摘要:
see also:http://www.ciscopress.com/articles/article.asp?p=25477 AH is incompatible with Network Address Translation (NAT) because NAT changes the source IP address, which breaks the AH header and caus... 阅读全文
摘要:
IPSec NAT-T一 IPSec NAT-T技术在建立IPsec通道时,如果通道路径上有NAT设备也不会影响第一阶段的IKE SA的协商和第二阶段IPSec SA的协商,因为通常将IKE的数据包封装在UDP数据包中,但是,在完成第二阶段协商后, IPsec数据包上的NAT会导致通道失败,(也就是说IPsec的通道可以建立,但是真正的User的数据无法传输)原因可能有多个,但是最关键的原因就是:... 阅读全文
摘要:
在NAT技术和IPsec技术的应用都非常广泛。但从本质上来说,两者是存在着矛盾的。1.从IPsec的角度上说,IPsec要保证数据的安全,因此它会加密和校验数据。2.从NAT的观点来看,为了完成地址转换,势必会修改IP地址。 IPSec提供了端到端的IP通信的安全性,但在NAT环境下对IPSec的支持有限,AH协议是肯定不能进行NAT的了,这和AH设计的理念是相违背的;ESP协议在NAT环境下最多... 阅读全文