UDP封裝
ESP協議對數據包的上層(TCP/UDP)數據封裝後,上層數據被加密保護,這樣NAT無法獲取正確的端口信息,從而使得轉換髮生失敗。用IPv4協議中標準UDP協議頭封裝IPSec:數據包,構成一個UDP隧道,通信路徑上的設備看到的是UDP數據包。其端口值對NAT可見,就可以進行正確的轉換。因此,在這種方式下,不需要改變網絡的基礎設施,只需在IPSec網關或實現有IPSec:的主機上進行IPSec和NAT協同工作處理。ESP包的封裝。
IPSEC 分裝包
傳輸模式
IP頭部 UDP頭部 ESP頭部 數據 ESP尾部 ESP鑑別數據
---------------------加密------------------
------------------------------鑑別-------------------------------
隧道模式
外部IP頭部 UDP頭部 ESP頭部 IP頭部 數據 ESP尾部 ESP鑑別數據
---------------------加密------------------
------------------------------鑑別------------------------------------------------------
由於UDP封裝的ESP包使用了IKE協商端口500,因此必須對IKE協商包的格式進行修改以區別這兩種不同的包。具體的做法是在IKE數據包中的UDP頭和IKE頭之間添加4 B的Non-ESP標誌。其值設爲全O,而在ESP頭中的前4 B是SPI字段,在實現過程中該字段不爲0。這樣就能有效的區分UDP封裝的ESP包和IKE協商包了。
