IPsec穿越NAT技术白皮书.docVIP

IPsec穿越NAT技术白皮书 版本 主要作者 版本描述 完成日期 1.0 2010-11-24 目 录 IPsec穿越NAT技术白皮书 1 1 前言 1 2 技术介绍 1 3 典型应用 3 3.1 在企业中的应用 4 4 结束语 4 附录A 缩略语 5 摘要：本文概述了IPsec穿越NAT的特点。IPsec是一种提供参与通信的两端之间提供数据机密性、数据完整性、数据验证的一种开放标准框架，作为一种重要的安全技术得到越来越广泛的应用，但客户网络边缘大量使用的NAT操作可能影响到IPSec的正常操作IPSec提供了端到端的IP通信的安全性，但在NAT环境下对IPSec的支持有限从IPsec的角度上说，IPsec要保证数据的安全，因此它会加密和校验数据。从NAT的观点来看，为了完成地址转换，势必会修改IP地址。当?NAT?改变了某个包的?IP?地址和（或）端口号时，它通常要更新?TCP?或?UDP?校验和。当?TCP?或?UDP?校验和使用了?ESP?来加密时，它就无法更新这个校验和。由于地址或端口已经被?NAT?更改，目的地的校验和检验就会失败。虽然?UDP?校验和是可选的，但是?TCP?校验和却是必需的。ESP隧道模式将整个原始的IP包整个进行了加密，且在ESP的头部外面新加了一层IP头部，所以NAT如果只改变最前面的IP地址对后面受到保护的部分是不会有影响的。因此，IPsec只有采用ESP的隧道模式来封装数据时才能与NAT共存。 2．端口NAT流程 NAT设备收到私网侧主机发送的访问公网侧服务器的报文。NAT设备从地址池中选取一对空闲的“公网IP地址＋端口号”，建立与私网侧报文“源IP地址＋源端口号”间的NAPT转换表项（正反向），并依据查找正向NAPT表项的结果将报文转换后向公网侧发送。NAT设备收到公网侧的回应报文后，根据其“目的IP地址＋目的端口号”查找反向NAPT表项，并依据查表结果将报文转换后向私网侧发送。 3. 检测NAT设备 NAT-D负载不仅仅是检测两个IKE对等体之间存在NAT设备而且要检测NAT设备的位置。检测IKE对等体之间是否存在NAT通过检测IP地址和端口是否在传输的路径上被修改来决定。具体过程是：首先发送各自的ip和端口的哈希值给对方。如果IKE对等体收到哈希值计算后发现没有被修改那就表明两个IKE对等体之间没有NAT设备。如果计算后发现哈希值被修改那就表明IKE对等体之间存在NAT设备并翻译了地址和端口。NAT-D负载包含在主模式的第三和第四个数据包中。如果IKE peer之间没有NAT设备，那收到的第一个NAT-D负载需要匹配其中的一个本地NAT-D负载，另外一个NAT-D负载需要匹配对端IKE peer的IP和端口。如果第一个NAT-D检验失败，那就表明两个IKE对等体之间存在动态NAT，本端就需要开始发送keeplives。 4 .NAT 穿越 将ESP协议包封装到UDP包中（在原ESP协议的IP包头外添加新的IP头和UDP头）。使得NAT对待它就像对待一个普通的UDP包一样。NAT-T的基本原理和执行步骤 检测通信中是否存在NAT设备和对方是否支持NAT-T2.检测对方是否支持NAT-T是通过交换vendor ID载荷来实现的，如果自身支持NAT-T，在IKE开始交互就要发送这种载荷，载荷内容是“RFC 3947”的MD5值，也就是十六进制的“4a131c81070358455c5728f20e95452f” UDP封装后的IPSEC ESP 报文格式： 检测两端设备是否支持NAT-T和NAT设备在两个IKE对等体之间位置。 启用新端口：在主模式中，NAT inside端当他发送数据时必须修改端口，而且必须把源端口和目的端口都修改为4500.NAT设备会修改IKE UDP的源端口，接收者需要能处理源端口不是500的IKE数据包。有两种情况下NAT设备不需要修改源端口: 1.NAT设备outside端只有一个用户。 2.对于第一个用户，NAT可以保持他的500端口，只修改后续用户的端口号。 5. NAT Keepalives NAT将一个私有IP地址映射为一个公有IP地址(或者还有端口)的时间是有限度的，要是在这个限度内没有被使用，就会被释放掉，这样就删除该IPSec SA。表示对等方NAT穿越的映射关系已经被删除。这样会使后续的IPSec通信中断。所以专门设计了一个UDP的Keepalive数据包，定时发送，保证NAT设备中的映射关系不被释放。接收方接收到Keepalive数据包后，不对Keepalive数据包进行处理，而是直接将其丢弃。这样做的目的是NAT中的映射关系在IPSec通信的过程中不会被过早地释放掉。Lifetime不管隧道里面在不在传输数据只要超时