NAT-T技术

最新推荐文章于 2022-04-07 21:26:35 发布
最新推荐文章于 2022-04-07 21:26:35 发布
阅读量1.5k 收藏 11
点赞数 1
分类专栏: 网络安全 文章标签: ipsec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51045259/article/details/114672469
版权

IPSec NAT穿越场景

在IPSec VPN部署中,如果发起者位于私网内部(如FW_C),而它希望与FW_A之间直接建立一条IPSec隧道,这种情况下 NAT会对部署IPSec VPN网络造成障碍。

在这里插入图片描述
PC2发业务报文给PC1,IPSec先对IP包头或端口信息进行验证,报文到达NAT设备时,IP地址或端口号会被转换,报文到达FWA的时候,因报文已经被修改,FW_A进行IPSec AH验证失败。如果IPSec使用了ESP进行加密,那么NAT设备读不到端口号,不能进行正常的地址转换。

IPSec穿越分析

AH会对整个IP报文进行保护,包括IP头,任何对Data或者IP头的修改都会导致验证失败。
在这里插入图片描述

TCP在计算检验和时,要加上一个12字节的伪首部。伪首部顾名思义就是假的首部,既不往上传也不往下传,只是用于校验TCP/UDP报文段。
  伪首部共有12字节,包含IP首部的一些字段,有如下信息:32位源IP地址、32位目的IP地址、8位保留字节(置0)、8位传输层协议号(TCP是6,UDP是17)、16位报文长度(首部+数据)。

ESP的传输模式下,NAT修改IP头,由于TCP会对IP进行校验然后加上对数据的校验,所以导致报文到达对端后,由于IP头部已经改变,导致TCP校验不正确丢包;

ESP的隧道模式下,NAT修改的是假IP头,所以可以,但是ESP会加密原始数据包的传输层端口信息,所以不支持PAT(不支持修改端口)。仅仅支持一对一的NAT

在这里插入图片描述

总结:

  • AH的传输模式和隧道模式都不支持NAT穿越
  • ESP传输模式也是不支持的
  • ESP隧道模式默认只支持一对一NAT转换,不支持PAT

IPSec VPN NAT穿越原理

NAT-T技术在ESP封装和外层IP报头之间插入8个字节的UDP报头,端口号为4500。有了端口号之后,NAT就可以正常进行转发了。

在这里插入图片描述
NAT设备对于私网用户不可见,所以网络设备要想知道是否有NAT的存在,以及什么时候该添加UDP报头,通过IPSec的IKE协商阶段决定

IPSec NAT穿越协商过程一

NAT穿越能力协商:在第一阶段IKE协商中通过Vender ID进行能力协商。
在这里插入图片描述

  • NAT穿越能力由IKE消息携带的厂商ID来决定。
  • 用来确定对端是否支持NAT穿越,如果对端不支持,本端添加UDP头后,对端无法识别会导致业务报文不能被正常处理。
  • 这个IKE协商报文是发起者的第一个报文,对端COOKIE为0。

IPSec NAT穿越协商过程二

NAT网关检测:在第一阶段IKE协商中实用NAT-D负载用于发现是否存在NAT。
在这里插入图片描述
为了侦测IP地址或者端口信息是否在传输过程中发生变化,双方交换IP地址/端口号的 Hash值,Hash值不同,说明使用了NAT或者PAT。Hash值以NAT-D负载进行发送,一个 NAT-D负载包含一个Hash值,一般情况下,只有本端和对端的两个Hash值。NAT-D负载包含在主模式的消息3、4中或者是包含在野蛮模式的消息2、3中。

IPSec NAT穿越协商过程三

NAT网关检测:在第一阶段IKE协商中测试UDP 4500端口是否可用
在这里插入图片描述
当设备检测到有NAT存在时,发起方将消息5、6的源端口和目的端口都设置为4500,
所有和发起方交换的IKE消息都使用4500端口通信。

