NAT-T技术原理简单分析及应用实验解析

最新推荐文章于 2022-10-11 14:30:27 发布
最新推荐文章于 2022-10-11 14:30:27 发布
阅读量1w 收藏 33
点赞数 19
分类专栏: 网络 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZhangPengFeiToWinner/article/details/84035575
版权

1.首先我们就IPSEC VPN的部署场景来做简要分析:
在这里插入图片描述
场景1:如图所示,企业的总部与分支机构分别架设了VPN设备,分支机构的需求是同步企业内部的业务数据(属企业内部的机密信息),那麽就必须确保数据在公网上是安全包密传递的。这种情况下我们可以直接用IPSEC VPN的隧道工作模式或传输工作模式(用传输工作模式的前提是底层要有隧道),使用IPSEC VPN的ESP(封装安全载荷)协议(使用ESP协议是因为ESP可以同时完成对数据的加密及校验)来保障数据在公网上是安全、加密传输的。
在这里插入图片描述
场景2:如图所示,企业一般为了自己内网的安全考虑,在自己内部局域网的出口上是会架设防火墙的,并且会要求内部的所有设备通过防火墙的代理来上公网,那麽这就必然要使用NAT技术,但是使用了NAT技术就会带来一个新的问题,我们对这个问题来从两个方面入手分析:
1) 企业总部与分支机构都只架设一台VPN设备的情况下,并且企业总部方面是通过防火墙的代理来与分支构建VPN通道,那麽NAT技术此时是没有问题的,数据包出内网时经过改头换面可以到达对端VPN设备上,而分支机构给总部回包的话数据包是可以正常回到总部边界的防火墙上的,因为数据包在出内网时经过了NAT的转换,所以会在防火墙上形成一张地址转换列表,当分支回给总部的包到了防火墙上时,防火墙可以根据地址转换表将数据包转到VPN设备之上
技术方面:总部这边应用了防火墙来代理上网的话,总部与分支之间的VPN设备对接就可以直接应用IPSEC的隧道工作模式,并且选用IPSEC VPN的野蛮模式来进行对接,因为经过NAT,数据包的IP地址发生了转换(对于主模式来说IP地址发生改变,会导致协商失败的,因为主模式

最低0.47元/天 解锁文章
【系统架构设计师-2014年真题】案例分析-答案及详解
数据知道的博客
09-13 7160
MVC架构风格最初是Smalltalk-80中用来构建用户界面时采用的架构设计风格。其中M代表模式(Model),V代表视图(View),C代表控制器(Controller)。在该风格中,模型表示待展示的对象,视图表示模型的展示,控制器负责把用户的动作转成针对模型的操作。模型通过更新视图的数据来反映自身的变化。在本系统中,模型(M)代表监控组件、视图(V)代表控制终端、控制器(C)代表管理模块。【参考答案】
NAT网络地址转换以及命令应用
weixin_56667320的博客
04-14 1803
一、NET的技术背景 ※IPV4地址耗尽 ※局域网用户普遍使用是由IV4地址,如何访问公网? ※局域网中使用是由IPV4地址的服务器如何对公网提供服务? ※若需要对外隐藏内网的IP,同时内网的特定服务器有需对外提供服务该如何实现? 为了解决以上四个问题,产生了NET网络地址转换技术,即把私网ip地址转换成公网ip地址,从而让私网ip地址可以访问公网ip地址,可以大大的节省ipv4的地址。 这里需要说明一个公网IP地址和私网IP地址的区别 二、NET是什么 NAT(Network Address Trans
IPSec的NAT穿越
06-24 1587
 参考资料:RFC3715,3947,3948 1. 前言 IPSec提供了端到端的IP通信的安全性,但在NAT环境下对IPSec的支持有限,AH协议是肯定不能进行NAT的了,这和AH设计的理念是相违背的;ESP协议在NAT环境下最多只能有一个VPN主机能建立VPN通道,无法实现多台机器同时在NAT环境下进行ESP通信。关于IPSec在NAT环境下的需求问题在RFC3715
计算机网络——NAT工作原理分析与验证
hml666888的博客
06-26 1110
1、用PacketTracer(5.3或以上版本)打开文件51_NAT_Testing.pkt.pkt。在R1上已经配置好了NAT:192.168.1.0/24的私网地址被动态映射到公网地址220.173.141.17及220.173.141.18,192.168.1.10/24被静态映射到公网地址220.173.141.21。公网地址范围为220.173.141.16/29。 2、可访问性验证:...
