VPN和NAT.docVIP

VPN与NAT兼容不容忽视 钟小平 　　无论是大企业还是中小企业，都在广泛使用NAT技术，因此VPN常常要与NAT组合使用。PPTP穿过NAT服务器不成问题，最主要的问题是IPSec数据包与NAT不兼容，因为IKE协议和由IPSec保护的数据包无法进行NAT转换。采用IPSec或L2TP/IPSec协议的VPN方案都要解决NAT兼容性问题。　　IPSec支持传输模式和隧道模式，AH（验证报头）或ESP（封装安全性负载）协议可用于这两种模式。IPSec传输模式用于实现端对端安全通信，通过AH或ESP报头对IP有效荷载提供保护。IPSec隧道模式用于实现路由器、网关之间的安全通信，通过AH或者ESP提供对整个IP数据包的保护。使用隧道模式时，将通过AH或ESP报头与其他IP报头来封装整个IP数据包。在传输模式下，IPSec报头放置在数据包的IP部分和上层报头之间。在隧道模式下，整个IP数据包封装在另一个IP数据包中，而IPSec报头放置在两个IP报头之间。在需要机密性的情况下，ESP和AH都是必需的。在无需机密性的情况下，AH足以提供身份验证和完整性。　　NAT不仅用来解决IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。在内部网络中使用内部地址，通过NAT把内部地址转换成合法的公网IP地址在Internet上使用，实际上将IP包内的地址用合法的IP地