防火墙——NAT穿越(IPSec3)
目录
为什么需要NAT穿越技术
NAT穿越报文
如何判断是ISAKMP报文还是ESP报文
NAT穿越协商-四步协商
注意事项
什么情况下使用NAT穿越技术
部署IPSec VPN网络时,如果发起者位于一个私网内部,远端位于公网侧,而它希望与远端响应者直接建立一条IPSec隧道。
为保证存在NAT设备的IPSec隧道能够正常建立,这就涉及到IPSec的NAT穿越问题
为什么需要NAT穿越技术
从IKE、IPSec协商方面讨论
- IKE、IPSec协商是通过ISAKMP消息进行传输的,ISAKMP由UDP封装,源目端口都为500(加密报文不会加密IP头和UDP端口号),ISAKMP消息可以进行NAT转换
从IPSec数据传输方面讨论
- IPSec数据传输是通过安全协议传输的。安全协议AH不论是在传输模式还是隧道模式下,都会认证整个IP包,由于NAT会改变IP头,影响Hash计算,使用AH协议无法进行NAT转换
- 安全协议ESP在传输模式下进行NAT转换,会修改原始IP,所以ESP传输封装模式无法进行NAT转换。
总结
- 由以上可知,ESP隧道模式可以进行NAT转换,但是ESP协议会加密TCP头部,不会认证最外层头部。无法进行端口转换。此时就需要NAT穿越技术来解决这个问题
- 为了解决ESP无法进行端口转换的问题,就通过NAT穿越添加UDP报文头来解决端口转换的问题
- 综上所述,使用ESP+隧道封装+NAT穿越来解决私网通过NAT和公网建立隧道的问题
NAT穿越报文
对于ISAKMP报文,报文没有变化,只是IKE第一阶段之后的报文就会将其端口修改为4500
(私网发给公网的目的端口是4500,公网发给私网的源端口4500)
对于ESP报文,会在ESP头和原始IP头之间加入端口为4500的UDP头部
如何判断是ISAKMP报文还是ESP报文
ISAKMP报文——在UDP头后有一个Non-ESP Marker字段
ESP报文——SPI不为0
NAT穿越协商-四步协商
1.在IKE协商第一阶段中(IKEv1为例子),通过IKE的Vender ID进行判断设备是否支持NAT穿越
2.在IKE协商第一阶段中(IKEv1为例子),通过NAT-D负载来判断IPSec对等体之间是否存在NAT设备
(将源目IP、端口进行Hash计算,发送给对端进行对比)
3.在IKE协商第一阶段中(IKEv1为例子),测试UDP4500端口是否可用
4.在IKE协商第二阶段中(IKEv1为例子),协商NAT功能是否启用
注意事项
- NAT穿越设备两端都要配置(内网设备和公网设备)——当内网设备不支持NAT穿越时,在NAT设备上开启ESP NAT就可以
- 当使用IP地址做标识时,公网设备要指定内网转换后的地址
- 当做静态NAT,不转换端口时,也要开启NAT穿越,负责IPSec SA起来了,但是流量数据过不去
IPSecNAT穿越实验配置_多谢思考的博客-CSDN博客https://blog.csdn.net/m0_49864110/article/details/124924141?spm=1001.2014.3001.5502
防火墙——NAT穿越(IPSec3)相关推荐
- P2P技术详解(三):P2P中的NAT穿越(打洞)方案详解(进阶分析篇)
目录 1.NAT和NAPT 2.NAT带来的问题 3.P2P通信穿越NAT的技术.方法 4.NAT穿越技术1:应用层网关 4.1.原理 4.2.限制 5.NAT穿越技术2:中间件技术 5.1.原理 5 ...
- p2p网络中的NAT穿透技术----常见NAT穿越解决方案
p2p网络中的NAT穿透技术----常见NAT穿越解决方案 常见NA丁穿越解决方案 NAT技术在缓解IPv4地址紧缺问题.构建防火墙.保证网络安全等方面都发挥了重要 作用.然而,NAT设备的广一泛存在 ...
