IPse穿越NAT技术白皮书.doc

IPsec穿越NAT技术白皮书 版本 主要 版本描述 完成日期 1.0.0 闻凯华 IPsec穿越NAT技术白皮书 2010-11-24 TOC \o 1-5 \h \z IPsec穿越NAT技术白皮书 1 HYPERLINK \l bookmark0 \o Current Document \h 1 mi a 1 2财傾 1 3 ■測 3 HYPERLINK \l bookmark7 \o Current Document \h 3.1在企业中的应用 4 4结刺吾 4 HYPERLINK \l bookmark9 \o Current Document \h 附录A缩略语 5 上海傅达数裾通信有限公司 IPsec 穿越 NA T 木文概述了 IPsec穿越NAT的特点。IPsec是一种提供参与通信的两端之间提供数据机密性、 数据完整性、数据验证的一种开放标准框架，作力一种重要的安全技术得到越來越广泛的应用，但 客户网络边缘大量使用的NAT操作可能影响到IPSec的正常操作、NAT穿越技术很好的解决了 IPsec 和NAT共存的问题。 关键词：IPsec NAT 1前言 点对点的IPsec VPN在大型网络内部或者行业私网里面应用比较广泛。解决网络内部传 输的部分数据谣要加密，网络内部的点到点设备谣要身份验证的问题。而在一些企业巾企业 节点连接到Internet，用户打算在不改变原有的网络结构的同吋，在内网新增一台VPN设备， 实现与远端VPN设备之间的IPSec VPN。此时点到点的IPsec VPN显然无法满足，而IPsec 穿越NAT技术却解决了这一问题。 2技术介绍 IPSec提供了端到端的IP通信的安全性，但在NAT环境下对IPSec的支持有限。从IPsec的角 度上说，IPsec要保证数裾的安全，因此它会加密和校验数裾。而从NAT的观点来看，为了完成地 址转换，势必会修改IP地址。当NAT改变了某个包的IP地址和（或）端口号时，它通常要 更新TCP或UDP校验和。当TCP或UDP校验和使用了 ESP来加密时，它就无法更新 这个校验和。由于地址或端口已经被NAT更改，目的地的校验和检验就会失败。虽然UDP校 验和是可选的，但是TCP校验和却是必需的。ESP隧道模式将整个原始的IP包整个进行了加密, 且在ESP的头部外而新加了一层IP头部，所以NAT如果只改变最前而的IP地址对后而受到保护的 部分是不会有影响的。因此，IPsec只有采用ESP的隧道模式来封装数据时才能与NAT共存。 ESP报文结构 ESP是-?种安全封装协议，对应的协议号为50。用于为IP提供机密性、数据源验证、抗重播 以及数据完整性等安全服务。ESP可用来保护一个上层协议（传输模式）或一个完整的IP数据包 （隧道模式）。ESP报文的协议相关部分分为两部分：ESP协议头部和尾部。ESP不保护报文位于 ESP协议头部前面的部分。 ESP的隧道模式下的报文格式： 加密 Outer IPHdr ESP Header IP Header Data ESP trailer ESP Auth IPsec 穿越 IPsec 穿越 NA T 验庄 端口 NAT流程 NAT设备收到私网侧主机发送的访问公网侧服务器的报文。NAT设备从地址池中选取一对空闲 的“公网IP地址+端口号”，建立与私网侧报文“源IP地址+源端口号”间的NAPT转换表项（正 反向），并依据查找正向NAPT表项的结果将报文转换后向公网侧发送。NAT设备收到公网侧的回 应报文后，根据其“目的IP地址+0的端口号”查找反向NAPT表项，并依据查表结果将报文转换 后向私网侧发送。 检测NAT设备 NAT-D负裁不仅仅是检测两个IKE对等体之间存在NAT设备而且要检测NAT设备的位罝。检 测IKE对等体之间是否存在NAT通过检测IP地址和端口是否在传输的路径上被修改来决定。具体 过程是：首先发送各自的ip和端口的哈希值给对方。如果IKE对等体收到哈希值计算后发现没有被 修改那就表明两个IKE对等体之间没有NAT设备。如果计算后发现哈希值被修改那就表明IKE对 等体之间存在NAT设备并翻译了地址和端门。NAT-D负载包含在主模式的第三和第叫个数据包中。 如果IKE peer之间没有NAT设备，那收到的第一个NAT-D负载需要匹配其中的一个本地NAT-D负 载，另外一个NAT-D负载需要匹配对端IKEpeer的IP和端口。如果第一个NAT-D检验失败，那就 表明两个1KE对等体之间存在动态NAT,本端就需要开始发送keeplives。 4 .NAT穿越 将ESP协议包封装到UDP包中（在原ESP协议的IP包头外添加新的IP头和UDP头）。使得NA T对待它就像对待一个普通的UDP包一样