IPSECVPN配置与NAT兼容配置[定义].pdfVIP

R26 S1-20.254/24 S0-DCE-30.253/24 模拟 internet 外网 S0-DCE-20.253/24 S1-30.254/24 R25 R24 IPSEC VPN E0-10.254/24 E0-40.254/24 私网 A 私网 B PC1-10.1/24 PC2-40.1/24 IPSEC VPN 1、 IPSec 在 3 个方面保证了网络数据包的安全：机密性、完整性、认证性。 2、在传输模式中，只有 IP 包的传输层部分被修改（认证或者加密） ；隧道模式中，整个数 据包包括 IP 头都被加密或认证。 3、AH 还会认证位于 AH 头之前的 IP 头。当 NAT 设备修改了 IP 头之后， IPSec 就会认为 这是对数据包完整性的破坏， 从而丢弃数据包。 因此 AH 是绝对不可能和 NAT 在一起工作 的。 4、 IPSec AH 和 NAT 不兼容、 NAT 与校验和不兼容、 IPSec SPI 选择和 NAT 不兼容、 IKE 地址标识符和 NAT 不兼容、固定 IKE 目的端口和 NAPT 之间不兼容、重叠 (Overlap)SPD 条 目和 NAT 间不兼容、嵌套 IP 地址和 NAT 不兼容以及 NA(P)T 隐含的方向性问题等。 5、与 NAT 共存的方式有： NAT-T （IOS12.2 以上版本的设备）和 UDP 封装 ESP 数据包。 一/ 封装与 NAT AH 封装对 IP 包的完整性保护包括了最外层的 IP 头中的 IP 地址域，NAT 需要改变 IP 地址， 所以导致 AH 封装无效。 ESP 封装不对最外层的 IP 头进行加密，完整性及算不包括 IP 头中的域，因此不影响 ESP 封装。 二/ 校验和与 NAT 传输模式，如果 IP 包中封装了上一层协议（传输层）是 TCP 或者 UDP ，他和 IP 头中的 IP 地址有关。 NAT 更改了 IP 头中的源地址和目的地址，校验和会被重新计算并修改，所以导致被对方 IPSEC 丢弃。 若不修改该字段的值，在接收端，虽然 IPSEC 不会丢弃这个包，但进行校验和校验时会出 错，这个报文还是会被传输层丢弃。 对于隧道模式，则不存在这个问题。 三/ 端口映射 NAPT 需要更改传输层的端口号。如果一个 IP 包受到 IPSEC 的保护，传输层的端口号一定 会受到完整性保护， NAPT 对端口号进行修改后，该 IP 包就会被接收方的 IPSEC 丢弃。 四/IKE 协商时固定的目标端口和 NAPT NAPT 的工作原理是通过不同的端口号来区分不同的连接。 IKE 协商时，进行的 UDP 通信 的端口号一般是固定的（通常是 500 ），这时就会出现问题。 五/ 隧道模式下的 ESP 封装 TCP/UDP 报头是不可见的，因此不能被用于进行