IPSec NAT-T技术
weixin_33812433的博客
08-27 203
NAT技术和IPsec技术的应用都非常广泛。但从本质上来说,两者是存在着矛盾的。1.从IPsec的角度上说,IPsec要保证数据的安全,因此它会加密和校验数据。2.从NAT的观点来看,为了完成地址转换,势必会修改IP地址。 IPSec提供了端到端的IP通信的安全性,但在NAT环境下对IPSec的支持有限,AH协议是肯定不能进行NAT的了,这和AH设计的理念是...
nat-t
shihun010的博客
12-07 641
nat-t nat-t 解决了IPSec多连的问题。 1 隧道协商过程中,IKE规定源和目的端口都必须为 UDP 500,在多VPN下源端口可能会在NAT后发生变化,再回包时认证失败。 2、数据传输过程中,由于ESP在工作在网络层,没有传输层头部,从而无法进行NAPT端口复用,导致 数据传输失败。 而nat-t也是专门为解决这两个问题而出现的 1nat-t协议运用在IPSec中,在IKE协商和VP...
NAT-T技术
weixin_51045259的博客
03-11 1738
传输模式下的隧道模式 ESP可以
NAT穿越(NAT-T)原理
热门推荐
曹世宏的博客
09-16 3万+
IPSec NAT 穿越简介 IPSec NAT穿越的场景: 本质上解决ESP协议无法提供转换端口,插入UDP 4500端口 有以下两种场景,需要进行进行NAT穿越。 场景一、FW既做IPSEC网关,又做NAT转换 此种场景下,是当运营商给客户的动态分配的私网地址情况下,FW需要穿越运营商的nat。 IPSEC网关与NAT在同一台设备 ,如果运营商给分配的是公网地址,需要做NAT旁路(NAT豁...
eNSP综合实验:VRRP、BFD、NAT、ACL、DHCP、单臂路由等技术应用实现多出口访问互联网智能选路
weixin_44611826的博客
10-05 2636
eNSP综合实验:VRRP、BFD、NAT、ACL、DHCP、单臂路由等技术应用实现多出口访问互联网智能选路
网络协议分析的艺术:TCP抓包实验的全面详解与案例应用
网络协议分析是网络管理与故障排查的重要技术之一,本文系统地介绍了网络协议的基础知识,详细解析了TCP/IP协议族的核心组成部分,如TCP、UDP协议和IP协议。同时,通过网络抓包工具的介绍和使用,本文指导了如何捕获...
NAT-T和PAT(IPSec)
weixin_30687051的博客
12-13 221
¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥NAT-T技术介绍¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥ 为什么TCP和UDP不能穿越:TCP和UDP有一个IP头的尾部校验(校验头部和负载,IP尾部(SIP,DIP,协议号));而IP只是校验IP头部。穿过NAT的时候,IP头部的地址变了,那么校验结果也就改变了,这样就不行了。数据在传输层就丢掉了。 Cisco的IOS 12....
Cisco ❀ IPsec多隧道建立(NAT-T技术引入)
无糖可乐没有灵魂
08-11 1580
现在要做的是MGRE在IPSEC加密的条件下进行ISP之间的VPN建立 需要使用:IPV4、NAT、IPSEC、MGRE、静态路由 NAT -T(路由器默认支持) 作用:可以在一个接口上连接多个VPN 开启NAT-T之后: (1)非500可以进行IKE协商 (2)增加UDP-4500短号的头部 如果设备未开启,请使用下面的命令来开启NAT-T R1(confi...