IPSec NAT穿越协商四

  • NAT穿越功能启用协商∶IKE第二阶段的SA载荷中协商是否使用NAT穿越
  • 使用UDP封装IPSec ESP报文穿越NAT。
    在这里插入图片描述
  • IKE第一阶段完成后,通信双方都知道了NAT的存在,然后在IKE第二阶段的SA载荷中协商是否使用NAT穿越。
  • 如果使用NAT穿越,则在UDP报头后面直接封装ESP报文头。在UDP报文头中源端口号以及目的端口号采用和IKE协议一致的端口号4500。共用端口号的情况下如何区分这是IKE报文还是ESP报文呢?为了区分这两种报文,RFC3948规定采用UDP封装方式的ESP报文的SPI一定不能为0,同时规定使用启用NAT穿越的IKE协商报文在UDP报文头后插入4个值为0的字节,作为非ESP报文的标识。
  • 至此,双方完成NAT穿越协商,能够对后续的报文进行正确的处理。

IPSec VPN NAT穿越配置

在这里插入图片描述
场景分析∶

  • FWA与FWC之间需要建立IPSec隧道;
  • FWA通过分支机构宽带接入公网,即FWA外网口获得的是私网 地址;
  • NAT设备将分支机构的用户私有地址转换为公网地址以便在公网 路由
  • NAT设备通常处于ISP,对于分支机构不可见。

配置思路:
在这里插入图片描述
[ FWA-ike-peer-a ] nat traversal

  • IPSec NAT穿越功能配置比较简单,和普通IPSecVPN的配置最大的区别就在于多了这条命令。
  • FW_C的IPSec配置需指向FW_B公网地址,且需FW_A先发起协商,否则需在NAT设备上配置NAT-Server,放行UDP500和UDP4500端口。
  • FWB的配置、型号与IPSec隧道的建立无关。只需保证FWC经过FWB做地址转换后还可和FWA互通。 IPSec隧道两端均需配置该命令。
  • 需要在IPSec两端都配置NAT穿越

