IPSec和NAT冲突问题隧道嵌套解决方案研究.docVIP

IPSec和NAT冲突问题隧道嵌套解决方案研究 　　【 摘 要 】 IPSec与NAT技术在现今计算机网络中都是广泛应用的技术，但IPSec与NAT之间存在着协议冲突问题，文章在分析IPSec与NAT之间冲突的原因后，提出使用GRE隧道嵌套IPSec隧道的方法，并通过实例进行说明，对GRE隧道嵌套IPSec隧道的数据传输效率进行分析，最终实现隧道嵌套解决IPSec与NAT冲突问题。 　　【 关键词 】 IP安全协议;网络地址转换;通用路由封装;认证首部;封装安全负荷;Internet密钥交换;虚拟专用网 　　【 中图分类号 】 TP393.08 【 文献标识码 】 A 　　Tunnel Nested Solution Research to Solve IPSec and NAT Conflict 　　Cao Jiong-qing 　　（Guizhou Vocational Technology College of Electronics amp; Information ，Department of Computer Science GuizhouKaili 56000） 　　【 Abstract 】 IPSec and NAT technology in modern computer network is widely applied technology， But there is conflict in protocol between IPSec and NAT， Based on the analysis of conflict reason between IPSec and NAT， This paper proposed to use the tunnel nested technology to solve IPSec and NAT conflict ， And then it is explained through an example ， Through the data transmission efficiency analysis ， at last to solve IPSec an NAT conflict with tunnel nested technology. 　　【 Keywords 】 IPSec; NAT; GRE; AH; ESP; IKE; VPN 　　1 引言 　　在现今计算机网络中，网络地址转换NAT（Network address translation）技术和IP安全协议IPSec（IP Security Protocol）技术已非常普及，其中NAT技术主要用于解决IPV4版本中IP地址匮乏的问题，同时对企业内部网络的IP地址进行了隐藏，有效地保护企业内部网络，而IPSec技术在企业内部网络远程互联，通过IPSec隧道实现企业内部网络的扩展，构建虚拟专用网VPN（Virtual Private Network）中成为最常用技术。 　　但NAT技术与IPSec技术存在着底层协议冲突的问题，现今主要采用IPSec OVER TCP（Transmission Control Protocol，传输控制协议）、UDP（User Datagram Protocol，用户数据报协议）封装法、RSIP（Realm-Specific IP，领域特定IP）等方法解决NAT与IPSec冲突的问题。 　　本文提出隧道嵌套的思路，并通过通用路由封装GRE（Generic Route Encapsulation）隧道嵌套IPSec隧道的实例解决NAT与IPSec冲突的问题。 　　2 NAT、IPSec和GRE 　??2.1 NAT 　　由于现行IP地址标准版本4的限制，Internet面临着IP地址空间短缺的问题，NAT不仅较好地解决了IP地址不足的问题，而且还能够有效地避免来自企业网络外部的攻击，隐藏并保护网络内部的计算机。 　　NAT功能通常被集成到路由器、防火墙、单独的NAT设备中实现，现在比较流行的网络操作系统或代理服务软件也有着NAT的功能。 　　NAT技术实现的类型主要有三种：①SNAT（Static NAT，静态NAT）用于将某个私有IP地址对应某个公网IP地址，对应关系一对一;②DNAT（Dynamic NAT，动态NAT）用于将多个公网IP地址对应于多个私有IP地址，对应关系多对多，通常企业申请有一段公网IP地址段;③NAPT（Port NAT，端口NAT）用于将多个私有IP地址通过端口映射的方法对应于一个公网IP地址，对应关系多对一，采用动态端口映射时主要用于企业内部私有IP地址访问