网络安全架构设计和网络安全设备的部署课件.pptVIP

* IPSec技术疑难 穿越NAT问题 关于MTU问题 * IPSec为啥不能穿越NAT NAT只对TCP、UDP、ICMP有效，IPSec报文是AH、ESP协议的，因此NAT无法正确处理这两类的报文，导致IPSec 报文无法穿透NAT设备。 AH的目的是保护IP头部中不变的区域(包括地址域)，而NAT必须转换地址，从而使AH完整性检验失效。 因此，NAT和AH从根本上就是不兼容的。在IPSec-NAT兼容性方案中，没有必要支持AH。 VPN 1 VPN 2 AH校验＝A NAT 再次AH校验＝B A 不相等，校验失败 发起方 接收方 操作提示：当VPN的应用中存在NAT环境时，请不要选择AH算法。 * IPSec如何实现NAT穿越 UDP封装 ESP 传输模式下 ESP 隧道模式下 * 双边NAT环境如何实现穿越 网络中出现双边NAT环境时，必须依靠第三方VPN，通过隧道接力功能实现VPN互通。 如下图，VPN1建立和VPN3的隧道，VPN2建立和VPN3的隧道。当VPN1访问VPN2时，VPN1的数据先发送给VPN3，由VPN3转发给VPN2。 VPN 1 NAT NAT VPN 2 VPN 3 隧道接力 VPN隧道 数据传输 * IPSec与MTU IPSec封装会引入了额外的头（一般100 bytes左右），这样就会使原来的报文变大（1500+100=1600 byte