为什么ESP能够穿越NAT,而AH则不能

最新推荐文章于 2024-03-20 23:08:27 发布
最新推荐文章于 2024-03-20 23:08:27 发布
阅读量6.4k 收藏 15
点赞数
分类专栏: 网络安全

严格地说,只能是隧道模式下的ESP才能穿越NAT。

首先需要了解的是IPSEC的作用,即数据的机密性、完整性、认证性。机密性就是保证数据包的原始内容不被看到;完整性即保证数据包的内容不会被修改;认证性保证数据来自被信任的客户端。
IPSEC中的封装格式有2种(AH和ESP), AH在IP数据包中插入了一个包头,其中包含对整个数据包内容的校验值;ESP用户加密整个数据包内容,同时也可以对数据包进行认证。
IPSec有2 种不同的模式:传输模式和隧道模式。
一种是传输模式,主要用于主机到主机之间的直接通信。
另一种是隧道模式主要用于主机到网关或网关到网关之间。传输模式和隧道模式主要在数据包封装时有所不同。
无论传输模式还是隧道模式,AH都会认证整个数据包。并且AH还会认证位于AH头之前的IP 头。当NAT 设备修改了IP 头之后,IPSec 就会认为这是对数据包完整性的破坏,从而丢弃数据包。因此AH是不可能和NAT 在一起工作的。
而ESP在传输模式时会保护TCP/UDP头,但是并不保护IP 头,因此修改IP 地址并不会破坏整个数据包的完整性。但是如果数据包是TCP/UDP数据包,NAT设备就需要修改数据包的校验值,而这个校验值是被ESP 所保护的,这样却会导致完整性校验失败。 所以最终可能和NAT一起工作的只能是隧道模式下的ESP。
seaskying
关注
专栏目录
NAT-T:IPsec穿越NAT之道
u014023993的专栏
01-24 2万+
目录 1. IPsec与NAT矛盾 2.  身份确认 3.  NAT-T 3.1 NAT-T流程 3.2 报文格式 4.  地址复用 4.1. 隧道模式下的冲突 4.2. 传输模式下的冲突  4.3. 同一个NAT下的冲突 Q And A 参考资料 1. IPsec与NAT矛盾 在文章《IPsec》及《NAT》中介绍了IPsec及NAT的基本知识。我们知道IPsec的协议...
IPSec NAT穿越原理_ipsec配置为什么要配置nat,面试看这个就够了
最新发布
2301_76379269的博客
04-13 956
采用AH安全协议完全不支持NAT穿越场景,ESP安全协议受限于端口,需要用额外端口实现。
天翼云研发告诉我:AH封装的IPsec不能穿越NAT设备
衡水铁头哥的博客
03-20 650
正文共:1333 字 14 图,预估阅读时间:2 分钟最近跟中国电信做VPN的研发交流了一下技术,发现技术爱好者跟研发之间的差距还是很明显的。问题是我在配置天翼云的IPsec VPN连接时,发现IPsec策略的传输协议只有ESP协议可选,我就跑去问了研发为什么不支持AH。研发的答复是AH不可以穿越NAT设备,并且不具备安全性,为了避免客户配置后业务异常,做了屏蔽处理。我一想,这不对啊,AH(Aut...