text1.txt
关注
专栏目录
互联网协议 — IPSec 安全隧道协议 — NAT-T
烟云的计算
04-04 1491
目录 文章目录目录IPSec NAT-T 应用场景 IPSec NAT-T 应用场景 待续。
启动docker容器时报iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport(Docker容器九类常见故障)
最新发布
weixin_54626591的博客
08-28 9435
这两篇文章写的还是比较透彻的,主要就是防火墙映射转发之类的,需要了解下防火墙相关的只是,因此暂时不做深入了解,等有时间了再好好研究防火墙。##注释掉下面这一行,这行的意思是拒绝掉所有的FORWARD,拒绝的提示信息是icmp-host-prohibited(禁止)网上有的说是只重启docker即可,即只执行systemctl restart docker,我自己也是这样解决掉问题的。网上其他的解决方法:基本都是重置docker0网络,重启docker。##重启docker服务。#重启iptables。
简述IPSEC-NAT-T
HC博客
11-10 4915
IPSEC-NAT-T产生背景:NAT本身是对IP包的源地址修改,但是破坏了完整性,VPN校验时不完成就会丢弃。 普通NAT的作用:将原来的IP端口号改变,但是防火墙会有端口映射表所以会精确回包。 声明:第一阶段用的是UDP:500 第二阶段用的是ESP :500 双方身份ID不匹配的原因:在主模式下会使用本端的IP地址;当头部202.96.137.88传到深圳总部时会进行一次NAT转换,...
IPSec NAT-T技术
weixin_33812433的博客
08-27 180
NAT技术IPsec技术的应用都非常广泛。但从本质上来说,两者是存在着矛盾的。1.从IPsec的角度上说,IPsec要保证数据的安全,因此它会加密和校验数据。2.从NAT的观点来看,为了完成地址转换,势必会修改IP地址。 IPSec提供了端到端的IP通信的安全性,但在NAT环境下对IPSec的支持有限,AH协议是肯定不能进行NAT的了,这和AH设计的理念是...
nat-t
shihun010的博客
12-07 518
nat-t nat-t 解决了IPSec多连的问题。 1 隧道协商过程中,IKE规定源和目的端口都必须为 UDP 500,在多VPN下源端口可能会在NAT后发生变化,再回包时认证失败。 2、数据传输过程中,由于ESP在工作在网络层,没有传输层头部,从而无法进行NAPT端口复用,导致 数据传输失败。 而nat-t也是专门为解决这两个问题而出现的 1nat-t协议运用在IPSec中,在IKE协商和VP...
NAT-T和PAT(IPSec
weixin_30687051的博客
12-13 191
¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥NAT-T技术介绍¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥¥ 为什么TCP和UDP不能穿越:TCP和UDP有一个IP头的尾部校验(校验头部和负载,IP尾部(SIP,DIP,协议号));而IP只是校验IP头部。穿过NAT的时候,IP头部的地址变了,那么校验结果也就改变了,这样就不行了。数据在传输层就丢掉了。 Cisco的IOS 12....
NAT穿越(NAT-T)原理
热门推荐
曹世宏的博客
09-16 3万+
IPSec NAT 穿越简介 IPSec NAT穿越的场景: 本质上解决ESP协议无法提供转换端口,插入UDP 4500端口 有以下两种场景,需要进行进行NAT穿越。 场景一、FW既做IPSEC网关,又做NAT转换 此种场景下,是当运营商给客户的动态分配的私网地址情况下,FW需要穿越运营商的natIPSEC网关与NAT在同一台设备 ,如果运营商给分配的是公网地址,需要做NAT旁路(NAT豁...
NAT-T:IPsec穿越NAT之道
u014023993的专栏
01-24 2万+
目录 1. IPsecNAT矛盾 2.  身份确认 3.  NAT-T 3.1 NAT-T流程 3.2 报文格式 4.  地址复用 4.1. 隧道模式下的冲突 4.2. 传输模式下的冲突  4.3. 同一个NAT下的冲突 Q And A 参考资料 1. IPsecNAT矛盾 在文章《IPsec》及《NAT》中介绍了IPsecNAT的基本知识。我们知道IPsec的协议...
Cisco ❀ IPsec多隧道建立(NAT-T技术引入)
无糖可乐没有灵魂
08-11 1456
现在要做的是MGRE在IPSEC加密的条件下进行ISP之间的VPN建立 需要使用:IPV4、NATIPSEC、MGRE、静态路由 NAT -T(路由器默认支持) 作用:可以在一个接口上连接多个VPN 开启NAT-T之后: (1)非500可以进行IKE协商 (2)增加UDP-4500短号的头部 如果设备未开启,请使用下面的命令来开启NAT-T R1(confi...
NAT-T技术原理简单分析及应用实验解析
ZhangPengFeiToWinner的博客
