資源描述:
《ipsec穿越nat淺析》由會員上傳分享,免費在線閱讀���,更多相關內(nèi)容在學術(shù)論文-天天文庫�����。
1�����、IPsec穿越NAT淺析上海博達公司數(shù)據(jù)通信有限公司2010年11月上海博達數(shù)據(jù)通信有限公司SHANGHAIBAUDDATACOMMUNICATIONCO.�,LTD版本主要作者版本描述完成日期1.0.0聞凱華IPsec穿越NAT淺析2010-11-24目錄1概述22技術(shù)介紹22.1IPsec和NAT之間的存在的矛盾22.2.ESP報文結(jié)構(gòu)32.3.端口NAT流程32.4.檢測NAT設備32.5.NAT穿越42.6.NATKeepalives42.7.兩個Lifetime53.典型配置53.1典型配置示例(對應老版本IPsec模塊)53.1
2、.1組網(wǎng)需求:53.1.2配置示例:63.1.3配置信息查看:93.1.4抓包分析交互過程:113.2典型配置示例(對應新版本IPsec模塊)173.2.1組網(wǎng)需求:173.2.2典型實例配置:183.2.3配置信息查看:223.2.4抓包分析交互過程:274結(jié)束語29說明:29附錄A縮略語30IPsec穿越NAT第31頁上海博達數(shù)據(jù)通信有限公司SHANGHAIBAUDDATACOMMUNICATIONCO.�����,LTD1概述點對點的IPsecVPN在大型網(wǎng)絡內(nèi)部或者行業(yè)私網(wǎng)里面應用比較廣泛�。解決網(wǎng)絡內(nèi)部傳輸?shù)牟糠謹?shù)據(jù)需要加密�,網(wǎng)絡內(nèi)部的點到
3、點設備需要身份驗證的問題���。而在一些企業(yè)中企業(yè)節(jié)點連接到Internet���,用戶打算在不改變原有的網(wǎng)絡結(jié)構(gòu)的同時,在內(nèi)網(wǎng)新增一臺VPN設備�,實現(xiàn)與遠端VPN設備之間的IPSecVPN。此時點到點的IPsecVPN顯然無法滿足��,而IPsec穿越NAT技術(shù)卻解決了這一問題。2技術(shù)介紹IPSec提供了端到端的IP通信的安全性��,但在NAT環(huán)境下對IPSec的支持有限���。從IPsec的角度上說�����,IPsec要保證數(shù)據(jù)的安全����,因此它會加密和校驗數(shù)據(jù)����。而從NAT的觀點來看,為了完成地址轉(zhuǎn)換�����,勢必會修改IP地址�����。當?NAT?改變了某個包的?IP?地址和(或)端口
4����、號時����,它通常要更新?TCP?或?UDP?校驗和��。當?TCP?或?UDP?校驗和使用了?ESP?來加密時�����,它就無法更新這個校驗和��。由于地址或端口已經(jīng)被?NAT?更改���,目的地的校驗和檢驗就會失敗。雖然?UDP?校驗和是可選的�,但是?TCP?校驗和卻是必需的。ESP隧道模式將整個原始的IP包整個進行了加密���,且在ESP的頭部外面新加了一層IP頭部�,所以NAT如果只改變最前面的IP地址對后面受到保護的部分是不會有影響的�。因此,IPsec只有采用ESP的隧道模式來封裝數(shù)據(jù)時才能與NAT共存�����。2.1IPsec和NAT之間的存在的矛盾(1)從IPsec的
5、角度上說����,IPsec要保證數(shù)據(jù)的安全,因此它會加密和校驗數(shù)據(jù)�����。IPSec提供了端到端的IP通信的安全性�,但在NAT環(huán)境下對IPSec的支持有限,AH協(xié)議是肯定不能進行NAT的了��,這和AH設計的理念是相違背的��;ESP協(xié)議在NAT環(huán)境下最多只能有一個VPN主機能建立VPN通道�,無法實現(xiàn)多臺機器同時在NAT環(huán)境下進行ESP通信。(2)從NAT的觀點來看����,為了完成地址轉(zhuǎn)換,勢必會修改IP地址���。當?NAT?改變了某個包的?IP?地址和(或)端口號時�����,它通常要更新?TCP?或?UDP?校驗和��。當?TCP?或?UDP?校驗和使用了?ESP?來加密時���,它
6�、就無法更新這個校驗和��。由于地址或端口已經(jīng)被?NAT?更改�,目的地的校驗和檢驗就會失敗。雖然?UDP?校驗和是可選的����,但是?TCP?校驗和卻是必需的。IPsec穿越NAT第31頁上海博達數(shù)據(jù)通信有限公司SHANGHAIBAUDDATACOMMUNICATIONCO.�����,LTDESP封裝的隧道模式:從ESP隧道模式的封裝中��,我們可以發(fā)現(xiàn)�����,ESP隧道模式將整個原始的IP包整個進行了加密����,且在ESP的頭部外面新加了一層IP頭部,所以NAT如果只改變最前面的IP地址對后面受到保護的部分是不會有影響的����。因此,IPsec只有采用ESP的隧道模式來封裝數(shù)據(jù)
7�����、時才能與NAT共存���。由于完整性校驗牽涉到IP頭部�,所以NAT無法對其修改���,不兼容�����。ESP的傳輸模式����,因為TCP部分被加密,NAT無法對TCP校驗和進行修改���,不兼容�。ESP的隧道模式�,由于NAT改動外部的IP而不能改動被加密的原始IP,使得只有這種情況下才能與NAT共存��。2.2.ESP報文結(jié)構(gòu)ESP是一種安全封裝協(xié)議�����,對應的協(xié)議號為50��。用于為IP提供機密性��、數(shù)據(jù)源驗證���、抗重播以及數(shù)據(jù)完整性等安全服務�。ESP可用來保護一個上層協(xié)議(傳輸模式)或一個完整的IP數(shù)據(jù)包(隧道模式)�。ESP報文的協(xié)議相關部分分為兩部分:ESP協(xié)議頭部和尾部。ESP
8�、不保護報文位于ESP協(xié)議頭部前面的部分。ESP的隧道模式下的報文格式:2.3.端口NAT流程NAT設備收到私網(wǎng)側(cè)主機發(fā)送的訪問公網(wǎng)側(cè)服務器的報文��。NAT設備從地址池中選取一對空閑的“公網(wǎng)IP地
