AH协议为什么和NAT协议冲突。

转载 2015年11月17日 22:22:23

严格的说,只能是隧道模式下的ESP才能穿越NAT。

首先需要了解的是IPSEC的作用,即数据的机密性、完整性、认证性。机密性就是保证数据包的原始内容不被看到;完整性即保证数据包的内容不会被修改;认证性保证数据来自被信任的客户端。

IPSEC中的封装格式有2中(AH和ESP),AH在IP数据包中插入了一个包头,其中包含对整个数据包内容的校验值;ESP用户加密整个数据包内容,同时也可以对数据包进行认证。

IPSec有2 种不同的模式:传输模式和隧道模式。

一中是传输模式,主要用于主机到主机之间的直接通信。

另一种是隧道模式主要用于主机到网关或网关到网关之间。传输模式和隧道模式主要在数据包封装时有所不同。

无论传输模式还是隧道模式,AH都会认证整个数据包。并且AH还会认证位于AH头之前的IP 头。当NAT 设备修改了IP头之后,IPSec 就会认为这是对数据包完整性的破坏,从而丢弃数据包。因此AH是不可能和NAT 在一起工作的。

而ESP在传输模式时会保护TCP/UDP头,但是并不保护IP 头,因此修改IP地址并不会破坏整个数据包的完整性。但是如果数据包是TCP/UDP数据包,NAT设备就需要修改数据包的校验值,而这个校验值是被ESP所保护的,这样却会导致完整性校验失败。 所以最终可能和NAT一起工作的只能是隧道模式下的ESP。

LTE协议开发实战

-
  • 1970年01月01日 08:00

nat与ipsec之间的问题

在NAT技术和IPsec技术的应用都非常广泛。但从本质上来说,两者是存在着矛盾的。 1.从IPsec的角度上说,IPsec要保证数据的安全,因此它会加密和校验数据。 2.从NAT的观点来看,为...
  • zcanjie
  • zcanjie
  • 2015-05-21 11:41:05
  • 1740

ipsec(AH和ESP)

介绍 最初的IP协议是没有任何的安全措施的。IP数据报含有诸如源地址,目的地址,版本,长度,生存周期,承载协议,承载数据等字段。虽然其拥有“首部校验和”这样的字段来提供极其简易的完整性功能,但无...
  • lyg920
  • lyg920
  • 2016-06-13 15:46:44
  • 8612

关于AH与ESP

传输模式传输模式是 IPSec 的默认模式,用于进行端对端的通信(例如,用于客户端和服务器之间的通信)。当使用传输模式时,IPSec 只对 IP 负载进行加密。传输模式通过 AH 或 ESP 报头对 ...
  • zyqml
  • zyqml
  • 2007-11-02 13:55:00
  • 9016

为什么ESP能够穿越NAT,而AH则不能

严格地说,只能是隧道模式下的ESP才能穿越NAT。 首先需要了解的是IPSEC的作用,即数据的机密性、完整性、认证性。机密性就是保证数据包的原始内容不被看到;完整性即保证数据包的内容不会被修改;认证...
  • seaskying
  • seaskying
  • 2016-06-29 12:55:09
  • 1067

TCP-IP详解:AH(Authentication Header)

IPSec核心协议是AH和ESP,本文主要介绍下AH协议的数据封装与传输
  • wdscq1234
  • wdscq1234
  • 2016-09-29 08:22:17
  • 2129

IPsec 和 NAT 的冲突问题详解

背景 IPsec 协议可以用来在 IP 层提供校验和加密等安全特性。基于 IPsec 的 VPN 已经成为 site-site 模式下高可靠连通方案的首选。 NAT 最初是为了解决地址不足的问题,...
  • yeasy
  • yeasy
  • 2015-03-25 17:04:42
  • 3196

技术点详解---IPSec穿越NAT

IPSec在NAT环境中的部署是VPN的热门难点技术之一,本专栏针对该问题进行原理性探讨,为后续VPN部署方案做下铺垫。 IPSec VPN穿越NAT会遇到哪些问题 IPSec VPN穿越NAT遇到...
  • bytxl
  • bytxl
  • 2014-10-16 18:02:40
  • 2092

NAT协议详解

NAT(Network Address Translation,网络地址转换)是将IP数据报头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。这种通...
  • u013920085
  • u013920085
  • 2014-03-18 15:30:14
  • 4805

网络地址转换 NAT协议

 NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF(Internet Engineering Task Force, Inter...
  • liaoxinmeng
  • liaoxinmeng
  • 2010-03-17 13:46:00
  • 5963
收藏助手
不良信息举报
您举报文章:AH协议为什么和NAT协议冲突。
举报原因:
原因补充:

(最多只允许输入30个字)