目录

为什么需要NAT穿越技术

NAT穿越报文

如何判断是ISAKMP报文还是ESP报文

NAT穿越协商-四步协商

注意事项

什么情况下使用NAT穿越技术

部署IPSec VPN网络时,如果发起者位于一个私网内部,远端位于公网侧,而它希望与远端响应者直接建立一条IPSec隧道。

为保证存在NAT设备的IPSec隧道能够正常建立,这就涉及到IPSec的NAT穿越问题

为什么需要NAT穿越技术

从IKE、IPSec协商方面讨论

  1. IKE、IPSec协商是通过ISAKMP消息进行传输的,ISAKMP由UDP封装,源目端口都为500(加密报文不会加密IP头和UDP端口号),ISAKMP消息可以进行NAT转换

从IPSec数据传输方面讨论

  1. IPSec数据传输是通过安全协议传输的。安全协议AH不论是在传输模式还是隧道模式下,都会认证整个IP包,由于NAT会改变IP头,影响Hash计算,使用AH协议无法进行NAT转换
  2. 安全协议ESP在传输模式下进行NAT转换,会修改原始IP,所以ESP传输封装模式无法进行NAT转换。

总结

  1. 由以上可知,ESP隧道模式可以进行NAT转换,但是ESP协议会加密TCP头部,不会认证最外层头部。无法进行端口转换。此时就需要NAT穿越技术来解决这个问题
  2. 为了解决ESP无法进行端口转换的问题,就通过NAT穿越添加UDP报文头来解决端口转换的问题
  3. 综上所述,使用ESP+隧道封装+NAT穿越来解决私网通过NAT和公网建立隧道的问题

NAT穿越报文

对于ISAKMP报文,报文没有变化,只是IKE第一阶段之后的报文就会将其端口修改为4500

(私网发给公网的目的端口是4500,公网发给私网的源端口4500)

对于ESP报文,会在ESP头和原始IP头之间加入端口为4500的UDP头部

如何判断是ISAKMP报文还是ESP报文

ISAKMP报文——在UDP头后有一个Non-ESP Marker字段

ESP报文——SPI不为0

NAT穿越协商-四步协商

1.在IKE协商第一阶段中(IKEv1为例子),通过IKE的Vender ID进行判断设备是否支持NAT穿越

2.在IKE协商第一阶段中(IKEv1为例子),通过NAT-D负载来判断IPSec对等体之间是否存在NAT设备

(将源目IP、端口进行Hash计算,发送给对端进行对比)

3.在IKE协商第一阶段中(IKEv1为例子),测试UDP4500端口是否可用

4.在IKE协商第二阶段中(IKEv1为例子),协商NAT功能是否启用

注意事项

  1. NAT穿越设备两端都要配置(内网设备和公网设备)——当内网设备不支持NAT穿越时,在NAT设备上开启ESP NAT就可以
  2. 当使用IP地址做标识时,公网设备要指定内网转换后的地址
  3. 当做静态NAT,不转换端口时,也要开启NAT穿越,负责IPSec SA起来了,但是流量数据过不去

IPSecNAT穿越实验配置_多谢思考的博客-CSDN博客https://blog.csdn.net/m0_49864110/article/details/124924141?spm=1001.2014.3001.5502

防火墙——NAT穿越(IPSec3)相关推荐

  1. P2P技术详解(三):P2P中的NAT穿越(打洞)方案详解(进阶分析篇)

    目录 1.NAT和NAPT 2.NAT带来的问题 3.P2P通信穿越NAT的技术.方法 4.NAT穿越技术1:应用层网关 4.1.原理 4.2.限制 5.NAT穿越技术2:中间件技术 5.1.原理 5 ...

  2. p2p网络中的NAT穿透技术----常见NAT穿越解决方案

    p2p网络中的NAT穿透技术----常见NAT穿越解决方案 常见NA丁穿越解决方案 NAT技术在缓解IPv4地址紧缺问题.构建防火墙.保证网络安全等方面都发挥了重要 作用.然而,NAT设备的广一泛存在 ...

