IPSec NAT穿越原理

最新推荐文章于 2023-11-08 21:17:51 发布
原创 最新推荐文章于 2023-11-08 21:17:51 发布 · 3.8k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #udp #网络协议

在IPSec VPN部署中,如果发起者位于私网内部(如下图FW_C),而它希望与FW_A之间直接建立一条IPSec隧道,这种情况下NAT会对部署IPSec VPN网络造成障碍。

PC2发业务报文给PC1,IPSec先对IP包头或端口信息进行验证,报文到达NAT设备时,IP地址或端口号会被转换,报文到达FW_A的时候,FW_A进行IPSec数据包的验证,下面分别看一下IPSec使用 AH 和 ESP 两种安全协议时报文能否通过。

  • AH 协议:因为 AH 对数据进行完整性检查,会对包括 IP 地址在内的整个IP 包进行Hash运算。而NAT改变 IP 地址,从而破坏 AH 的 Hash 值。 因此 AH 报文无法通过 NAT 网关。

  • ESP 协议:ESP 对数据进行完整性检查,不包括外部的 IP 头, IP 地址转换不会破坏 ESP 的 Hash 值。但 ESP 报文中 TCP 的端口已经加密无法修改,那么NAT设备读不到端口号,不能进行正常的地址转换。

为了解决这个问题,必须在建立 IPSec 隧道的两个网关上同时开启 NAT 穿越功能(对应命令行 nat traversa

最低0.47元/天 解锁文章
ipsecnat穿越
qq_45309500的博客
09-30 1968
ipsecNAT-T穿越 当总部与分部之间存在nat设备时,ipsec的的隧道地址会发生变化,导致ipsec的ike协商无法成功建立 因为建立隧道时,防火墙会匹配ike peer里的remot地址进行建立,而当分部的数据包到达nat设备后,地址会被转换掉,送到分部后,ike会对比发现不匹配,于是被丢弃掉 所以,nat穿越在配置ike peer里会有一些改变,下面来看一下配置 初配: 总部,分部的IP地址,以及zone和域间策略,保证路由想通,这里要注意一下,因为ipsec的安全性比较高,所以不支持动态路由
IPSec NAT穿越原理_ipsec配置为什么要配置nat
最新发布
2401_84254530的博客
06-24 570
测试并抓包分析(抓包可知,主模式下,ISAKMP协商交换的包6个。第一阶段会互相发送标识NAT穿越功能的Vendor ID载荷,用于检查通信双方是否支持 NAT-T。当双方都在各自的消息中包含了该载荷时,才会进行相关的 NAT-T 协商。主模式消息3和消息4中发送NAT-D ( NAT Discovery )载荷。NAT-D载荷用于探测两个要建立IPSec隧道的网关之间是否存在NAT设备以及NAT设备的位置。Remote HASH: 指将发送报文中的目的IP地址和端口号进行HASH运算后的数值。
IPSec穿越NAT
weixin_33943836的博客
07-06 689
IPSecNAT环境中的部署是×××的热门难点技术之一,本专栏针对该问题进行原理性探讨,为后续×××部署方案做下铺垫。IPSec ×××穿越NAT会遇到哪些问题IPSec ×××穿越NAT遇到的问题主要有2个:1.穿越NAT后的身份确认:在IP网络中IP地址是最好的身份标识,IPSec ×××中标准身份标识也是IP地址,如上图所示,从前几期专栏的介绍中我们可以得知,N...
IPSecNAT穿越
06-24 1641
 参考资料:RFC3715,3947,3948 1. 前言 IPSec提供了端到端的IP通信的安全性,但在NAT环境下对IPSec的支持有限,AH协议是肯定不能进行NAT的了,这和AH设计的理念是相违背的;ESP协议在NAT环境下最多只能有一个VPN主机能建立VPN通道,无法实现多台机器同时在NAT环境下进行ESP通信。关于IPSecNAT环境下的需求问题在RFC3715
IPSecNAT穿越
hhd1988的专栏
05-18 5871
IPSec NAT 穿越简介
IPsecNAT穿越详解
热门推荐
qq_47529104的博客
04-07 1万+
问题场景 左边的支部,它的防火墙上联路由器,由于防火墙内部的接口使用的是私网地址,这就导致其无无法在公网上与对端防火墙进行IPsec的隧道建立 。所以必须在AR5上面不是NAT地址转换,由于一般使用的是NAPT,isakmp协议因为是UDP报文,且没有像AH或者ESP那样有对内容进行签名,所以可以正常地协商IKE SA以及IPsec SA,但是AH和ESP就没有那么简单了 AH和ESP的认证范围如图所示,其实说是认证范围本质上来说应该是进行HASH运算的范围,如图所示,AH的签...
