关闭

AH协议为什么和NAT协议冲突。

678人阅读 评论(0) 收藏 举报

严格的说,只能是隧道模式下的ESP才能穿越NAT。

首先需要了解的是IPSEC的作用,即数据的机密性、完整性、认证性。机密性就是保证数据包的原始内容不被看到;完整性即保证数据包的内容不会被修改;认证性保证数据来自被信任的客户端。

IPSEC中的封装格式有2中(AH和ESP),AH在IP数据包中插入了一个包头,其中包含对整个数据包内容的校验值;ESP用户加密整个数据包内容,同时也可以对数据包进行认证。

IPSec有2 种不同的模式:传输模式和隧道模式。

一中是传输模式,主要用于主机到主机之间的直接通信。

另一种是隧道模式主要用于主机到网关或网关到网关之间。传输模式和隧道模式主要在数据包封装时有所不同。

无论传输模式还是隧道模式,AH都会认证整个数据包。并且AH还会认证位于AH头之前的IP 头。当NAT 设备修改了IP头之后,IPSec 就会认为这是对数据包完整性的破坏,从而丢弃数据包。因此AH是不可能和NAT 在一起工作的。

而ESP在传输模式时会保护TCP/UDP头,但是并不保护IP 头,因此修改IP地址并不会破坏整个数据包的完整性。但是如果数据包是TCP/UDP数据包,NAT设备就需要修改数据包的校验值,而这个校验值是被ESP所保护的,这样却会导致完整性校验失败。 所以最终可能和NAT一起工作的只能是隧道模式下的ESP。
0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:122669次
    • 积分:4099
    • 等级:
    • 排名:第7964名
    • 原创:291篇
    • 转载:41篇
    • 译文:0篇
    • 评论:25条
    最新评论