  3. P2P中的NAT穿越方案

    P2P简介 P2P即点对点通信,或称为对等联网,与传统的服务器客户端模式(如下左图所示)有着明显的区别.P2P可以是一种通信模式.一种逻辑网络模型.一种技术.甚至一种理念.在P2P网络中(如下右图所示 ...

  4. 华为防火墙NAT策略

    前言:NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术 文章目录 一.理论 1.NAT分类 1)NAT NO-PAT 2)N ...

  5. DDNS的NAT穿越问题

    关于本文更详细的内容,欢迎关注我的个人网站<程序员网> 首先介绍一下问题的背景: (1)本人想要几个服务器做测试,所以打算在家里搭几个服务器.(当然,可以选择vps之类,但这不符合极(di ...

  6. NAT穿越(NAT-T)原理

    IPSec NAT 穿越简介 IPSec NAT穿越的场景: 本质上解决ESP协议无法提供转换端口,插入UDP 4500端口 有以下两种场景,需要进行进行NAT穿越. 场景一.FW既做IPSEC网关, ...

  7. 华为防火墙NAT策略原理+实验验证!

    文章目录 前言 一:华为防火墙的NAT分类 1.1:NAT NO-PAT 1.2:NAPT 1.3:出接口地址( Easy-IP) 1.4:NAT Server 1.5:Smart NAT 1.6:三 ...

  8. IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置

    IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 USG5500A 与USG5500C.USG5500D建立IPSEC VPN Tunnel,其中USG5500C穿越USG5500B NAT ...

  9. P2P 中的 NAT 穿越(打洞)方案详解

    P2P 中的 NAT 穿越(打洞)方案详解 转载自 : P2P 中的 NAT 穿越(打洞)方案详解 内容概述 P2P 即点对点通信,或称为对等联网,与传统的服务器客户端模式(如下图"P2P ...

  10. PJNATH库关于NAT穿越问题及解决方案

    PJNATH 关于NAT穿越的简介 NAT和NAT穿越简介 NAT穿越问题 对等地址问题 "发夹"行为 对称行为 绑定超时 NAT穿越解决方案 旧STUN(RFC 3489) ST ...

最新文章

  1. 如何利用高斯混合模型建立更好、更精确的集群?
  2. linux系统开启端口转发,linux如何使用iptables进行本地端口转发
  3. 僵尸网络病毒之BotNet扫盲、预防及清除
  4. 利用jmeter向数据库批量导入数据
  5. 通用mapper笔记
  6. SpringBoot新版
  7. 750px设计稿处理方式
  8. 让整个网站变成灰色的做法
  9. 笔试编程题常用的一些技巧方法
  10. mysql数据库myisam_MySQL数据库修复方法(MyISAM/InnoDB)
  11. 电子发票专用的邮箱—理票侠
  12. 洛谷P3356 火星探险问题(费用流)
  13. easyui使用datagrid时deleteRow删除后行号问题
  14. php微信 api,PHP微信API接口类
  15. 6个让你10T硬盘立马爆掉的资源网站,再也不需要去百度上找资源了
  16. html5 指南针,html5指南针实现
  17. 谷歌浏览器驱动国内镜像下载地址
  18. python我的爬虫笔记
  19. 【业务架构】价值实现、价值定位、价值创造
  20. 关于那些系统错误的改进

热门文章

  1. 一个学习PCI Express的 不错去处
  2. 记录一下树莓派开机启动失败 进入紧急模式 原因
  3. python windows ui自动化_pywinauto处理UI自动化
  4. java 线程池扩容_106. 生产环境中的线程池自动扩容与缩容的动态资源分配经验...
  5. 计算机课用什么做课件,电脑做ppt用什么软件
  6. PowerDesigner执行sql脚本方式建立数据模型
  7. 【MATLAB】(三)MATLAB在高等数学中的应用
  8. Qt笔记8--zlib实现gzip解压
  9. Go 能拯救已经失败的可视化编程?
  10. 在线商城之购物车实现——(附完整代码)