AH协议为什么和NAT协议冲突。
白学病患者的专栏
11-17 4959
严格的说,只能是隧道模式下的ESP才能穿越NAT。 首先需要了解的是IPSEC的作用,即数据的机密性、完整性、认证性。机密性就是保证数据包的原始内容不被看到;完整性即保证数据包的内容不会被修改;认证性保证数据来自被信任的客户端。 IPSEC中的封装格式有2中(AHESP),AH在IP数据包中插入了一个包头,其中包含对整个数据包内容的校验值;ESP用户加密整个数据包内容,同时也可以对数据包进行
NAT-T技术
weixin_51045259的博客
03-11 1551
传输模式下的隧道模式 ESP可以
IPsec穿越NAT
weixin_43047908的博客
09-17 1175
目录前言IPSecIPSecVPN穿越NAT主要问题IKE身份确认及野蛮(激进)模式协商 前言 IPSec在NAT环境中的部署是VPN的热门难点技术之一。 IPsec协议可以用来在IP层提供校验和加密等安全特性。NAT为了解决地址不足的问题,将私有地址转为公网地址,解决私网路由通信问题。 两个都是非常常见的网络技术,当IPSec位于NAT之后,很多问题就出现了。 IPSec IPsec支持两种模式:传输和隧道。 传输模式对IP包负载应用IPsec协议,对IP包头不进行任何修改。 隧道模式中IPsec将原有
CCIE-IPsec数据穿越NAT
fa_nei_kuang_tu的博客
09-02 506
2021.9.2 明媚如初,春有暖阳 NAT 对于IPSec 的影响 使用AH 封装数据包的影响: 如果IPSec 使用AH 来封装数据包并且通过NAT 设备, AH 都会认证整个数据包, 包含了所有包头. NAT 设备一定会修改最外层包头的地址, 因此导致接收方在进行认证的时候会出现Hash 结果无法匹配的结果, 从而导致认证失败并且丢包. 因此AH封装的数据包是不可能经过NAT 设备的. 使用ESP 封装数据包的影响: 如果IPSec 使用ESP 来封装数据包并且通过N..
VPN、IPSEC、AHESP、IKE、DSVPN
xiaooxiangg的博客
04-14 3931
身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。数字签名,客户端支持的最高版本,加密套件列表,压缩算法列表,客户端随机数。
IPSec中的AH算法和ESP算法
qq_44623737的博客
06-16 6106
IPSec中的AH算法和ESP算法 我们先简单介绍一下什么叫IPSec。 IPSec是一种开放标准的框架结构,特定的通信方之间在IP层通过加密和数据摘要(hash)等手段,来保证数据包在Internet 网上传输时的私密性 、完整性和真实性。IPSec只能工作在IP层,要求乘客协议和承载协议都是IP协议。 IPsec (互联网协议安全性)涉及两个安全服务: (1)身份验证标头 (AH):这将对发送方进行身份验证,并在传输过程中发现数据的任何更改。 (2)封装安全负载 (ESP):这不仅对发送方执行身份验
esp32_nat_router:ESP32的简单NAT路由器
04-29
ESP32 NAT路由器 这是使用ESP32作为WiFi NAT路由器的固件。 可以用作 适用于现有WiFi网络的简单范围扩展器 为访客或物联网设备设置具有不同SSID /密码的其他WiFi网络 它可以实现超过15mbps的带宽。 该代码基于和 。 表现 所有测试均使用IPv4和TCP协议。 木板 工具 优化 CPU频率 通量 力量 ESP32D0WDQ6 iperf3 0g 240MHz 16.0 MBits/s 1.6 W ESP32D0WDQ6 iperf3 0s 240MHz 10.0 MBits/s 1.8 W ESP32D0WDQ6 iperf3 0g 160MHz 15.2 MBits/s 1.4 W ESP32D0WDQ6 iperf3 0s 160MHz 14.1 MBits/s 1.5 W 第一次启动 首次启动后,ESP
5. 详解: IPsec 穿越 NAT 之道
weixin_38387929的博客
06-05 5407
1. IPsec与NAT矛盾 在文章《IPsec》及《NAT》中介绍了IPsec及NAT的基本知识。我们知道IPsec的协议分为AHESP,封装模式分为传输模式及隧道模式,也知道由于NAT会对IP头进行修改导致AH协议下的IPsec不能穿越NAT。 那么ESP协议能不能穿越NATESP协议对数据进行完整性检查,不包括外部的IP头,IP地址转换不会破坏ESP的Hash值。但ESP报文中TCP/UDP的端口已经加密无法修改,所以对于同时转换端口及IP地址的NAT来说,ESP无法穿越NAT。如果NAT只转换I
56 ESP32 NAT_Router模式踩的坑记录
Chasing_Chasing的博客
10-17 1625
56.1 引言 今日前来加班,需要搞定ESP32 的NAT模式,还好一切顺利。之前是参考这个例程。 但我只是参考了例程的代码,没有按照他的步骤重新替换ESP-IDF里面的lwip的文件,导致nat_router似乎一下可以,一下又不行。 昨天晚上搜索问题的时候又重新搜到下面这个示例工程,之前在参考下图工程的时候,并没有仔细阅读步骤,导致迷迷糊糊的问题,并且不成功,今天认真阅读后经实践,成功实现nat_router功能。 56.2...
