AH协议为什么和NAT协议冲突。

转载 2015年11月17日 22:22:23

严格的说,只能是隧道模式下的ESP才能穿越NAT。

首先需要了解的是IPSEC的作用,即数据的机密性、完整性、认证性。机密性就是保证数据包的原始内容不被看到;完整性即保证数据包的内容不会被修改;认证性保证数据来自被信任的客户端。

IPSEC中的封装格式有2中(AH和ESP),AH在IP数据包中插入了一个包头,其中包含对整个数据包内容的校验值;ESP用户加密整个数据包内容,同时也可以对数据包进行认证。

IPSec有2 种不同的模式:传输模式和隧道模式。

一中是传输模式,主要用于主机到主机之间的直接通信。

另一种是隧道模式主要用于主机到网关或网关到网关之间。传输模式和隧道模式主要在数据包封装时有所不同。

无论传输模式还是隧道模式,AH都会认证整个数据包。并且AH还会认证位于AH头之前的IP 头。当NAT 设备修改了IP头之后,IPSec 就会认为这是对数据包完整性的破坏,从而丢弃数据包。因此AH是不可能和NAT 在一起工作的。

而ESP在传输模式时会保护TCP/UDP头,但是并不保护IP 头,因此修改IP地址并不会破坏整个数据包的完整性。但是如果数据包是TCP/UDP数据包,NAT设备就需要修改数据包的校验值,而这个校验值是被ESP所保护的,这样却会导致完整性校验失败。 所以最终可能和NAT一起工作的只能是隧道模式下的ESP。

ipsec(AH和ESP)

介绍 最初的IP协议是没有任何的安全措施的。IP数据报含有诸如源地址,目的地址,版本,长度,生存周期,承载协议,承载数据等字段。虽然其拥有“首部校验和”这样的字段来提供极其简易的完整性功能,但无...
  • lyg920
  • lyg920
  • 2016年06月13日 15:46
  • 5562

AH协议与ESP协议简析

AH AH可对整个数据包(IP 报头与数据包中的数据负载)提供身份验证、完整性与抗重播保护。但是它不提供保密性,即它不对数据进行加密。数据可以读取,但是禁止修改。AH 使用加密哈希算法签名数据包...

802.3ah OAM协议讲解

  • 2014年06月02日 20:24
  • 372KB
  • 下载

使用TCP协议的NAT穿透技术 (转)

其实很早我就已经实现了使用TCP协议穿透NAT了,但是苦于一直没有时间,所以没有写出来,现在终于放假有一点空闲,于是写出来共享之。     一直以来,说起NAT穿透,很多人都会被告知使用UD...

802.3ah标准协议

  • 2010年12月29日 20:59
  • 3.33MB
  • 下载

浅谈ARP、NAT、ICMP、DHCP、RIP、OSPF、BGP协议

1、ARP Address Resolution Protocol,地址解析协议,根据IP地址获取物理地址。 主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以...

用UDP协议实现NAT穿透

  • 2015年01月09日 21:37
  • 15KB
  • 下载

H323协议穿越nat防火墙

  • 2014年02月13日 14:42
  • 744KB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:AH协议为什么和NAT协议冲突。
举报原因:
原因补充:

(最多只允许输入30个字)