NAT基本原理及应用
qq_19332219的博客
01-16 915
 1. NAT 简介 NAT(Network Address Translation ,网络地址转换) 是一种广泛应用的解决IP 短缺的...
NAT-T:IPsec穿越NAT之道
u014023993的专栏
01-24 2万+
目录 1. IPsec与NAT矛盾 2.  身份确认 3.  NAT-T 3.1 NAT-T流程 3.2 报文格式 4.  地址复用 4.1. 隧道模式下的冲突 4.2. 传输模式下的冲突  4.3. 同一个NAT下的冲突 Q And A 参考资料 1. IPsec与NAT矛盾 在文章《IPsec》及《NAT》中介绍了IPsec及NAT的基本知识。我们知道IPsec的协议...
NAT穿透基本原理技术
G_BrightBoy的专栏
07-17 2479
NAT穿越(NAT traversal) 涉及TCP/IP网络中的一个常见问题,即在处于使用了NAT设备的私有TCP/IP网络中的主机之间建立连接的问题。会遇到这个问题的通常是那些客户端网络交互应用程序的开发人员,尤其是在对等网络和VoIP领域中。IPsecVPN客户普遍使用NAT-T来达到使ESP包通过NAT的目的。尽管有许多穿越NAT的技术,但没有一项是完美的,这是因为NAT的行为是
NAT、V*N、隧道技术
GraceQin97的博客
10-11 3358
Network Address Translation,NAT,网络地址转换Virtual Private Network, 虚拟专用网络Virtual:虚拟的,在计算机网络的相关名词中,Virtual很常见,Virtual Local Network(VLAN),又如虚拟端口,在trunk link等中都有广泛应用。我个人理解的虚拟也即逻辑上的概念,并非物理存在,而是建立在物理连接上的虚拟、逻辑概念。因此,虚拟专用网络没有自己的物理专线,而是建立在已有公网上的逻辑概念上的网络。
简述IPSEC-NAT-T
HC博客
11-10 5016
IPSEC-NAT-T产生背景:NAT本身是对IP包的源地址修改,但是破坏了完整性,VPN校验时不完成就会丢弃。 普通NAT的作用:将原来的IP端口号改变,但是防火墙会有端口映射表所以会精确回包。 声明:第一阶段用的是UDP:500 第二阶段用的是ESP :500 双方身份ID不匹配的原因:在主模式下会使用本端的IP地址;当头部202.96.137.88传到深圳总部时会进行一次NAT转换,...
实验十:NAT技术实验
Fighting
08-04 869
拓扑图如下:需求:VPCS可以ping通R4,R4可以telnet访问R1。首先,按照如图的标注进行ip地址的配置。下面贴出网关(R3)的配置://R3的ip配置就不贴出了,只贴一下nat的相关命令 conf t//定义一个访问控制列表匹配感兴趣的流量 access-list 1 permit 192.168.1.0 0.0.0.255//经过下面命令之后,R2可以ping通R4了 ip nat i
NAT技术相关实验报告
syndicate2331的博客
12-30 2288
NAT(网络地址转换) 边界路由器上,进行公私有ip地址间转换的协议,是内网与外网沟通交流的枢纽。其工作方式为静态的,动态的,多对多的进行端口地址转换 ,利用了边界路由器上同一个公有ip地址的不同的端口号来进行映射和区分,实现多个私有ip数据包可以同时被转换。实验需求如下图所示。 首先进项ip地址规划,规划如下图所示。 按要求配置配置路由器,配置网关,静态写齐路由表。之后配置ISP(互联网服务的提供商)左侧的内部局域网及左侧另一内部局域网(内网配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值