安全HCIP之NAT穿越
程序员文章站
2022-04-02 11:18:38
NAT穿越(NAT-T)NAT-T技术在IKE协商阶段通过探测报文来发现是否有NAT的存在;如果建立ipsec vpn的两端,其中发起端(拨号端)位于NAT后面(例如:二级运营商、出差人员位于宾馆内网、防火墙前面有其他安全设备、防火墙或者专业VPN设备放置于出口路由器后面且路由器配置了NAT)时,由于数据在传输过程中IP地址和端口发生了转换,导致ipsec数据完整性校验失败。此时可以采用NAT穿越技术(一般默认开启,不用做额外配置)增加新的UDP端口包头,是的ipsec数据校验正常,进而是的VPN运行...
NAT穿越(NAT-T)
- NAT-T技术在IKE协商阶段通过探测报文来发现是否有NAT的存在;
- 如果建立ipsec vpn的两端,其中发起端(拨号端)位于NAT后面(例如:二级运营商、出差人员位于宾馆内网、防火墙前面有其他安全设备、防火墙或者专业VPN设备放置于出口路由器后面且路由器配置了NAT)时,由于数据在传输过程中IP地址和端口发生了转换,导致ipsec数据完整性校验失败。此时可以采用NAT穿越技术(一般默认开启,不用做额外配置)增加新的UDP端口包头,是的ipsec数据校验正常,进而是的VPN运行正常;
- AH封装模式(不常用):校验IP和端口,无法支持NAT穿越;
- ESP封装模式:仅仅校验端口和data,支持NAT穿越
- IPSec NAT穿越原理:NAT-T技术在ESP封装和外层IP包头之间插入8个字节的UDP报文头,端口号为4500;
本文地址:https://blog.csdn.net/XiaoHG_CSDN/article/details/108992151
推荐阅读