11-13 1万+
1.首先我们就IPSEC VPN的部署场景来做简要分析: 场景1:如图所示,企业的总部与分支机构分别架设了VPN设备,分支机构的需求是同步企业内部的业务数据(属企业内部的机密信息),那麽就必须确保数据在公网上是安全包密传递的。这种情况下我们可以直接用IPSEC VPN的隧道工作模式或传输工作模式(用传输工作模式的前提是底层要有隧道),使用IPSEC VPN的ESP(封装安全载荷)协议(使用ESP...
剖析NAT-T【新任帮主】
weixin_34355881的博客
09-26 234
nat-t技术主要是针对pat来说的 ,当IPsec 建立在防火墙的两边时 ,并且穿越pat设备的时候将会出现问题; 现在来描述整个IPsec建立的过程来引出问题的所在。大家都知道ipsec ***隧道建立的过程中要经历六个包的main mode 和 3个包的 quick mode ,当我们启用nat-t的时候 ①  首先在main mode的1,2两个包中会协商有没有nat-t的能力;此...
NAT-T下的端口浮动
遇见你是我最美丽的意外
03-31 5582
1. IKE端口浮动 IPsec在隧道建立第一第二阶段主要进行加密方式、加密策略等信息的协商,这部分功能是通过IKE协议来实现的。 IKE协议默认端口为500,但是如果IPsec隧道传输路径上存在NAT设备,那么IKE的端口会从500浮动到4500端口,这样做最主要的目的是: 避免某些NAT设备不转换源端口为500的报文,从而导致NAT穿越失败。 因此IKE通常情况下会同时监控UDP的两个端口...
IPsec NAT-T说明和环境搭建
遇见你是我最美丽的意外
03-31 6694
1. IPsecNAT的关系 NAT作为一个IPV4的地址转换协议,它最初的目的是用来最解决IPv4地址不足的问题。通过NAT协议,局域网内的多个主机可以共同使用一个公网地址,这在很大程度上减轻了IPV4地址短缺的问题。但是随着NAT的发展,它也用来实现屏蔽一个公司或者企业的内部网络,从而可以对外隐藏真实的内部IP地址,从而降低被攻击的风险,如果从这方面考虑,就算互联网已经过渡到IPV6时代,N...
为什么ESP能够穿越NAT,而AH则不能
seaskying的专栏
06-29 6501
严格地说,只能是隧道模式下的ESP才能穿越NAT。 首先需要了解的是IPSEC的作用,即数据的机密性、完整性、认证性。机密性就是保证数据包的原始内容不被看到;完整性即保证数据包的内容不会被修改;认证性保证数据来自被信任的客户端。 IPSEC中的封装格式有2种(AH和ESP), AH在IP数据包中插入了一个包头,其中包含对整个数据包内容的校验值;ESP用户加密整个数据包内容,同时也可以对
在Cisco IOS路由器上验证NAT-T的使用
The 44th Demilitarized Zone
06-12 3036
Cisco IOS路由器是否对某个SA启用了NAT-T支持,可以通过如下方法判断。 自行翻译,原文来自:http://www.groupstudy.com/archives/ccielab/200611/msg01813.html 1、debug crypto isakmp 应当可以看到类似这样的输出: NAT-Discovery Phase for router  behin
NAT穿越(NAT-T)RFC3947文档》记录
遇见你是我最美丽的意外
03-29 5065
NAT概述
weixin_34059951的博客
01-15 2200
1 IPv4协议和NAT的由来 今天,无数快乐的互联网用户在尽情享受Internet带来的乐趣。他们浏览新闻,搜索资料,下载软件,广交新朋,分享信息,甚至于足不出户获取一切日用所需。企业利用互联网发布信息,传递资料和订单,提供技术支持,完成日常办公。然而,Internet在给亿万用户带来便利的同时,自身却面临一个致命的问题:构建这个无所不能的Internet的基础IPv4协议已经不能再提供新的网...
IPsecNAT穿越详解
qq_47529104的博客
04-07 1万+
问题场景 左边的支部,它的防火墙上联路由器,由于防火墙内部的接口使用的是私网地址,这就导致其无无法在公网上与对端防火墙进行IPsec的隧道建立 。所以必须在AR5上面不是NAT地址转换,由于一般使用的是NAPT,isakmp协议因为是UDP报文,且没有像AH或者ESP那样有对内容进行签名,所以可以正常地协商IKE SA以及IPsec SA,但是AH和ESP就没有那么简单了 AH和ESP的认证范围如图所示,其实说是认证范围本质上来说应该是进行HASH运算的范围,如图所示,AH的签...
IPsec NAT穿越技术详解与IKE协商策略
IPsec NAT穿越技术是一种专门针对网络地址转换(NAT)环境中的IP Security (IPSec)通信问题设计的解决方案。IPSec原本为保证端到端的IP通信安全,但在NAT环境中遇到了挑战,尤其是Authentication Header (AH)协议和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值