返回
ipsec穿越nat浅析

ipsec穿越nat浅析

ID:6357318

大小:1.50 MB

页数:32页

时间:2018-01-11

ipsec穿越nat浅析_第1页
ipsec穿越nat浅析_第2页
ipsec穿越nat浅析_第3页
ipsec穿越nat浅析_第4页
ipsec穿越nat浅析_第5页
资源描述:

《ipsec穿越nat浅析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、IPsec穿越NAT浅析上海博达公司数据通信有限公司2010年11月上海博达数据通信有限公司SHANGHAIBAUDDATACOMMUNICATIONCO.,LTD版本主要作者版本描述完成日期1.0.0闻凯华IPsec穿越NAT浅析2010-11-24目录1概述22技术介绍22.1IPsec和NAT之间的存在的矛盾22.2.ESP报文结构32.3.端口NAT流程32.4.检测NAT设备32.5.NAT穿越42.6.NATKeepalives42.7.两个Lifetime53.典型配置53.1典型配置示例(对应老版本IPsec模块)53.1

2、.1组网需求:53.1.2配置示例:63.1.3配置信息查看:93.1.4抓包分析交互过程:113.2典型配置示例(对应新版本IPsec模块)173.2.1组网需求:173.2.2典型实例配置:183.2.3配置信息查看:223.2.4抓包分析交互过程:274结束语29说明:29附录A缩略语30IPsec穿越NAT第31页上海博达数据通信有限公司SHANGHAIBAUDDATACOMMUNICATIONCO.,LTD1概述点对点的IPsecVPN在大型网络内部或者行业私网里面应用比较广泛。解决网络内部传输的部分数据需要加密,网络内部的点到

3、点设备需要身份验证的问题。而在一些企业中企业节点连接到Internet,用户打算在不改变原有的网络结构的同时,在内网新增一台VPN设备,实现与远端VPN设备之间的IPSecVPN。此时点到点的IPsecVPN显然无法满足,而IPsec穿越NAT技术却解决了这一问题。2技术介绍IPSec提供了端到端的IP通信的安全性,但在NAT环境下对IPSec的支持有限。从IPsec的角度上说,IPsec要保证数据的安全,因此它会加密和校验数据。而从NAT的观点来看,为了完成地址转换,势必会修改IP地址。当 NAT 改变了某个包的 IP 地址和(或)端口

4、号时,它通常要更新 TCP 或 UDP 校验和。当 TCP 或 UDP 校验和使用了 ESP 来加密时,它就无法更新这个校验和。由于地址或端口已经被 NAT 更改,目的地的校验和检验就会失败。虽然 UDP 校验和是可选的,但是 TCP 校验和却是必需的。ESP隧道模式将整个原始的IP包整个进行了加密,且在ESP的头部外面新加了一层IP头部,所以NAT如果只改变最前面的IP地址对后面受到保护的部分是不会有影响的。因此,IPsec只有采用ESP的隧道模式来封装数据时才能与NAT共存。2.1IPsec和NAT之间的存在的矛盾(1)从IPsec的

5、角度上说,IPsec要保证数据的安全,因此它会加密和校验数据。IPSec提供了端到端的IP通信的安全性,但在NAT环境下对IPSec的支持有限,AH协议是肯定不能进行NAT的了,这和AH设计的理念是相违背的;ESP协议在NAT环境下最多只能有一个VPN主机能建立VPN通道,无法实现多台机器同时在NAT环境下进行ESP通信。(2)从NAT的观点来看,为了完成地址转换,势必会修改IP地址。当 NAT 改变了某个包的 IP 地址和(或)端口号时,它通常要更新 TCP 或 UDP 校验和。当 TCP 或 UDP 校验和使用了 ESP 来加密时,它

6、就无法更新这个校验和。由于地址或端口已经被 NAT 更改,目的地的校验和检验就会失败。虽然 UDP 校验和是可选的,但是 TCP 校验和却是必需的。IPsec穿越NAT第31页上海博达数据通信有限公司SHANGHAIBAUDDATACOMMUNICATIONCO.,LTDESP封装的隧道模式:从ESP隧道模式的封装中,我们可以发现,ESP隧道模式将整个原始的IP包整个进行了加密,且在ESP的头部外面新加了一层IP头部,所以NAT如果只改变最前面的IP地址对后面受到保护的部分是不会有影响的。因此,IPsec只有采用ESP的隧道模式来封装数据

7、时才能与NAT共存。由于完整性校验牵涉到IP头部,所以NAT无法对其修改,不兼容。ESP的传输模式,因为TCP部分被加密,NAT无法对TCP校验和进行修改,不兼容。ESP的隧道模式,由于NAT改动外部的IP而不能改动被加密的原始IP,使得只有这种情况下才能与NAT共存。2.2.ESP报文结构ESP是一种安全封装协议,对应的协议号为50。用于为IP提供机密性、数据源验证、抗重播以及数据完整性等安全服务。ESP可用来保护一个上层协议(传输模式)或一个完整的IP数据包(隧道模式)。ESP报文的协议相关部分分为两部分:ESP协议头部和尾部。ESP

8、不保护报文位于ESP协议头部前面的部分。ESP的隧道模式下的报文格式:2.3.端口NAT流程NAT设备收到私网侧主机发送的访问公网侧服务器的报文。NAT设备从地址池中选取一对空闲的“公网IP地

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。