NAT-T下的端口浮动

最新推荐文章于 2023-08-03 22:35:11 发布
最新推荐文章于 2023-08-03 22:35:11 发布
阅读量5.3k 收藏 2
点赞数 3
分类专栏: IPSec vpn 文章标签: 端口浮动 PORT_FLOATING NAT穿越 ESPINUDP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s2603898260/article/details/105214411
版权

1. IKE端口浮动

IPsec在隧道建立第一第二阶段主要进行加密方式、加密策略等信息的协商,这部分功能是通过IKE协议来实现的。
IKE协议默认端口为500,但是如果IPsec隧道传输路径上存在NAT设备,那么IKE的端口会从500浮动到4500端口,这样做最主要的目的是:

避免某些NAT设备不转换源端口为500的报文,从而导致NAT穿越失败。

因此IKE通常情况下会同时监控UDP的两个端口:500和4500。

2. IKE端口是否浮动

前一段时间遇到场景:隧道可以正常建立成功,但是数据不通。查了一周时间确定是由于对方设备不支持IKE端口浮动,即使在NAT穿越情况下也未进行端口浮动,依然使用了500端口。
下面是基于openswan源码整理的NAT-T相关的接口及关系:
在这里插入图片描述

2.1 探测是否支持NAT-T

发起者 响应者 HDR, SA, VIDs HDR, SA, VID 发起者 响应者

在这里插入图片描述
在这里插入图片描述
IPsec的隧道的发起方会在第一阶段的第一个报文中将本端支持的NAT-T标准以负载VID的方式发送到对端,在openswan源码中VID与NAT-T类型对应关系如下:

序号VID类型对应的数值NAT-T类型支持端口浮动
1VID_NATT_IETF_00105NAT_TRAVERSAL_IETF_00_01
2VID_NATT_IETF_02_N106NAT_TRAVERSAL_IETF_02_03
3VID_NATT_IETF_02107NAT_TRAVERSAL_IETF_02_03
4VID_NATT_IETF_03108NAT_TRAVERSAL_IETF_02_03
5VID_NATT_RFC109NAT_TRAVERSAL_RFC

对端根据接收到的标准(一般包含多个)中选择其中一个VID作为NAT-T的类型,而VID选择的依据便是**“选择数值大的标准”**,也就是上表中的VID_XXX的优先级随着数值增加而依次递增:VID_NATT_RFC > VID_NATT_IETF_03 > VID_NATT_IETF_02 > VID_NATT_IETF_02_N > VID_NATT_IETF_00。

2.2 探测路径上是否存在NAT设备

在主模式下,NAT设备的探测是在第三四个报文中通过NAT-D来探测的,探测的方式就计算本端IP地址和端口的HASH1值和对端IP地址和端口的HASH2值,然后将这两个哈希值同时以NAT-D负载的方式发送给对方设备,对方收到后通过计算接收到的报文中源和目的的IP地址和端口的哈希值与NAT-D负载中的哈希值进行比较:

发起者 响应者 HDR, SA, VIDs HDR, SA, VID HDR, KE, Ni, NAT-D, NAT-D HDR, KE, Nr, NAT-D, NAT-D *HDR,IDii, [CERT, ] SIG_I *HDR,IDii, [CERT, ] SIG_R 发起者 响应者

在这里插入图片描述
在这里插入图片描述
判断依据:

  • 计算对端的IP地址和端口的哈希值hash1, 然后与报文中NAT-D中对端计算的哈希值HASH1进行比较,如果不同,说明对端的IP地址或者端口发生了变化,因此对端设备是位于NAT设备之后的。
  • 计算本端的IP地址和端口的哈希值hash2, 然后和报文中NAT-D负载中对端的计算结果HASH2进行比较,如果不同,则说明本端的IP地址或者端口发生了变化,因此本端设备是位于NAT设备之后的。
  • 由于响应端在第三个报文时便可以知道链路上的NAT情况,但是发送端还不清楚,因此响应端需要将本端和对端的哈希值计算后填充到第四个报文的NAT-D负载中发送给发起端。
    在这里插入图片描述

2.3 openswan源码说明

在openswan源码中,NAT-T的类型(包括选用的NAT-T标准, NAT情况)存储在st->hidden_variables.st_nat_traversal之中,用位来表示(高31---- 低0):
其中:

NAT-T类型(标准)st_nat_traversal中的位
NAT_TRAVERSAL_IETF_00_01第1位
NAT_TRAVERSAL_IETF_02_03第2位
NAT_TRAVERSAL_RFC第3位
对端设备NAT第31位
本端设备NAT第30位

3. IKE端口浮动几个疑问

3.1 IKE端口浮动的原因

端口浮动的原因在于有些NAT设备对于500端口的报文不做NAT转换,从而导致NAT穿越失败。至于都包括哪些设备,暂不清楚。因此将端口浮动到4500后,方便NAT设备进行映射转换,从而实现NAT-T穿越。

3.2 IKE端口浮动是必须的吗?

首先说明,端口浮动不是必须的,但是现在通常情况下是进行端口浮动的:即如果有NAT-T存在,则IKE端口会从500切换到4500。

3.3 IKE端口浮动一定是浮动到4500吗?

IKE端口浮动肯定是将端口由500浮动到4500的(包括源端口和目的端口),但是中间的NAT设备如果支持端口映射的话,那么一般是将源端口做一个映射, 源端口做映射对于IPSEC影响并不大,但是要求IPsec能够响应来自任意端口的报文(下图中的X便是经过NAPT映射后的IPsec报文)。NAT设备做端口映射的目的主要为了为了实现多路分解和复用。

