IPSec穿越NAT的原理.docVIP

IPSec穿越NAT的原理IPSec穿越NAT的应用已经很多,但是从协议层分析说明的贴子并不多见,现特收集一篇文章大家共享之一、IPSec穿越NAT存在的兼容性问题 　　IPSec作为一种重要的安全技术得到越来越广泛的应用，但客户网络边缘大量使用的NAT地址翻译*作可能影响到IPSec的正常*作。目前，NAT和IPSec之间存在的不兼容性问题可以分为以下三类： 　　1.NA(P)T固有的问题 　　这类不兼容问题是直接由NA(P)T与IPSec协议本身不兼容造成的，因此并不是所有的NA(P)T设备都存在。NA(P)T协议固有的不兼容性包括IPSec AH和NAT不兼容、NAT与校验和不兼容、IPSec SPI选择和NAT不兼容、IKE地址标识符和NAT不兼容、固定IKE目的端口和NAPT之间不兼容、重叠(Overlap)SPD条目和NAT间不兼容、嵌套IP地址和NAT不兼容以及NA(P)T隐含的方向性问题等。 　　2.NA(P)T实现方面的问题 　　这类不兼容问题虽然不是NA(P)T协议所固有的，但却在大量的NA(P)T实现中存在。它们不是NA(P)T协议的固有问题，因此原则上在以后的NA(P)T设计实现中可以避免其产生。但由于这些问题已经广泛存在，因此在NA(P)T穿越方案中必须予以考虑。NA(P)T实现方面带来的不兼容性包括不能处理非UDP/TCP通信流、NAT映射超时、不能处理输出和输入分片等。 　　3.辅助功能引入的问题 　　这类不兼容问题出现在那些拟解决IPSecNA(P)T穿越问题的NA(P)T设备中。在这些NAT设备中，由于设计部分穿越辅助功能而产生了新的不兼容性，造成更难于解决的问题。虽然不是所有的NA(P)T设备都提供这种所谓的辅助功能，但鉴于该类问题的普遍性，在NA(P)T穿越方案中也需要考虑这类问题。在IPSec和NAT的辅助功能之间存在的不兼容问题包括ISAKMP头部检查、对端口500的特殊处理及ISAKMP载荷检查等。 二、IPSec穿越NAT的兼容性要求 　　1.可部署性 　　IPSec-NAT兼容性解决方案必须比IPv6易于部署，还应满足只需修改主机，无需改变路由器的要求。为了在短时间内实现穿越方案的部署，必须要求兼容性解决方案能与现存的路由器和NA(P)T产品协同工作。 　　2.协议兼容性 　　IPSec-NAT穿越方案不解决某些协议与NAT的兼容性问题。这些协议是指用IPSec协议不能进行安全保护且无法穿越NA(P)T的协议。因此，即使有了IPSec-NAT穿越方案，ALG仍需要支持其它协议的穿越方案。 　　3.方向性 　　NA(P)T的方向性也是一种安全功能，所以IPSec穿越方案不应允许NA(P)T后面的主机接收来自任意IP地址随意发送的IPSec或IKE通信流。一旦双向IKE和IPSec通信已经建立，则地址转换的映射即告连接。 　　4.远程访问 　　IPSec的一个重要应用是远程访问公司的内部网络。NA(P)T穿越方案必须支持通过IPSec隧道模式或者L2TPoverIPSec的NAT穿越，故要求穿越方案必须考虑远程客户端与VPN网关之间存在多个NA(P)T的情况。 　　5.防火墙兼容性 　　目前，防火墙已经广为应用，IPSec-NAT兼容性方案必须能使防火墙管理员创建简单的静态访问规则，以决定是否允许IKE及IPSec-NAT的穿越。原则上，应该避免IKE或者IPSec目的端口的动态分配。 　　6.可扩展性 　　IPSec-NAT兼容性方案应具有良好的扩展性，可部署在大规模远程访问的环境中。在大量远程接入的环境下，不可能在同一时间段内只有一个主机使用同一个给定的地址进行通信。因此，在兼容性方案中，必须解决SPD条目重叠和接收包解复用的问题。 　　7.模式支持 　　IPSec-NAT方案必须支持IPSecESP模式的穿越。例如IPSec安全网关必须支持ESP隧道模式的NA(P)T穿越，IPSec主机必须支持IPSec传输模式的NA(P)T穿越。 　　AH的目的是保护IP头部中不变的区域(包括地址域)，而NA(P)T必须转换地址，从而使AH完整性检验失效。因此，NA(P)T和AH从根本上就是不兼容的。在IPSec-NAT兼容性方案中，没有必要支持AH传输或隧道模式。 　　8.后向兼容和互*作性 　　IPSec-NAT兼容性方案中必须能与已有的IKE/IPSec实现互*作，与不经过NA(P)T的IKE/IPSec进行通信，即IPSec-NAT穿越方案必须能后向兼容RFC2401定义的IPSec和RFC2409定义的IKE。穿越方案应该能自动检测是否存在NAT，使通信双方只在必要时才使用NA(