VPN的NAT穿越.docVIP

IP Sec VPN与NAT破镜重圆－王一平? 笔者第一次在客户那里做支持时遇到需要使IPSec 加密数据通过NAT 设备的情况，感觉这种配置非常的奇怪，也很难解决。后来在支持使用IPSec VPN 客户的过程中，不断遇到这种情况，才意识到其实这种情况不但非常常见，而且也有其合理性，所以决定总结一些这方面的问题，希望能够让读者得到一些帮助。 ? NAT 网络地址翻译（Network Address Translation ）技术主要是用来解决IPv4地址紧张的问题。它通过将用户网络内部的网络地址映射成公网地址来达到目的，因为这种方法隐藏了内部地址，因此一个内部网络的机器需要访问外部Internet 网络，这个内部网络只需要少量的外部公网地址就可以了，而不必每台内部机器一个公网地址。 ? 当然因为内网地址信息对外隐藏，形成内外网的隔离，使得外网无法访问内部主机，所以NAT 技术还在一定程度上保证了内部网络的安全。 ? IPSec作为IPv4技术的一部分是使用最为普遍的VPN标准。现在随着企业信息化的快速发展，越来越多的用户都在部署基于IPSec的VPN设备，以达到通过Internet上进行多个企业内网安全通信和远程访问内网的需求。 ? 但是很不幸的是，这两种非常重要且应用广泛的技术在一起工作的时候却有许多问题，以致无法使用。如何让NAT与IPSec 正常地同时工作一直是各个VPN厂商致力解决的问题，现在国际上也有相应的标准和技术出台，一种称为NAT-T（NAT穿越）的技术就是其中典型代表。 ? 好端端的NAT ? NAT技术完成的基本功能就是IP数据包网络地址的转换，如将一个内网的在Internet 上不可路数据由地址00 转换成Internet 上的可以路由的地址5。很多的网关设备都有NAT功能，如路由器、防火墙，我们可以把它们统一称为NAT 设备。当NAT设备转换的是源地址时，我们通称称其为SNAT（源地址NAT）。事实上我们大多数人在公司上Internet 网时都是利用这种方法，简单过程如下当一个内网外出的数据包经过这些NAT设备时，数据包的源地址就会被NAT设备的公网地址所替代，同时NAT 设备会记录地址的映射信息，这样这个数据包就可以被路由从而在Internet 上传输。当数据包返回到NAT 设备时，有通过记录下的地址映射信息源地址转为原来的数据包地址。同理也有DNAT（目标地址NAT），这种情况下NAT设备转换的是数据包的目的地址。 ? 叫好又叫座的IPSec VPN ? 因为在Internet 早期，安全的需求非常少，因此在IP 协议设计之初并没有考虑安全性，因此标准的IP 协议是不安全的。随着Internet 上的商业发展，安全问题日益突出，必须建立新的安全协议标准来满足这种需求。IPSec（IP Security）协议应运而生。 ? IPSec在3个方面保证了网络数据包的安全：机密性、完整性、认证性。机密性就是保证数据包的原始内容不被看到；完整性即保证数据包的内容不会被修改；认证性保证数据来自被信任的客户端。因此不可避免地需要使用多种的加密算法来修改数据包的内容。修改后的数据包有2种主要的封装形式： AH (Authentication Header) 和ESP (Encapsulating SecurityPayload)。 AH在IP数据包中插入了一个包头，其中包含对整个数据包内容的校验值。AH只用于对IP 数据包的认证，而并不对数据包认证作任何修改。ESP用户加密整个数据包内容，同时也可以对数据包进行认证。AH和ESP 即可以同时使用也可以分开使用。 ? IPSec 在传输数据的时候也有2 种不同的模式：传输模式和隧道模式。传输模式主要用于主机到主机之间的直接通信；而隧道模式主要用于主机到网关或网关到网关之间。传输模式和隧道模式主要在数据包封装时有所不同（如图1 所示）。 ? 在传输模式中，只有IP包的传输层部分被修改（认证或者加密）。 而在隧道模式中，整个数据包包括IP头都被加密或认证（如图2）。 ? NAT 与IPSec VPN 的裂痕 ? 在多数情况下NAT 的处理对用户使用是完全透明的，但是当希望使用IPSec 技术组建VPN 网络时，NAT 却带来了很大的麻烦。IPSec协议的主要目标是保护IP数据包的完整性，这意味着IPSec会禁止任何对数据包的修改。但是NAT 处理过程是需要修改IP 数据包的IP 头数据、传输层报文头数据甚至传输数据的内容（如FTP 应用），才能够正常工作。所以一旦经过IPSec 处理的IP 包穿过NAT设备时，包内容被NAT 设备所改动，修改后的数据包到达目的主机后其解密或完整性认证处理就会失败，于是这个报文被认为是