AH协议与ESP协议简析
热门推荐
bytxl的专栏
11-19 6万+
http://www.gxu.edu.cn/college/hxhgxy/sec/COURSE/ch12/2_1.htm http://www.gxu.edu.cn/college/hxhgxy/sec/COURSE/ch12/2_2.htm 1.封装安全载荷包格式 ESP属于IPSec的一种协议,ESP提供机密性、数据起源验证、无连接的完整性、抗重播服务和有限业务流机密性。
IPSec :NAT穿越
hhd1988的专栏
05-18 5288
IPSec NAT 穿越简介
锐捷网络——IPSec NAT的问题探讨:IPSEC与NAT的兼容性问题
君逍遥o
09-08 467
IKE使用的源目端口都是UDP 500,如果存在端口转换的情况,IKE的源端口可能被改变,这样如果响应者判断该端口不是UDP 500的话,就可能存在IPSEC第一阶段协商不通过的问题。
IPsec的NAT穿越详解
qq_47529104的博客
04-07 1万+
问题场景 左边的支部,它的防火墙上联路由器,由于防火墙内部的接口使用的是私网地址,这就导致其无无法在公网上与对端防火墙进行IPsec的隧道建立 。所以必须在AR5上面不是NAT地址转换,由于一般使用的是NAPT,isakmp协议因为是UDP报文,且没有像AH或者ESP那样有对内容进行签名,所以可以正常地协商IKE SA以及IPsec SA,但是AHESP就没有那么简单了 AHESP的认证范围如图所示,其实说是认证范围本质上来说应该是进行HASH运算的范围,如图所示,AH的签...
NAT穿越
Mishi_yue的博客
06-19 1819
** NAT穿越 ** 1.1 NAT概述 NAT(Network Address Translation)地址转换是为了缓解日益紧张的Internet公网IP地址匮乏的问题而采用的一种将内部私有网络IP地址映射为外网IP地址的技术标准。 主要分为静态NAT,动态NAT和网路地址端口转换NAPT三种类型。NAPT的基本工作原理:NAT设备接收到内部主机的数据包,将该包的内部IP地址和TCP/UDP...
IPSec NAT穿越原理
qq_32044265的博客
11-30 3374
IPSec 隧道的两个网关上同时开启 NAT 穿越功能(对应命令行 nat traversal)。开启 NAT 穿越功能后,当需要穿越 NAT 设备时, ESP 报文会被封装在一个 UDP 头中,源和目的端口号均是 4500。
为什么还要AH协议?ESP可以取代AH吗?
06-03
AH协议和ESP协议都是IPsec协议中提供数据完整性和安全性的两种协议。AH协议提供数据完整性、防篡改和认证服务,而ESP协议则提供加密、数据完整性和防篡改等服务。 尽管ESP协议已经提供了AH协议的所有功能,但是AH协议仍然有其独特的优势和使用场景。主要原因如下: 1. AH协议提供的认证机制更为严格,能够更有效地防止攻击者进行伪造和篡改数据包。 2. ESP协议的加密机制可能会导致一定的延迟,而AH协议不需要加解密操作,因此速度更快。 3. 在某些网络环境下,由于网络设备会进行 NAT 地址转换,导致 ESP 协议的加密机制失效,此时只能使用 AH 协议提供的认证服务来保证数据安全。 因此,AH协议和ESP协议并非完全可以互相替代。在实际应用中,需要根据具体的网络环境和安全需求来选择使用哪种协议或者同时使用两种协议。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值