欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  科技

安全HCIP之NAT穿越

程序员文章站 2022-04-02 11:18:38
NAT穿越(NAT-T)NAT-T技术在IKE协商阶段通过探测报文来发现是否有NAT的存在;如果建立ipsec vpn的两端,其中发起端(拨号端)位于NAT后面(例如:二级运营商、出差人员位于宾馆内网、防火墙前面有其他安全设备、防火墙或者专业VPN设备放置于出口路由器后面且路由器配置了NAT)时,由于数据在传输过程中IP地址和端口发生了转换,导致ipsec数据完整性校验失败。此时可以采用NAT穿越技术(一般默认开启,不用做额外配置)增加新的UDP端口包头,是的ipsec数据校验正常,进而是的VPN运行...

NAT穿越(NAT-T)

  • NAT-T技术在IKE协商阶段通过探测报文来发现是否有NAT的存在;
  • 如果建立ipsec vpn的两端,其中发起端(拨号端)位于NAT后面(例如:二级运营商、出差人员位于宾馆内网、防火墙前面有其他安全设备、防火墙或者专业VPN设备放置于出口路由器后面且路由器配置了NAT)时,由于数据在传输过程中IP地址和端口发生了转换,导致ipsec数据完整性校验失败。此时可以采用NAT穿越技术(一般默认开启,不用做额外配置)增加新的UDP端口包头,是的ipsec数据校验正常,进而是的VPN运行正常;
  • AH封装模式(不常用):校验IP和端口,无法支持NAT穿越;
  • ESP封装模式:仅仅校验端口和data,支持NAT穿越
    • IPSec NAT穿越原理:NAT-T技术在ESP封装和外层IP包头之间插入8个字节的UDP报文头,端口号为4500;
    • 安全HCIP之NAT穿越

本文地址:https://blog.csdn.net/XiaoHG_CSDN/article/details/108992151

相关标签: 安全HCIP 网络