IPsec是应用于网络层的一种加密服务的internet协议,提供安全的端到端通信服务,一般我们通过移动客户端软件拨号连接到服务器,那么ipsec如何穿越nat?
工具/原料
nat
ipsec
方法/步骤
1、IPSec的标准身份标识则是IP地址,由于Nat处理会改变IP地址,因此IPSec的身份确认机制必须适应IP地址变化,最好的办法是使用字符串作为身份标识;
2、IPSec由AH和ESP两个协议组成,AH无法穿越N瞢铍库祢at,ESP则从理论上是可以穿越Nat的,ESP鹚兢尖睁的IP协议并不是基于UDP与TCP协议,为了使ESP能够在Nat环境中进行地址复用,ESP必须做出改变;
3、通过数字证书方式确认身份,IKE身份确认通过数字证书体系检验对方身份真伪,由于数字证书中的身份信息并没有IP信息,所以可以穿透Nat;
4、身份标识+预共享密钥是通过发起方与响应方预先配置相同的密钥,在预共享密钥身份确认确认中,可以使用名字作为身份标识,也没有用ip作为身份标识,所以也能穿越Nat;
5、IPSec通过UDP封装穿越Nat:ESP穿越Nat堤寇辔钒其实很简单,通过借用UDP的方式,巧妙地实现了NAT地址复用;响应方收到协议报文时发现发起菱诎逭幂方经过nat设备,源地址与通告地址不一致,则采用udp封堵,若没源地址就是公网地址则原生态封装模式;
6、如果要使用名字作为身份标识,那么IKE协商就必须要使用特殊方式野蛮模式。