NAT穿越（NAT-T）

• NAT-T技术在IKE协商阶段通过探测报文来发现是否有NAT的存在；
• 如果建立ipsec vpn的两端，其中发起端（拨号端）位于NAT后面（例如：二级运营商、出差人员位于宾馆内网、防火墙前面有其他安全设备、防火墙或者专业VPN设备放置于出口路由器后面且路由器配置了NAT）时，由于数据在传输过程中IP地址和端口发生了转换，导致ipsec数据完整性校验失败。此时可以采用NAT穿越技术（一般默认开启，不用做额外配置）增加新的UDP端口包头，是的ipsec数据校验正常，进而是的VPN运行正常；
• AH封装模式（不常用）：校验IP和端口，无法支持NAT穿越；
• ESP封装模式：仅仅校验端口和data，支持NAT穿越
  • IPSec NAT穿越原理：NAT-T技术在ESP封装和外层IP包头之间插入8个字节的UDP报文头，端口号为4500；
  • 

本文地址：https://blog.csdn.net/XiaoHG_CSDN/article/details/108992151