ＩＰＳｅｃ和ＮＡＴ协同工作的研究.docVIP

ＩＰＳｅｃ和ＮＡＴ协同工作的研究 　　摘要：网络地址转换（NAT）与网络安全协议（IPSec）都是在因特网上得到广泛应用的优秀技术，但由于目前IPSec和NAT技术的不兼容，使得这两种优秀的技术无法同时在网络中并存。该文对IPSec和NAT协同工作的问题进行了研究，指出NAT穿越方案的适用范围，为合理构建IPSec VPN提供了指导。 　　关键词：IPSec；NAT；IKE；VPN；UDP封装 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)33-1360-03 　　Research on Coordination Between IPSec and NAT 　　ZHANG Ai-ke 　　(Departmet of Information Engineering, Liuzhou VocationalTechnical College,Liuzhou 545006,China) 　　Abstract: Network Address Translation (NAT) and IP security protocol (IPSec) are outstanding technologies that are widely used in network. At present, because IPSec and NAT are incompatible, the technologies can not co-exist in network at the same time. This paper engages in the research upon the coordination between IPSec and NAT. points out the application scope of NAT-T so as to guide the optimum IPSec VPN implementation. 　　Key words: IPSec;NAT;IKE;VPN;UDP encapsulation 　　1 引言 　　IPSec与NAT是用来解决IPv4中网络安全与IP地址短缺问题的两项技术。IPSec是Internet工程任务组（IETF）制定的一系列安全标准[1]，已被确定为IPv6的必需组成部分，是下一代网络的安全标准，它可以较好地解决目前Internet上面临的安全威胁，有效地保证数据的安全传输。随着Internet的不断发展，采用IPSec技术实现利用互联网建立VPN网络，越来越被众多大中型企业所青睐，IPSec已逐渐成为构建VPN的主流技术。网络地址转换（NAT）技术[2] 在内部网络中使用内部私有IP地址，通过NAT将每个从内部网络发出的数据包的私有地址翻译成合法的公用IP地址在Internet上使用，支持多台主机共享全局IP地址，常见于接入设备和防火墙中，能很好地解决IPv4网络地址枯竭的问题，同时具有屏蔽内部网络的作用。 　　然而，在实际应用中，IPSec技术和NAT技术存在严重的不兼容性，当IPSec数据流穿越NAT设备时，两者无法协同工作，已被广泛使用的NAT设备制约着基于IPSec技术的VPN的发展。因此，IPSec和NAT兼容性方面的问题已成为当前网络安全领域的研究热点，寻求基于IPSec技术的VPN和现有的NAT设备和平共处，实现NAT透明穿越的解决方案已成为迫在眉睫的任务。 　　2 问题描述 　　由于IPSec对数据包进行保护，对数据包的改动会导致验证或解密过程的失败。IPSec与NAT的兼容性冲突是多方面的，其中主要是由于IPSec数据包在穿越NAT时无法进行正确转换造成的。IPSec与NAT的不兼容性问题主要有以下几个方面[3]： 　　1) IPSec AH和NAT：AH利用消息摘要算法对整个IP数据包产生一个散列值，该散列值的作用范围是整个IP包，包括源IP地址和目的IP地址，接收方利用该散列值认证收到的IP数据包。如果在发送过程中原始IP包的任何字段发生变化，都将会导致接收方的认证失败，接收方将丢弃该包。但NAT会对外出包的源地址和进入包的目的地址进行修改，AH认为IP包被非法修改，从而导致认证失效。ESP的完整性检查不包括IP头（传输模式），或者检查的是不为NAT所修改的内嵌IP协议头（隧道模式），因此在ESP中不存在这样的问题。 　　2) 校验和与NAT：TCP和UDP在计算校验和时使用了伪头部，因而校验和与IP源和目的地址有依赖关系。因此，当NAT设备改变IP地址后需要重新计算并修改TCP/UDP校验和。当应用了ESP传输模式的IP包经过NAT设备时，由于TCP/UDP校验和处于加密负载之中，该值在在