Ipsec vpn 中 NAT 穿越技术

2019年11月24日00:32:35 发表评论

在计算机科学中,NAT穿越涉及TCP/IP网络中的一个常见问题,即在处于使用了NAT设备的私有TCP/IP网络中的主机之间建立连接的问题。会遇到这个问题的通常是那些客户端网络交互应用程序的开发人员,尤其是在对等网络和VoIP领域中。IPsec VPN客户普遍使用NAT-T来达到使ESP包通过NAT的目的。

NAT- T技术在IKE协商阶段通过探测报文来发现是否有NAT的存在。

Ipsec vpn 中 NAT 穿越技术

Ipsec vpn 中 NAT 穿越技术

Ipsec vpn 中 NAT 穿越技术

总结1:如果建立ipsec vpn的两端 ,其中发起端(拨号端)位于nat 后面(例如:二级运营商、出差人员位于旅馆内网、防火墙前面有其他安全设备、防火墙或者专业vpn设备 放置于出口路由器后面且路由器配置了nat)时,由于数据在传输过程中ip地址和端口发生了转换,导致ipsec 数据完整性校验失败。此时可以采用nat 穿越技术(一般默认开启,不用做额外配置)增加新的UDP端口 包头,使得ipsec 数据校验正常,进而使得vpn 运行正常。

总结2:usg6000v 配置ipsec vpn默认开启nat穿越。

总结3:建议开启nat穿越,因为如果开始探测报

文没有检测到nat 场景,ipsec 会自动取消增加

UDP 4500 包头。即ipsec 会自动检测是否有nat

穿越的需要。

NAT 穿越配置:

[FW-ike-peer-a]nat traversal图形界面直接打钩即可!

Ipsec vpn 中 NAT 穿越技术

Ipsec vpn 中 NAT 穿越技术

Ipsec vpn 中 NAT 穿越技术

发表评论

后发表评论