取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

December 2020

【原创】IPsec VPN中NAT-T技术简介

5402
查看次数
30
有帮助
4
评论
NAT-T技术默认在ASA和路由器上都是启用的,如果想要关闭功能,那么在任何一边no掉就可以了:
ASA上的命令:no crypto isakmp nat-traversal
IOS上的命令:no crypto ipsec nat-transparency udp-encapsulation
一个小feature是:
因为ASA上xlate转换槽位默认的显示时间为30s,所以如果想让ASA上保持这个转换槽位,可以在Site2上开启keepalive功能,每20s发送一个保活包:
crypto isakmp nat keepalive 20
在IPSsec VPN中,NAT对ESP的影响:
1、对于传输模式的ESP,NAT修改了外层IP地址,由于TCP/UDP检验和的计算包含IP源目地址,所以TCP/UDP的校验和需要更新,但是现在TCP/UDP已经被加密,中间路由器无法更新TCP/UDP的校验和,所以TCP的校验和检查最终会失败
2、对于隧道模式的ESP,不收1:1转换的影响(动态一对一,及静态一对一),但是不能穿越PAT,因为PAT转换,多个内部地址复用一个外部地址,并且使用传输层端口来区分不同流量,很遗憾ESP没有传输层端口
NAT-T就是在加密的数据包的IP头部和ESP头部中间再插入一个NAT-T头部,这个头部是UDP的,源目端口号都是4500。这里需要指出的是,不光是PAT,只要是判定了两个peer之间有NAT,就会有NAT-T。
NAT-T技术的三个步骤:
1、决定双方是否都支持NAT-T
2、决定两个peer之间是否有NAT存在
3、决定如何使用UDP封装
161300wl0itt1j9h33y4lh.png
评论
xiaocqu
Beginner
本帖最后由 xiaocqu 于 2018-6-6 06:07 编辑
谢谢楼主分享
yangkai_716
Collaborator
学习了,很详细,感谢楼主分享
wilson_yong
Community Member
谢谢分享。
xuxiaoxunlxl
Beginner

学习了,很详细,感谢楼主分享