Chinaunix首页 | 论坛 | 博客
  • 博客访问: 858732
  • 博文数量: 253
  • 博客积分: 6891
  • 博客等级: 准将
  • 技术积分: 2502
  • 用 户 组: 普通用户
  • 注册时间: 2010-11-03 11:01
文章分类

全部博文(253)

文章存档

2016年(4)

2013年(3)

2012年(32)

2011年(184)

2010年(30)

分类: 网络与安全

2012-04-10 17:09:22

NAT技术和IPsec技术的应用都非常广泛。但从本质上来说,两者是存在着矛盾的。

1.
IPsec的角度上说,IPsec要保证数据的安全,因此它会加密和校验数据。
2.
NAT的观点来看,为了完成地址转换,势必会修改IP地址。

         IPSec提供了端到端的IP通信的安全性,但在NAT环境下对IPSec的支持有限,AH协议是肯定不能进行NAT的了,这和AH设计的理念是相违背的;ESP协议在NAT环境下最多只能有一个VPN主机能建立VPN通道,无法实现多台机器同时在NAT环境下进行ESP通信。关于IPSecNAT环境下的需求问题在RFC3715中进行了描述。
       NAT
穿越(NAT TraversalNAT-T)就是为解决这个问题而提出的,RFC39473948中定义,在RFC4306中也加入了NAT-T的说明,但并没废除RFC39473948,只是不区分阶段1和阶段2该方法将ESP协议包封装到UDP包中(在原ESP协议的IP包头外添加新的IP头和UDP头),使之可以在NAT环境下使用的一种方法,这样在NAT的内部网中可以有多个IPSec主机建立VPN通道进行通信。
   AH
封装:AH封装的校验从IP头开始,如果NATIP的头部改动,AH的校验就会失败,因此我们得出结论,AH是无法与NAT共存的。ESP封装的传输模式:对于NAT来说,ESP封装比AH的优势在于,无论是加密还是完整性的校验,IP头部都没有被包括进去。但是还是有新的问题,对于ESP的传输模式,NAT 无法更新上层校验和。TCP  UDP 报头包含一个校验和,它整合了源和目标 IP 地址和端口号的值。

    当 NAT 改变了某个包的 IP 地址和(或)端口号时,它通常要更新 TCP  UDP 校验和。 TCP  UDP 校验和使用了 ESP 来加密时,它就无法更新这个校验和。由于地址或端口已经被 NAT 更改,目的地的校验和检验就会失败。虽然 UDP 校验和是可选的,但是 TCP 校验和却是必需的。
       ESP
封装的隧道模式:从ESP隧道模式的封装中,我们可以发现,ESP隧道模式将整个原始的IP包整个进行了加密,且在ESP的头部外面新加了一层IP头部,所以NAT如果只改变最前面的IP地址对后面受到保护的部分是不会有影响的。因此,IPsec只有采用ESP的隧道模式来封装数据时才能与NAT共存。

由于完整性校验牵涉到IP头部,所以NAT无法对其修改,不兼容。
ESP
的传输模式,因为TCP部分被加密,NAT无法对TCP校验和进行修改,不兼容。
ESP
的隧道模式,由于NAT改动外部的IP而不能改动被加密的原始IP,使得只有这种情况下才能与NAT共存。


NAT穿越(NAT TraversalNAT-T)
       Cisco IOS
的版本在12.2(13)T以后,可以支持NAT-T技术。以前NATIPsec只能以11的形式共存,NAT-T打破了这种形式。而且NAT-T支持ESP的传输模式NAT-T的基本思想:
    将ESP协议包封装到UDP包中(在原ESP协议的IP包头外添加新的IP头和UDP头)。使得NAT对待它就像对待一个普通的UDP包一样。而且支持ESP的传输模式。NAT-T的基本原理和执行步骤
1. 检测通信中是否存在NAT设备和对方是否支持NAT-TNC
2.检测对方是否支持NAT-T是通过交换vendor ID载荷来实现的,如果自身支持NAT-T,在IKE开始交互就要发送这种载荷,载荷内容是“RFC 3947”的MD5值,也就是十六进制的“4a131c81070358455c5728f20e95452f


配置方法
1.ipsec over tcp
该方法导致双方使用TCP端口通信,缺省端口是10000只支持client方式。缺省被禁用,打开方法:
crypto isakmp ipsec-over-tcp
当实际环境中不常规VPN通信或NAT-T,IPSEC OVER UDP的时候使用。
2.NAT-T
该方法导致双方最终使用udp 4500端口通信,支持client,L2L 两种方式。缺省是被禁用的。打开方法:
crypto isakmp nat-traversal 20 ,缺省keepalives时间20
3.ipsec over udp
导致双方使用UDP通信,缺省端口10000只支持client方式。缺省被禁用。打开方法
在组策略中配置
hostname(config-group-policy)# ipsec-udp {enable | disable}
hostname(config-group-policy)#ipsec-udp-port 10000
上述三种方法都启用时候的优先级别: over tcp >NAT-T>over udp
阅读(1662) | 评论(0) | 转发(0) |
0

上一篇:scalar data

下一篇:C语言中#if,#ifdef

给主人留下些什么吧!~~