IPSec NAT-T技术

最新推荐文章于 2024-04-27 10:41:51 发布
最新推荐文章于 2024-04-27 10:41:51 发布
阅读量2.4k 收藏 2
点赞数 1
分类专栏: 网络安全 文章标签: traversal vpn tcp 加密 cisco
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sahusoft/article/details/7632582
版权
NAT 技术和IPsec 技术的应用都非常广泛。但从本质上 来说,两者是存在着矛盾的。

1.IPsec的角度上说,IPsec要保证数据的安全,因此它会加密和校验数据。
2.NAT的观点来看,为了完成地址转换,势必会修改IP地址。

         IPSec提供了端到端的IP通信的安全性,但在NAT环境下对IPSec的支持有限,AH协议是肯定不能进行NAT的了,这和AH设计的理念是相违背的;ESP协议在NAT环境下最多只能有一个VPN主机能建立VPN通道,无法实现多台机器同时在NAT环境下进行ESP通信。关于IPSecNAT环境下的需求问题在RFC3715中进行了描述。
       NAT穿越(NAT TraversalNAT-T)就是为解决这个问题而提出的,RFC39473948中定义,在RFC4306中也加入了NAT-T的说明,但并没废除RFC39473948,只是不区分阶段1和阶段2该方法将ESP协议包封装到UDP包中(在原ESP协议的IP包头外添加新的IP
最低0.47元/天 解锁文章
sahusoft
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NAT-T:IPsec穿越NAT之道
u014023993的专栏
01-24 2万+
目录 1. IPsecNAT矛盾 2.  身份确认 3.  NAT-T 3.1 NAT-T流程 3.2 报文格式 4.  地址复用 4.1. 隧道模式下的冲突 4.2. 传输模式下的冲突  4.3. 同一个NAT下的冲突 Q And A 参考资料 1. IPsecNAT矛盾 在文章《IPsec》及《NAT》中介绍了IPsecNAT的基本知识。我们知道IPsec的协议...
简述IPSEC-NAT-T
HC博客
11-10 4848
IPSEC-NAT-T产生背景:NAT本身是对IP包的源地址修改,但是破坏了完整性,VPN校验时不完成就会丢弃。 普通NAT的作用:将原来的IP端口号改变,但是防火墙会有端口映射表所以会精确回包。 声明:第一阶段用的是UDP:500 第二阶段用的是ESP :500 双方身份ID不匹配的原因:在主模式下会使用本端的IP地址;当头部202.96.137.88传到深圳总部时会进行一次NAT转换,...
NAT穿越(NAT-T)原理
热门推荐
曹世宏的博客
09-16 3万+
IPSec NAT 穿越简介 IPSec NAT穿越的场景: 本质上解决ESP协议无法提供转换端口,插入UDP 4500端口 有以下两种场景,需要进行进行NAT穿越。 场景一、FW既做IPSEC网关,又做NAT转换 此种场景下,是当运营商给客户的动态分配的私网地址情况下,FW需要穿越运营商的natIPSEC网关与NAT在同一台设备 ,如果运营商给分配的是公网地址,需要做NAT旁路(NAT豁...
IPSecNAT穿越
06-24 1501
 参考资料:RFC3715,3947,3948 1. 前言 IPSec提供了端到端的IP通信的安全性,但在NAT环境下对IPSec的支持有限,AH协议是肯定不能进行NAT的了,这和AH设计的理念是相违背的;ESP协议在NAT环境下最多只能有一个VPN主机能建立VPN通道,无法实现多台机器同时在NAT环境下进行ESP通信。关于IPSecNAT环境下的需求问题在RFC3715
ipsec相关的RFC文档,是所有ipsec人需要知道的
最新发布
funtasty的专栏
04-27 650
IPsec and related standards » 历史记录 » 版本 109。
NAT-T技术原理简单分析及应用实验解析
ZhangPengFeiToWinner的博客
11-13 1万+
1.首先我们就IPSEC VPN的部署场景来做简要分析: 场景1:如图所示,企业的总部与分支机构分别架设了VPN设备,分支机构的需求是同步企业内部的业务数据(属企业内部的机密信息),那麽就必须确保数据在公网上是安全包密传递的。这种情况下我们可以直接用IPSEC VPN的隧道工作模式或传输工作模式(用传输工作模式的前提是底层要有隧道),使用IPSEC VPN的ESP(封装安全载荷)协议(使用ESP...
NAT-T技术
weixin_51045259的博客
03-11 1474
传输模式下的隧道模式 ESP可以
nat-t
shihun010的博客
12-07 485
nat-t nat-t 解决了IPSec多连的问题。 1 隧道协商过程中,IKE规定源和目的端口都必须为 UDP 500,在多VPN下源端口可能会在NAT后发生变化,再回包时认证失败。 2、数据传输过程中,由于ESP在工作在网络层,没有传输层头部,从而无法进行NAPT端口复用,导致 数据传输失败。 而nat-t也是专门为解决这两个问题而出现的 1nat-t协议运用在IPSec中,在IKE协商和VP...
