NAT穿越技术解决的问题：

　　正常ipsec vpn产生的esp包是无法穿越pat的，因为esp没有四层的端口信息，所以无法实现pat转换。为了解决这个问题产生了nat穿越技术，nat穿越技术整体的思想就是把esp的流量封装在udp或者tcp的包里边来穿越pat设备，这样就克服了esp不能穿越pat设备的问题。

　　7.0后所支持的所有nat穿越技术：

   1. ipsec-over-tcp        Cisco私有技术
   2. nat-t                        标准的技术
   3. ipsec-over-udp        Cisco私有技术

　　nat穿越技术的优先顺序：ipsec-over-tcp | nat-t | ipsec-over-udp

　　PIX和ASA默认情况和vpn3000一样没有打开任何nat穿越技术，但12.3以后的router默认是打开了nat-t功能的。

　　Ipsec-over-tcp的介绍：只支持client方式

　　技术特点：把esp包封装在预先定义的tcp端口号内进行传输。

　　具体流量：在启用ipsec-over-tcp后，所有ipsec相关的包都被封装到了tcp的流量里边，包括isakmp和esp的包，在整个传输过程中不会出现udp/500的isakmp包。

　　配置命令：

Server端：
Pixfirewall(config)#isakmp ipsec-over-tcp port 1001 1002 1003 (up to 10);
Client端：
需要在transport面板里边设置ipsec-over-tcp并且需要定义一个与server端相同的端口号
IPSec over TCP    TCP Port  1003

　　Nat-t的介绍：支持client,L2L 两种方式

　　技术特点：把esp包封装在4500的udp端口号内进行传输。

　　具体流量：在启用nat-t后，依然存在isakmp的包（6个主模式，3个快速模式，端口号为500），只是后来的esp包被封装在了4500的udp端口号里边进行传输。

　　配置命令：

Server端：
Pixfirewall(config)#isakmp nat-traversal
Client端：
软件client端不需要额外配置

　　ipsec-over-udp的介绍：只支持client方式

　　技术特点：把esp包封装预先定义的udp端口号内进行传输，缺省端口udp 10000

　　具体流量：在启用ipsec-over-udp后，依然存在isakmp的包（6个主模式，3个快速模式，端口号为500），只是后来的esp包被封装在了server端预定义的一个特定udp端口号里边进行传输。

　　配置命令：

Server端：
Pixfirewall(config)#group-policy split external/internal
Pixfirewall(config-group-policy)#ipsec-udp enable
Pixfirewall(config-group-policy)#ipsec-udp-port 5000
Client端：
软件client端不需要额外配置