IPSEC-NAT-T产生背景:NAT本身是对IP包的源地址修改,但是破坏了完整性,VPN校验时不完成就会丢弃。
普通NAT的作用:将原来的IP端口号改变,但是防火墙会有端口映射表所以会精确回包。
声明:第一阶段用的是UDP:500
第二阶段用的是ESP :500
双方身份ID不匹配的原因:在主模式下会使用本端的IP地址;当头部202.96.137.88传到深圳总部时会进行一次NAT转换,所以会把头部改为202.96.137.99,但是身份ID没有改变,VPN进行校验时会协商失败。
原因:
1、IPSEC VPN 主模式身份ID是默认配置的,不能修改,在NAT环境下会出现上述协商问题,所以只能选用野蛮模式。
2、其他厂商的IPSEC VPN主模式身份ID若可以自由配置,在NAT环境下则可以协商成功。
简述IPSEC-NAT-T
最新推荐文章于 2024-05-16 19:05:34 发布