本文详细分析了IPSec在NAT环境下的兼容性问题,特别是在第一阶段的主模式和野蛮模式中,以及第二阶段的AH和ESP协议的传输模式和隧道模式。主模式的身份验证因NAT转换IP而受阻,AH协议的校验被破坏,而ESP隧道模式能够较好地适应NAT。为了解决这些问题,提出了NAT-T技术,通过使用UDP端口500和4500来保持IPSec的完整性。此外,还讨论了IPSec不支持动态协议的情况。
1. ipsec在NAT环境下会遇到什么问题?详细分析NAT环境下IPSEC的6个环节的兼容问题?
IPSec的NAT问题是会破坏IPSec的完整性,从IPSec的两个阶段来分新:
第一阶段:
- 主模式
- 野蛮模式
第二阶段:
- ESP的传输模式和隧道模式
- AH的传输模式和隧道模式
主模式存在的问题:IPSec的工作中主模式会存在六个包,一二包的作用就是 协商建立ike sa安全参数,三四包交换密钥相关信息,并生成密钥,而最大问题就在五六包,原因是五六包的作用是交换身份信息,验证信息,他们采取的是IP来传送身份信息;在进行NAT转换的过程,IP值进行转换,NAT破坏后无法完成身份认证。
野蛮模式:野蛮模式他是三个包,由于它的id值可以自定义为字符串,NAT是无法破坏IPSec的完整性,可以进行正常的完成第一阶段的身份认证。
第二阶段AH的传输模式和隧道模式:
由图可看出:AH协议会校验外层IP地址,无论是传输模式还是隧道模式,在进行nat转换的过程中都会转换外层IP地址,所以完整性都会被破坏,AH协议无法与nat兼容。
ESP协议的传输模式和隧道模式:ESP不会对外层IP做认证或校验,所以完整性算法不会被NAT破 坏,但是 nat在修改IP地址的时候也要修改伪首部校验和,这样就不会出现伪首部校验失败的问题,但是ESP等加 密封装把4层加密后nat就无法修改伪首部校验和,导致校验失败。
- ESP的隧道模式下NAT修改IP是在新头部中,而伪首部校验和针对是原始IP头故而不会导致伪首部校验失败。
- 但是ESP的传输模式,根据伪首部校验原理,数据最终在接收pC上由于之前加密NAT设备无法伪首部校 验值,导致伪首部校验失败,数据包被丢弃。所以ESP传输模式无法与NAT兼容。
- ESP隧道模式,伪首部校验针对的是原始IP头,而NAT转换的是新IP头,所以不存校验失败问题,EPS隧道模式可以与NAT兼容。
2. 多VPN的NAT环境下ipsec会有哪些问题?如何解决?
ESP加密数据----ESP协议没有端口号
以上问题是IPSEC在NAT环境下用野蛮模式和ESP隧道模式下依然会遇到的问题
NAT环境下IPSEC最终解决方案:NAT-T技术,改技术规定在NAT模式下IPSEC的IKE SA阶段使用目的端口UDP 500或4500作为端口号,源端口允许被修改(这种情况下防火墙写策略时不要规定其源端口号),IPSEC SA数据加密流传输阶段规定使用目的端口UDP 4500来传输ESP加密流,源端口允许被修改,解决了ESP没有端口号的问题。
nat static protocol udp global 100.1.1.1 500 inside 10.100.1.1 500
nat static protocol udp global 100.1.1.1 4500 inside 10.100.1.1 4500
3. IPSEC是否支持动态协议?为什么?
IPSec不支持动态协议
扫一扫
9657
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
