返回
ipsec与nat之间的兼容性分析和解决方案

ipsec与nat之间的兼容性分析和解决方案

ID:34097246

大小:61.48 KB

页数:4页

时间:2019-03-03

ipsec与nat之间的兼容性分析和解决方案_第1页
ipsec与nat之间的兼容性分析和解决方案_第2页
ipsec与nat之间的兼容性分析和解决方案_第3页
ipsec与nat之间的兼容性分析和解决方案_第4页
资源描述:

《ipsec与nat之间的兼容性分析和解决方案》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、IPSec与NATZ间的兼容性分析和解决方案IPSec与NAT之间的兼容性分析和解决来源:现代电子技术作者:浙江理工大学信息电子学院孙利君杨东鹤时间:2007-07-05网络安全协议IPSec(IPSecurity)和网络地址转换NAT(NetworkAddressTranslation)己经得到了广泛的应用,但是如果一起运行的话,会遇到很多问题。从IP的角度来看,NAT对IP的低层进行了修改,对IP协议来说是一种背离;而从应用的角度來看,网络管理人员必须要处理网络地址的问题,NAT使用户可以采取多种方式把自己的网络和

2、主机对外部公共网络隐藏起来,是一种好的工具,现在,无论是大企业还是中小企业都在使用。与NAT、类似,IPSec:也是一种好工具,他使用户可以安全地通过Internet连接到远程终端。然而,山于IPSec协议架构本身以及缺乏支持IPSec的NAT设备,当IPSec和NAT在--起运行时就会出现很多问题。要解决两者共存的问题,就必须对IPSec和NAT有一定的了解。2IPSec和NAT的工作原理2.1NAT技术简介NAT(NetworkAddressTranslation,网络地址转换)实现的核心是把内部子网中的数据报文的

3、保留TP地址报头信息转换为外部合法的TP地址再向外部网络发送,在收到外部数据报文后,根据NAT设备维护的地址映射表用内部保留地址反向替换外部合法IP地址,使得内部子网中机器能收到数据报文信息。NAT有3种类型:静态NAT(StaticNAT)、动态地址NAT(PooledNAT)、网络地址端口转换NAPT(Port-LevelNAT)0但不管如何,NAT协议都会分析TP数据报的报头,匹配地址转换表中的规则,修改满足匹配规则的IP数据报报头。并根据协议的需要重新计算IP数据报的校验和。例如:対TCP包,宙于存在TCP报头

4、伪头,其内包含相应的地址信息,NAT还必须修改TCP报头并重新计算其校验和。2.2IPSec协议IPSec:协议不是一个单独的协议,他给出了应用于IP层上网络数据安全的--整套体系结构,包括网络认证协议AuthenticationHeader(AH)、封装安全载荷协议EncapsulatingSecurityPayload(ESP)、密钥管理协议InternetKeyExchange(IKE)和用于网络认证及加密的一些算法等。其中AH协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP协议定义了加密和可选认证的

5、应用方法,提供可靠性保证。AH和ESP可以单独使用,也可以同时使用。IPSec模式有两种,分别是传输模式和隧道模式,图1是用ESP在两种不同的模式下对IP数据报进行封装。3IPSec与NAT的兼容性问题NAT与IPSec的兼容性问题主要有以下儿个方面:(1)IPSec的AH与NAT。AH封装对IP包的完整性保护包括了最外层IP头屮的IP地址域。而NAT需要修改IP地址域以进行地址转换,这样就会导致All包无效。由于ESP封装并不对最外层IP头进行加密,完整性计算也不包括最外层TP头中的域,因此,这种修改并不会影响ESP

6、封装。(2)校验和与NAT。在传输模式中,如果IP包中封装的上一层协议(传输层)是TCP或者UDP,在这些协议的协议头中都有一个校验和字段,他和IP头中的IP地址有关。在NAT的处理中,当NAT更改了IP头中的源地址或者El的地址后,会重新计算并修改传输层的校验和字段。这样NAT如果按普通的处理更改该字段,这个IP包就会被对方的IPSec丢弃。如果不修改该字段的值,在接收端,虽然IPSec不会丢弃这个包,但传输层在进行校验和校验时会出错,这个报文述是会被传输层丢弃。对于隧道模式,不存在这个问题。(3)IPSec:与NA

7、PT(NAT端口映射)。NAPT需要更改传输层的端口号。如果一个IP包受到了IPSec的保护,传输层的端口号一定会受到完整性保护,在NAPT对端口号进行修改后,该IP包就会被接收方的IPSec丢弃。(DIKE协商时的固定日标端口和NAPToNAPT的工作原理是通过不同的端口号来区分不同的连接。1KE协商时,进行的UDP通信的端口号一般是固定的(通常是500),这时就会出现问题。(5)在隧道模式的ESP情况下,TCP/UDP报头是不可见的,因此不能被用于进行内外地址的转换,而此时静态NAT和ESFIPSec可以一起工作,

8、因为只有IP地址要进行转换,对高层协议没有影响。4.IPSec穿越NAT的解决方案在IPSec:中,SA的管理可通过IKE自动协商来完成。需要IKE协商和UDP封装两种方法配合起来使用,以完成IPSec穿越NAT。4.1IKE协商4.1.1阶段一(1)探测是否支持IPSec-_NAT穿越在IKE的第一阶段协商(主模式)屮的前•两条

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。