简述IPSEC-NAT-T

最新推荐文章于 2024-05-16 19:05:34 发布
最新推荐文章于 2024-05-16 19:05:34 发布
阅读量4.8k 收藏 25
点赞数 2
分类专栏: 在校大三学生 CCIE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43166593/article/details/83931152
版权

在这里插入图片描述
IPSEC-NAT-T产生背景:NAT本身是对IP包的源地址修改,但是破坏了完整性,VPN校验时不完成就会丢弃。
在这里插入图片描述
在这里插入图片描述
普通NAT的作用:将原来的IP端口号改变,但是防火墙会有端口映射表所以会精确回包。
在这里插入图片描述
声明:第一阶段用的是UDP:500
第二阶段用的是ESP :500
双方身份ID不匹配的原因:在主模式下会使用本端的IP地址;当头部202.96.137.88传到深圳总部时会进行一次NAT转换,所以会把头部改为202.96.137.99,但是身份ID没有改变,VPN进行校验时会协商失败。
原因:
1、IPSEC VPN 主模式身份ID是默认配置的,不能修改,在NAT环境下会出现上述协商问题,所以只能选用野蛮模式。
2、其他厂商的IPSEC VPN主模式身份ID若可以自由配置,在NAT环境下则可以协商成功。

最低0.47元/天 解锁文章
安心TCP/IP
关注
  • 2
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NAT-T:IPsec穿越NAT之道
u014023993的专栏
01-24 2万+
目录 1. IPsecNAT矛盾 2.  身份确认 3.  NAT-T 3.1 NAT-T流程 3.2 报文格式 4.  地址复用 4.1. 隧道模式下的冲突 4.2. 传输模式下的冲突  4.3. 同一个NAT下的冲突 Q And A 参考资料 1. IPsecNAT矛盾 在文章《IPsec》及《NAT》中介绍了IPsecNAT的基本知识。我们知道IPsec的协议...
HCIE-Security Day35:IPSec-NAT-T
小梁的博客
04-04 1842
NAT穿越场景 在ipsec pn部署中,如果发起者比如fwc位于私网内部,而它希望与fwa之间直接建立一条ipsec隧道,这种情况下nat会对部署ipsec pn网络造成障碍。 在多站点企业中,有的站点连动态的公网IP地址都没有,只能先由网络中的nat设备进行地址转换,然后才能访问internet,此时如果同时需要和另一个站点建立ipsec通道的话,就存在问题。 IPSec是用来保护报文不被修改的,而NAT却专门修改报文的IP地址,所以肯定存在问题。 协商IPSec的过程是由isakmp报文完成的
IPsec NAT-T说明和环境搭建
遇见你是我最美丽的意外
03-31 6508
1. IPsecNAT的关系 NAT作为一个IPV4的地址转换协议,它最初的目的是用来最解决IPv4地址不足的问题。通过NAT协议,局域网内的多个主机可以共同使用一个公网地址,这在很大程度上减轻了IPV4地址短缺的问题。但是随着NAT的发展,它也用来实现屏蔽一个公司或者企业的内部网络,从而可以对外隐藏真实的内部IP地址,从而降低被攻击的风险,如果从这方面考虑,就算互联网已经过渡到IPV6时代,N...
IPSec NAT穿越原理_ipsec配置为什么要配置nat
最新发布
2401_84300128的博客
05-16 420
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
NAT穿越(NAT-T)原理
热门推荐
曹世宏的博客
09-16 3万+
IPSec NAT 穿越简介 IPSec NAT穿越的场景: 本质上解决ESP协议无法提供转换端口,插入UDP 4500端口 有以下两种场景,需要进行进行NAT穿越。 场景一、FW既做IPSEC网关,又做NAT转换 此种场景下,是当运营商给客户的动态分配的私网地址情况下,FW需要穿越运营商的natIPSEC网关与NAT在同一台设备 ,如果运营商给分配的是公网地址,需要做NAT旁路(NAT豁...
锐捷网络——IPSec NAT的问题探讨:IPSECNAT的兼容性问题
君逍遥o
09-08 409
