strongswan status，查看IPsec 状态已经建立。

9、运行ip xfrm policy，查看路由策略。可以看到路由已建立。

---