- P2P中的NAT穿越方案
P2P简介 P2P即点对点通信,或称为对等联网,与传统的服务器客户端模式(如下左图所示)有着明显的区别.P2P可以是一种通信模式.一种逻辑网络模型.一种技术.甚至一种理念.在P2P网络中(如下右图所示 ...
- 华为防火墙NAT策略
前言:NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术 文章目录 一.理论 1.NAT分类 1)NAT NO-PAT 2)N ...
- DDNS的NAT穿越问题
关于本文更详细的内容,欢迎关注我的个人网站<程序员网> 首先介绍一下问题的背景: (1)本人想要几个服务器做测试,所以打算在家里搭几个服务器.(当然,可以选择vps之类,但这不符合极(di ...
- NAT穿越(NAT-T)原理
IPSec NAT 穿越简介 IPSec NAT穿越的场景: 本质上解决ESP协议无法提供转换端口,插入UDP 4500端口 有以下两种场景,需要进行进行NAT穿越. 场景一.FW既做IPSEC网关, ...
- 华为防火墙NAT策略原理+实验验证!
文章目录 前言 一:华为防火墙的NAT分类 1.1:NAT NO-PAT 1.2:NAPT 1.3:出接口地址( Easy-IP) 1.4:NAT Server 1.5:Smart NAT 1.6:三 ...
- IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 USG5500A 与USG5500C.USG5500D建立IPSEC VPN Tunnel,其中USG5500C穿越USG5500B NAT ...
- P2P 中的 NAT 穿越(打洞)方案详解
P2P 中的 NAT 穿越(打洞)方案详解 转载自 : P2P 中的 NAT 穿越(打洞)方案详解 内容概述 P2P 即点对点通信,或称为对等联网,与传统的服务器客户端模式(如下图"P2P ...
- PJNATH库关于NAT穿越问题及解决方案
PJNATH 关于NAT穿越的简介 NAT和NAT穿越简介 NAT穿越问题 对等地址问题 "发夹"行为 对称行为 绑定超时 NAT穿越解决方案 旧STUN(RFC 3489) ST ...
最新文章
- 如何利用高斯混合模型建立更好、更精确的集群?
- linux系统开启端口转发,linux如何使用iptables进行本地端口转发
- 僵尸网络病毒之BotNet扫盲、预防及清除
- 利用jmeter向数据库批量导入数据
- 通用mapper笔记
- SpringBoot新版
- 750px设计稿处理方式
- 让整个网站变成灰色的做法
- 笔试编程题常用的一些技巧方法
- mysql数据库myisam_MySQL数据库修复方法(MyISAM/InnoDB)
- 电子发票专用的邮箱—理票侠
- 洛谷P3356 火星探险问题(费用流)
- easyui使用datagrid时deleteRow删除后行号问题
- php微信 api,PHP微信API接口类
- 6个让你10T硬盘立马爆掉的资源网站,再也不需要去百度上找资源了
- html5 指南针,html5指南针实现
- 谷歌浏览器驱动国内镜像下载地址
- python我的爬虫笔记
- 【业务架构】价值实现、价值定位、价值创造
- 关于那些系统错误的改进
热门文章
- 一个学习PCI Express的 不错去处
- 记录一下树莓派开机启动失败 进入紧急模式 原因
- python windows ui自动化_pywinauto处理UI自动化
- java 线程池扩容_106. 生产环境中的线程池自动扩容与缩容的动态资源分配经验...
- 计算机课用什么做课件,电脑做ppt用什么软件
- PowerDesigner执行sql脚本方式建立数据模型
- 【MATLAB】(三)MATLAB在高等数学中的应用
- Qt笔记8--zlib实现gzip解压
- Go 能拯救已经失败的可视化编程?
- 在线商城之购物车实现——(附完整代码)