全国直销电话:4006-854-568
IT-technology
以人为本,众志成城,以“用户至上”.“服务上乘”为原则,
追求产品和服务高质量,努力实现与客户之间真诚有效的沟通,
不断地圆梦、奔跑与腾飞。
新闻动态   NEWS
当IPSec遇上NAT之问题的解决之道-北京赛维博信科技发展有限公司
来源:本人摘自网络,如有侵权请联系删除 | 作者:毛豆 | 发布时间: 2024-07-08 | 564 次浏览 | 分享到:


如果IPSec对等体使用的是UDP封装传输模式,双方会通过快速模式的1/2个包各自发送NAT-OAi和NAT-OAr。NAT-OAi是的负载内容是IKE初始方的IP地址;NAT-OAr是IKE响应方的IP地址。如果IKE响应一侧存在NAT/PAT设备,对于IKE初始方来说NAT-OAr内的IP地址为响应方的公网地址;如果IKE初始方一侧存在NAT/PAT设备,对于IKE响应方来说NAT-OAi内的IP地址为初始方的公网地址。

NAT-OA交互过程

通过交互NAT-OA负载,存在NAT/PAT设备一侧的对等体就能够获知其经过NAT/PAT转换后的公网地址。虽然传输模式下,NAT/PAT设备在对IP头中地址进行转换后无法更新载荷内的TCP/UDP校验和,但数据发送方通过NAT-OA获悉了转换后的公网地址,因此数据发送方可以替代NAT/PAT设备根据转换后的IP地址提前更新TCP/UDP报文中的校验和。根据转换后的IP地址,数据发送方可以采用增量更新TCP/UDP校验和,也可以重新计算TCP/UDP校验和。TCP/UDP校验和更新后再交由ESP协议进行加密和哈希计算等处理,这样就避免了数据接收方TCP/UDP校验失败。

至此,通过NAT-T技术无论是传输模式还是隧道模式的ESP报文都能够穿越NAT/PAT设备,实现ESP协议与NAT/PAT共存。另一种实现ESP协议与NAT/PAT共存的技术是IPSec over UDP,它与NAT-T类似都是将ESP报文封装到UDP中,但NAT-T只有在对等体间存在NAT/PAT设备时才会采用UDP封装模式,而IPSec over UDP无论对等体间是否存在NAT/PAT设备,都会把ESP报文封装到UDP中。对于IPSec over UDP的工作原理这里就不做介绍了,有兴趣的朋友可以查找相关资料。



 

服务热线

1391-024-6332