IPSec***與NAT,PAT的恩恩怨怨
前面的話:我們都知道***就是利用公共的網絡資源來組建我們企業自己的私有網絡,同時由於公共網絡公用性的特點,***同時就得解決私網在公網上的路由問題及數據安全性問題,同時企業網絡環境複雜,我們時常需要把IPSec***與NAT,PAT技術同時結合使用,必須讓***的數據穿越NAT,PAT,就像現在流行的穿越劇一樣,雖然有些扯淡,但是也對企業網絡有利,這裏我們就來扯扯IPSec***與NAT,PAT 的前世今生,恩恩怨怨,且聽我慢慢道來。。。
首先IPsec***可以使用AH封裝,也可以使用ESP封裝。IPSec***可以使用傳輸模式,也可以使用隧道模式。
我們先來看一下不同封裝,不同模式的數據包結構吧:
AH封裝:
ESP封裝:
1 AH與NAT,PAT 那是死對頭了,這輩子是不可能結合了,除非任一方作出讓步,做出改變,似乎這個可能性很小,也沒誰希望他們能結合
爲什麼呢?
還用說,肯定是有不可調和的矛盾
AH的驗證會驗證包括最外層IP頭的所有數據(管你是傳輸模式還是隧道模式),這樣AH封裝的IPSec***數據包穿越了NAT或PAT後,要不就是IP頭變了,要不就是TCP,UDP頭變了,總之有一個東西變了,最終對頭收到這個包再要做AH的驗證是怎麼也通過不了的,這樣就不行啦。。。
2 ESP與NAT
要分情況了,如果是傳輸模式
那也是不行的,爲什麼呢?可能很多熟悉ESP封裝結構的同學要叫了,但是莫急,不行就是不行,
因爲你們只知其一,不知其二
雖然說ESP的加密與完整驗證都與最外層的IP頭沒有關係,TCP的數據包中還有一個校驗,這個校驗有一個因子是原來數據包的IP地址,由於傳輸模式,最外層IP就是原來的IP地址,這樣過了NAT後,IP地址肯定會變化,這樣ESP的兩關都過了,TCP這一關又過不了啊,還是不行,這就也像木桶理論一樣,有一塊短板都不行的。
而在隧道模式下是可以的,因爲隧道模式下能過ESP的兩關那是不用說的,同時TCP的那一關,因爲原來的IP頭都是原封不動,那肯定能過啊,對吧。
3 ESP與PAT
正常情況下不管是傳輸模式還是隧道模式都是不行的,因爲要穿過PAT,得有一個TCP或者一樣UDP的頭部啊,但是此時IP頭緊跟就是ESP啊,不是TCP也不是UDP,那肯定就不行了
同時由於傳輸模式同樣存在TCP不能驗證的問題,那傳輸模式下,任何辦法也不能讓ESP與PAT搞到一塊啊。
但隧道模式就一樣了,哎,有隧道就是好啊,總會有辦法。
不是因爲沒有TCP或UDP嗎?那加一個TCP頭不就行了嗎?
這樣就有了NAT-T的技術啊。
至於具體的NAT-T技術怎麼實現的,有時間下回再扯吧,累了。。。。。