IPsec NAT-T说明和环境搭建
遇见你是我最美丽的意外
03-31 6530
1. IPsecNAT的关系 NAT作为一个IPV4的地址转换协议,它最初的目的是用来最解决IPv4地址不足的问题。通过NAT协议,局域网内的多个主机可以共同使用一个公网地址,这在很大程度上减轻了IPV4地址短缺的问题。但是随着NAT的发展,它也用来实现屏蔽一个公司或者企业的内部网络,从而可以对外隐藏真实的内部IP地址,从而降低被攻击的风险,如果从这方面考虑,就算互联网已经过渡到IPV6时代,N...
IPSec NAT 穿越概述
王以山的专栏
06-04 3020
由于历史的原因,部署带 Internet 协议安全的第二层隧道协议(L2TP/IPSec)的问题之一在于无法定位网络地址转换(NAT)之后的 IPSec 对话方。 Internet 服务提供商和小型办公/家庭办公(SOHO)网络通常使用 NAT 来共享单个公共 IP 地址。 虽然 NAT 有助于节省剩余的 IP 地址空间,但是它们也给诸如 IPSec 之类的端对端协议带来了问题。 一种称为 IP
IPsec nat穿越技术
12-06
IPsec nat穿越技术,学习研究提升自己的能力
嵌入式系统/ARM技术中的IPSecNAT之间的兼容性分析和解决方案
12-08
- 使用NAT穿越(NAT Traversal技术,通过在IPSec协议中加入特殊机制来适应NAT环境,例如IKE的NAT-D(NAT Detection)和NAT-T(NAT Traversal)。 - 配置NAT设备以识别并正确处理IPSec通信,比如保留特定IPSec相关...
最新H3CSE-Security(GB0-530)安全中级认证,考试已过
04-08
3. **NAT穿越(NAT Traversal)**:在IPsec中,通过在ISAKMP报文中携带NAT-T字段来判断对端是否支持NAT穿越。正确答案是D。 4. **Xauth(Extended Authentication)**:Xauth扩展认证在ISAKMP协商的第一阶段进行判断。...
华为HCIP-Security培训视频教程【共31集】.rar
09-27
11 ipsec nat-t 12 ipsec 13 l2tp over ipsec 14 ssl vpn 15 网络攻击1 16 网络攻击2 17 DDOS 18 controller概述 19 angile controller安装部署 20 802.1x 21 SACG 22 Portal 23 访客管理 24 终端安全...
技术点详解---IPSec穿越NAT
bytxl的专栏
10-16 2万+
IPSecNAT环境中的部署是VPN的热门难点技术之一,本专栏针对该问题进行原理性探讨,为后续VPN部署方案做下铺垫。 IPSec VPN穿越NAT会遇到哪些问题 IPSec VPN穿越NAT遇到的问题主要有2个: 1.   穿越NAT后的身份确认:在IP网络中IP地址是最好的身份标识,IPSec VPN中标准身份标识也是IP地址,如上图所示,从前几期专栏的介绍中我们可以得知,NAT
Ipsec Nat-Traversal
bytxl的专栏
06-26 5177
http://blog.csdn.net/jianchaolv/article/details/7903882 http://blog.csdn.net/jianchaolv/article/details/8454991
ipsec实验-kerberos认证
04-05
IPsec(Internet Protocol Security)是一种网络安全协议,用于在IP网络上提供数据的机密性、完整性和身份验证。而Kerberos是一种网络认证协议,用于验证用户和服务器之间的身份。 在进行IPsec实验时,可以结合Kerberos认证来实现更强的安全性。以下是一个简单的IPsec实验- Kerberos认证的步骤: 1. 配置Kerberos服务器:首先,需要设置一个Kerberos服务器,该服务器将负责用户和服务器之间的身份验证。配置Kerberos服务器包括创建Kerberos数据库、设置主要的Kerberos服务器和Kerberos客户端等。 2. 配置IPsec隧道:接下来,需要配置IPsec隧道以保护通信数据的机密性和完整性。IPsec隧道可以通过加密和认证来保护数据包,确保数据在传输过程中不被篡改或窃取。 3. 配置IPsec与Kerberos集成:将IPsec与Kerberos集成,可以实现对IPsec隧道的身份验证。这样,在建立IPsec隧道时,将使用Kerberos提供的票据来验证通信双方的身份。 4. 进行实验测试:完成以上配置后,可以进行实验测试。测试时,可以尝试建立IPsec隧道,并观察是否成功进行了Kerberos认证。同时,还可以通过抓包工具来验证数据包是否被正确加密和认证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值