IKE使用的源目端口都是UDP 500,如果存在端口转换的情况,IKE的源端口可能被改变,这样如果响应者判断该端口不是UDP 500的话,就可能存在IPSEC第一阶段协商不通过的问题。
商业虚拟专用网络技术八IPSec应用场景
weixin_42227328的博客
04-02 4669
在传输模式下,AH安全协议使用原IP报头也就是内网的私有IP地址并在整个验证范围,会导致NAT设备在对私网的源IP地址和目的地址修改为公网地址后,因为经过NAT后改变了Hash值,无法通过验证,完整性检查的失败;ESP安全协议下TCP/UDP的校验和的计算包含IP源目地址,通过nat后,nat修改了最外层IP地址,接收数据路由器检查校验和失败。 在隧道模式下,AH安全协议,同样是完整性检查的失败;ESP安全协议下TCP/UDP的校验和,是使用公网IP目的地址,会成功,但是由于端口是加密的,接收设备无法得知端
简述CMOS-IC电路
08-20
CMOS-IC电路基础知识点 CMOS-IC电路(Complementary Metal-Oxide-Semiconductor Integrated Circuit)是一种常用的集成电路,它由PMOS管和NMOS管共同构成,具有低功耗、高噪声容限、宽工作电压范围、高逻辑摆幅、高...
简述TD-SCDMA误差矢量幅度测量
01-20
数字信号频带传输是把基带信号在发送端先经过调制后,送到线路上传输,再在接收端进行相应解调后恢复出原来的基带信号。在这个过程中调制器产生的调制误差、射频器件质量、锁相环(PLL)噪声、PA失真效应、热噪声...
简述vue-cli中chainWebpack的使用方法
10-16
今天就主要来讲一下在vue.config.js中对一些配置的更改,简单介绍一下loader的使用;用configureWebpack简单的配置;用chainWebpack做高级配置;包括对loader的添加,修改;以及插件的配置,需要的朋友可以参考下
简述TD-SCDMA向TD-LTE平滑演进
01-19
随着TD-SCDMA终端芯片的纷纷推出和系统设备开发的迅猛进展,以及中国政府实质性支持的力度加大,那些对TD-SCDMA能否在市场上获得成功的怀疑者和反对者几乎在一夜之间消失得无影无踪。但是,"TD-SCDMA未来究竟应该在...
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置
04-27
华为防火墙IPSEC点到多点(SA+NAT穿越)策略模板方式成功配置 全命令
华为L2TP+ipsec野蛮模式,nat穿越 配置实例
08-30
华为L2TP+ipsec野蛮模式,nat穿越 配置实例 。。。。。。。。。。。。。
简述RFID-SIM手机一卡通系统的典型应用
01-20
RF是射频的意思,RF-ID就是射频标签,属于一种非接触式的身份识别技术。目前已经等到了很广泛的应用,我们平时用的公交卡,单位里的非接触门禁卡都是属于RFID系统。所谓RFID-SIM就是将普通SIM卡和RFID芯片做集成,...
数据传输安全(二)
Piwrim的博客
01-03 5309
IPSEC协议簇安全框架
IPSec NAT穿越原理
Mario_Ti的博客
03-10 1797
文章主要从IPSec VPN在NAT场景中存在的问题,引出IPSec NAT穿越这一原理并配置。
NAT-T技术
weixin_51045259的博客
03-11 1462
传输模式下的隧道模式 ESP可以
IPSECnat环境中如何应用
mazhen的博客
08-20 6203
使用模板方式可以在总舵与公网IP不固定的分舵之间建立IPSec隧道。至此,无论是拥有固定公网IP的分舵还是动态获得公网IP的分舵,都可以通过IPSec安全地访问总舵,天地会业务兴隆一片祥和。 但Internet的江湖远非如此平静,天地会又面临新的问题。有的分舵连动态的公网IP都没有,只能先由网络中的NAT设备进行地址转换,然后才能访问Internet,此时分舵能否正常访问总舵?另外,分舵除了访问
简述alpha-beta剪枝策略
03-19
Alpha-beta剪枝是一种用于优化博弈树搜索的策略,它可以减少搜索的节点数量,从而提高搜索效率。该策略基于以下两个关键观察: 1. 对于当前玩家而言,如果某个节点的值已经超出了当前最优解的范围,那么该节点的其他...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值