4500 -> 4500
x->4500
x->4500
发起端
发起端NAT
响应端NAT
响应端
叨陪鲤
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
NAT-T技术
weixin_51045259的博客
03-11 1516
传输模式下的隧道模式 ESP可以
nat-t
shihun010的博客
12-07 491
nat-t nat-t 解决了IPSec多连的问题。 1 隧道协商过程中,IKE规定源和目的端口都必须为 UDP 500,在多VPN下源端口可能会在NAT后发生变化,再回包时认证失败。 2、数据传输过程中,由于ESP在工作在网络层,没有传输层头部,从而无法进行NAPT端口复用,导致 数据传输失败。 而nat-t也是专门为解决这两个问题而出现的 1nat-t协议运用在IPSec中,在IKE协商和VP...
万能拆分脚本
山有山的高度,海有海的胸怀。
09-08 915
– author: dengyu – file: split_partyyyymm_char.sql – desc: 拆分文件命名格式yyyymm – order: desc – date:2015-09-08 – note: 该脚本只仅仅打印拆分脚本,并非执行 – version 2.0 dengyu 倒序拆分 自动判断分区值格式是number,date,charDECLARE
Fortigate疑难杂症之 - IPSec传输大文件中断/其他异常中断
RaySun的技术Blog
08-03 1203
将IPSec两端的防火墙设备的IKE端口更改为非默认端口将IPSec两端的协商模式由主动模式改为野蛮模式。
防火墙基础之华为防火墙分支与分支IPSec 对接
晚风挽着浮云的博客
09-19 3598
原理概述:指采用来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
【隧道篇 / IPsec】(7.0) ❀ 05. 阻止IPsec安全隧道连接请求 ❀ FortiGat 防火墙
防火墙技术专栏
04-06 3510
在FortiGate设备上默认开放UDP 500端口,允许IPsec隧道连接。但是可能会导致安全漏洞和ISAKMP DOS攻击。ISAKMP DOS攻击会破坏预共享密钥(如果VPN采用激进模式配置),多个请求会导致CPU过载,最终填满所需的缓冲区空间。...
142-Neutron Router 工作原理1
08-08
1. 创建浮动IP后,Neutron会在`qg-`(external gateway port端口上分配这个IP,这个端口位于`br-ex`(External Bridge)上,用于连接物理网络。 2. 随后,iptables会设置SNAT(源网络地址转换)规则,使得从实例...
2023年下半年网络工程师案例分析真题答案解析(完整版)
最新发布
04-22
- **多链路扩展**:在车间3需要扩展网络接入端口的情况下,可以通过增加交换机并通过级联、堆叠等方式连接原有网络。 以上就是从给定文件中的题目及答案中提取的主要IT知识点,涵盖了MAC地址与数据链路层封装、BFD...
51CTO下载-思科网络实验室CCNA实验指南
09-12
- **实验7:浮动静态路由**:解释了浮动静态路由的概念及其在RIPv2中的应用。 - **实验8:ipdefault-network**:介绍了如何配置默认网络以支持RIPv2。 ##### 4.4 RIP命令汇总 - 列出了与RIP配置相关的Cisco IOS命令...
CCNA完整版视频教程48集.rar
09-21
9.145TP满口状态RSTP(4种端口) VLAN Trunk(ISL802.1Q)wmv 9.16√AN间相互通信实验单臂路由子接口5V口多层交换三层口)wmv 9.2NAT分美静态NAT动态NAT(Poo1)基本配置实验wm 94NAT解决方案时空网多服务器 Tcp(Http)负载...
F5配置手册(内部)
01-11
- Shared IP:两台F5在External-vlan上的浮动地址,主要用于上端路由器指向下一跳的网关地址。 - **Internal-vlan**: - Self IP:F5与其它设备互联的IP地址,每台F5设备的Internal-Vlan Self IP均是不同的。 - ...
linux ikev2 端口,ipsec使用的500端口和4500端口可以似乎被封杀了?
weixin_31232021的博客
05-11 1756
从几周前开始突然连不上了,ipsec start --nofork 前台运行打印的日志显示15[NET] received packet: from 116.253.84.217[500] to 162.243.153.127[500] (604 bytes)15[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_...
cisco静态浮动路由详细配置
刀刀宅
12-21 6930
传送门
openstack常见问题(浮动ip)
weixin_40018205的博客
07-24 1万+
openstack中的浮动IPdown掉时可以重启服务 [root@openstack ~]# systemctl restart  openstack-nova-compute [root@openstack ~]# systemctl restart neutron-l3-agent [root@openstack ~]# ping  192.168.6.9 PING 192.168.6....
IPSec:IKEv2协议详解
hhd1988的专栏
05-17 7599
IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)认证。
IPsec与NAT Traversal(NAT-T)
品学楼A107
09-30 2859
背景 IPsec在两个通信实体之间建立安全的数据传输通道, 但它却与网络中广泛存在的NAT设备(以及PAT)有天生的不兼容性(incompatible)。 我们以一个TCP报文为例来看看在不同IPsec的不同模式(Transport和Tunnel)和协议(AH和ESP)下,这种不兼容是如何发生的。 先来看Transport模式 对AH协议,由于其Authenticate范围是整个IP报文,所以...
技术点详解---IPSec穿越NAT
热门推荐
bytxl的专栏
10-16 2万+
IPSec在NAT环境中的部署是VPN的热门难点技术之一,本专栏针对该问题进行原理性探讨,为后续VPN部署方案做下铺垫。 IPSec VPN穿越NAT会遇到哪些问题 IPSec VPN穿越NAT遇到的问题主要有2个: 1.   穿越NAT后的身份确认:在IP网络中IP地址是最好的身份标识,IPSec VPN中标准身份标识也是IP地址,如上图所示,从前几期专栏的介绍中我们可以得知,NAT
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叨陪鲤

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值