IPSEC穿越NAT.docVIP

IPSec在NAT环境中的部署是VPN的热门难点技术之一，本专栏针对该问题进行原理性探讨，为后续VPN部署方案做下铺垫。 IPSec VPN穿越NAT会遇到哪些问题 IPSec VPN穿越NAT遇到的问题主要有2个： 1.?? 穿越NAT后的身份确认：在IP网络中IP地址是最好的身份标识，IPSec VPN中标准身份标识也是IP地址，如上图所示，从前几期专栏的介绍中我们可以得知，NAT处理过程中会改变IP地址，因此IPSec的身份确认机制必须能够适应IP地址变化；目前解决此问题的方法主要有两种，第一种是使用数字证书替代IP地址作为身份标识，第二种是使用字符串取代IP地址作为身份标识；我国内市场范围内，第二种方法更为常见，部署也更为简单，所以本期主要对第二种方法着重进行介绍。 2.?? IP地址复用： 从上期专栏中，IPSec由AH和ESP两个协议组成，其中AH无法穿越NAT，ESP从理论上可以穿越NAT，但是ESP的IP协议号是50，并不是基于UDP和TCP的协议，因此当NAT网关背后存在多个ESP应用端时，无法只根据协议号进行反向映射，为了使ESP能够在NAT环境中进行地址复用，ESP必须做出改变。 IKE身份确认及野蛮（激进）模式协商 IPSec的身份确认最常见是通过IKE协议代劳，IKE支持的身份认证机制有两种： 1.?? 数字证书方式，通过CA数字证书体系确认身份，是最为安