IPSec穿越NAT原理.pdf
09-30
IPSec穿越NAT原理.pdf
IPsec nat穿越技术
12-06
#### 二、IPSec NAT穿越技术原理 ##### 2.1 IKE协商与UDP封装 IPSec NAT穿越的核心在于IKE(Internet Key Exchange)协议的调整,使其能够适应NAT环境。RFC3947、3948以及RFC4306中详细描述了NAT-T(NAT Traversal...
IPSec穿越NAT原理资料.pdf
10-30
IPSec穿越NAT原理资料.pdf
IPSec穿越NAT报文
04-16
IPSec报文穿越NAT的报文。
NAT防火墙穿越
12-02
通过NAT/防火墙穿越功能解决了私网与公网之间不可路由或媒体(RTP)无法到达终端问题,保证用户通话的正常进行,为运营商带来收益。
IPSEC ××× 的NAT穿越(1)
weixin_33969116的博客
12-09 282
  IPSec是基于网络层的,不能穿越通常的NAT、防火墙,这篇文章就是要讨论,在需要NAT网络的环境中,如果使用IPsec ××× 隧道技术。 IPsec 协议有两种运行模式:   IPSec隧道模式   IPSec传输模式   隧道模式通常是建立在双方的网关之间的。传输模式下,IPSec主要对上层的传输进行封装保护,通常情况下,传输...
P2P网络“自由”穿越NAT的“秘密”
xymyeah
10-13 1189
来源: http://www.xymyeah.com/737.html 穿越NAT的意义:   NAT是为了节省IP地址而设计的,但它隐藏了内网机器的地址,“意外”起到了安全的作用。对外不可见,不透明的内部网络也与互联网的“公平”应用,“相互共享”的思想所不容,尤其是P2P网络中“相互服务”的宗旨,所以穿越NAT,让众多内部网络的机器也参与到P2P网络中的大集体中来,一直是P2P开发者
四、IPSec NAT穿越
u012451051的博客
11-08 3823
1、消息1和2:在IKE消息中插入两个N载荷,第一个N载荷包含本端的IP地址和端口的Hash值,第二个N载荷包含IKE对等体的IP地址和端口的Hash值,响应方也计算这两个Hash值,两方计算的哪个Hash值不相等,表明哪个设备在NAT网关后面。NAT网关发现:通过NAT-D载荷来实现的,在IKE peer之间发现NAT网关的存在以及确定NAT设备在Peer的哪一侧,NAT侧的Peer作为发起者,定期发送NAT-Keepalive报文,使NAT网关确保安全隧道处于激活状态。
5. 详解: IPsec 穿越 NAT 之道
weixin_38387929的博客
06-05 6671
1. IPsecNAT矛盾 在文章《IPsec》及《NAT》中介绍了IPsecNAT的基本知识。我们知道IPsec的协议分为AH及ESP,封装模式分为传输模式及隧道模式,也知道由于NAT会对IP头进行修改导致AH协议下的IPsec不能穿越NAT。 那么ESP协议能不能穿越NAT?ESP协议对数据进行完整性检查,不包括外部的IP头,IP地址转换不会破坏ESP的Hash值。但ESP报文中TCP/UDP的端口已经加密无法修改,所以对于同时转换端口及IP地址的NAT来说,ESP无法穿越NAT。如果NAT只转换I
IPSEC是如何穿越NAT
weixin_33923762的博客
08-26 700
我们知道IPSEC在工作的时候,如果遇到了NAT,就会带来麻烦,什么麻烦呢?(IPSEC的基础需要清晰) 主要有2种麻烦 1 如果IPSECNAT在同一台设备上的时候,是先进行路由查找,然后进行进行IPSEC的,最后是NAT,这个时候如果IPSEC对原本的内网数据实施保护,则NAT转换,无法解析需要转换的私有IP头无法实施转换,此时解决的办法很简单,就是将IPSEC所...
IPsec NAT穿越
ryanzzzzz的博客
05-02 858
IPsec支持NAT穿越特性,使得IPsec数据报文能穿越网络中的NAT设备。IPsec要实现NAT穿越,有3个步骤需要完成。
Nat穿越
xiaoxiaoyu85的专栏
03-19 1203
解决外网与内网或内网之间的通信,NAT穿透    |举报|字号 订阅 在网络编码中会发现程序在局域网中是可以适用的,但是在外网与内网之间和内网与内网之间就不可行。 问题就在于NAT。首先介绍下NAT。  NAT的作用NAT(Network Address Translator),网络地址转换。顾名思义,它是一种把内部私有网络IP地址翻译成公有网络IP地址的技
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值