如图1所示，在分支机构端，公网网关不是Router A，而是一个NAT设备，即分支机构通过NAT网关接入Internet。现在希望分支机构所连接的内部子网能与公司总部所连接的内部子网进行安全通信。分支机构Router A连接的内部子网为2.0.0.2/24，公司总部Router B所连接的内部子网为1.0.0.2/24。

　　本示例有一个特殊性，即分支机构与总部的通信不是直接进行的shadowrocket替代，而是经过一个NAT设备进行地址转换，此时需要配置NAT穿越功能才能建立IPSec隧道。因此本示例在配置时要注意以下几个方面。

　　因为分支机构部署了NAT网关，分支机构发送的报文在经过NAT网关时，源IP地址会发生变化，这其实与分支机构网关IP地址无法确定的情形类似，所以本示例分支机构端总是作为发起方，采用ISAKMP方式建立安全策略，而总部网关端总是作为响应方，采用策略模板方式来创建安全策略。在总部网关端也可以不配置用于定义需要保护的数据流的ACL。

　　在IKE对等体配置方面，同样由于分支机构部署在NAT网关后面，导致其发送的数据报文源IP地址发生了改变，因此在采用预共享密钥认证方式下，不能再以IP地址来作为身份标识了，而要以名称（name）或域名（dn）方式进行标识，还可采用数字签名或数字信封认证方式的证书来进行身份验证。

　　（1）配置Router A和Router B内/外网的接口IP地址，以及到达对端（分支机构Router A的对端是NAT网关，总部Router B的对端是分支机构Router A所连接的两个子网）的静态路由。

　　（2）在Router A配置ACL，以定义到达总部子网需要IPSec保护的数据流，在总部Router B可不配置，直接采用Router A上的镜像配置。

　　如果采用缺省的预共享密钥认证方法，两端均要采用名称作为ID类型，而在分支机构端还要同时指出对端的IP地址。另外，当ID类型为名称时只能选择野蛮模式进行IKESA协商。

　　（5）分别在Router A和Router B上配置安全策略，确定对何种数据流采取何种保护方法。其中Router B采用策略模板方式创建安全策略，固定作为响应方，因为此时可以看作是分支机构网关的IP地址不固定情形。

　　（6）在两端连接公网侧的接口上应用以上创建的安全策略组，使得从这些接口发送的兴趣流可被IPSec保护。

　　# 在Router A上配置到对端（NAT网关）的缺省路由，此处假设到对端下一跳地址为192.168.0.1。

　　# 在Router B上配置到对端（分支机构Router A所连接的两个子网）的静态路由，此处假设到对端下一跳地址为1.2.0.2。

　　（2）在Router A上配置ACL，定义由分支机构子网2.0.0.0/24到达总部子网1.0.0.0/24的数据流。因为总部网关采用策略模板来创建安全策略，所以总部网关上不需要配置。

　　（3）分别在Router A和Router B上创建IPSec安全提议。因为缺省的安全提议配置即可满足本示例需求，所以在创建安全提议后可以直接采用缺省配置。

　　（4）分别在Router A和Router B上配置IKE对等体。注意，此时要采用名称作为ID类型，而且分支机构还要明确指定总部网关的IP地址。两端配置的IKEv1 SA的协商模式必须为野蛮模式，启用NAT穿越功能，使得ESP报文可以通过NAT网关# 在Router A上配置IKE对等体。

　　（5）分别在Router A和Router B上创建安全策略，引用前面创建的IKE对等体、用于定义需要保护的数据流的ACL（仅分支机构端需要）和IPSec安全提议。分支机构端采用ISAKMP方式创建，而总部端采用策略模板方式创建。

　　（6）分别在Router A和Router B连接公网侧的接口上应用各自的安全策略组使接口具有IPSec的保护功能。