请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 2611|回复: 3

【原创】IPsec VPN中NAT-T技术简介

[复制链接]
发表于 2018-5-30 16:21:10 | 显示全部楼层 |阅读模式
NAT-T技术默认在ASA和路由器上都是启用的,如果想要关闭功能,那么在任何一边no掉就可以了:
ASA上的命令:no crypto isakmp nat-traversal
IOS上的命令:no crypto ipsec nat-transparency udp-encapsulation

一个小feature是:
因为ASA上xlate转换槽位默认的显示时间为30s,所以如果想让ASA上保持这个转换槽位,可以在Site2上开启keepalive功能,每20s发送一个保活包:
crypto isakmp nat keepalive 20

在IPSsec VPN中,NAT对ESP的影响:
1、对于传输模式的ESP,NAT修改了外层IP地址,由于TCP/UDP检验和的计算包含IP源目地址,所以TCP/UDP的校验和需要更新,但是现在TCP/UDP已经被加密,中间路由器无法更新TCP/UDP的校验和,所以TCP的校验和检查最终会失败
2、对于隧道模式的ESP,不收1:1转换的影响(动态一对一,及静态一对一),但是不能穿越PAT,因为PAT转换,多个内部地址复用一个外部地址,并且使用传输层端口来区分不同流量,很遗憾ESP没有传输层端口

NAT-T就是在加密的数据包的IP头部和ESP头部中间再插入一个NAT-T头部,这个头部是UDP的,源目端口号都是4500。这里需要指出的是,不光是PAT,只要是判定了两个peer之间有NAT,就会有NAT-T。

NAT-T技术的三个步骤:
1、决定双方是否都支持NAT-T
2、决定两个peer之间是否有NAT存在
3、决定如何使用UDP封装



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-5-30 16:54:42 | 显示全部楼层
本帖最后由 xiaocqu 于 2018-6-6 06:07 编辑

谢谢楼主分享
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-6-16 16:59:43 | 显示全部楼层
学习了,很详细,感谢楼主分享
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-9-7 21:57:39 | 显示全部楼层
谢谢分享。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-12-18 21:51 , Processed in 0.105495 second(s), 37 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表