NAT穿越(NAT-T)
- NAT-T技术在IKE协商阶段通过探测报文来发现是否有NAT的存在;
- 如果建立ipsec v*n的两端,其中发起端(拨号端)位于NAT后面(例如:二级运营商、出差人员位于宾馆内网、防火墙前面有其他安全设备、防火墙或者专业v*n设备放置于出口路由器后面且路由器配置了NAT)时,由于数据在传输过程中IP地址和端口发生了转换,导致ipsec数据完整性校验失败。此时可以采用NAT穿越技术(一般默认开启,不用做额外配置)增加新的UDP端口包头,是的ipsec数据校验正常,进而是的v*n运行正常;
- AH封装模式(不常用):校验IP和端口,无法支持NAT穿越;
- ESP封装模式:仅仅校验端口和data,支持NAT穿越
- IPSec NAT穿越原理:NAT-T技术在ESP封装和外层IP包头之间插入8个字节的UDP报文头,端口号为4500;