NAT的原理及其注意事项
NAT穿透技术穿透原理和方法详解
NAT穿透技术穿透原理和方法详解NAT(Network Address Translation)是一种将私有网络中的IP地址转换为公网IP地址的技术。
它的主要作用是解决了IPv4地址资源不足的问题,同时也提供了一定程度的网络安全保护。
然而,NAT也带来了一些问题,其中最显著的就是它在一些情况下会阻碍对私有网络中主机的远程访问。
为了解决NAT对远程访问的限制,出现了NAT穿透技术。
NAT穿透技术允许位于私有网络中的主机与公网上的主机建立直接的连接,从而使得私有网络中的主机可以被公网上的主机访问到。
下面详细介绍NAT穿透技术的实现原理和具体方法。
一、NAT穿透的原理:私有网络中的主机首先与穿透服务器建立连接,并将本地IP和端口号发送给穿透服务器。
穿透服务器将这些信息记录下来并分配一个公网IP和端口号。
对于公网上的主机来说,私有网络中的主机就像一个虚拟的公网主机一样可直接访问。
同时,私有网络中的主机也可以主动发起连接到公网上的主机。
私有网络中的主机相当于是通过穿透服务器将自己的通信请求“穿透”了NAT 防火墙,直接到达公网上的主机。
二、NAT穿透的方法:1.端口映射:端口映射是最常见和简单的NAT穿透方法之一、私有网络中的主机将本地的端口号映射到公网IP的一些端口上,然后通过穿透服务器将请求转发到该端口上,从而实现私有网络中主机的远程访问。
2.中继服务器:中继服务器是一种在公网上与私有网络中的主机建立连续连接的方法。
私有网络中的主机首先连接到中继服务器,然后公网上的主机也连接到中继服务器,中继服务器将两端的请求进行转发,从而实现私有网络中的主机和公网上的主机直接通信。
3.UDP打洞:UDP打洞是一种通过UDP协议来穿透NAT防火墙的方法。
私有网络中的主机先向公网主机发送一个UDP数据包,公网主机也向私有网络的主机发送UDP数据包,通过这两个数据包的发送和接收,NAT防火墙会记录下私有网络中主机的IP和端口号,从而实现两者之间的直接通信。
NAT工作原理及其配置方法
NAT工作原理及其配置方法NAT(Network Address Translation)是一种网络协议,用于将多个内部(私有)IP地址映射到单个外部(公共)IP地址。
它的主要作用是允许多台设备通过共享一个公共IP地址同时访问互联网,从而解决IPv4地址不足的问题。
本文将详细介绍NAT的工作原理及其配置方法。
NAT的工作原理:NAT的工作原理可以总结为:将内部网络(LAN)的设备的私有IP地址转换为路由器的公共IP地址,以便与外部网络(WAN)进行通信。
NAT可以分为两种类型:静态NAT和动态NAT。
1.静态NAT:静态NAT将一个或多个内部私有IP地址映射到一个外部公共IP地址。
内部设备无需配置任何特殊设置,只需将默认网关设置为NAT设备的IP地址即可。
当内部设备与外部网络进行通信时,NAT设备会将指定的私有IP地址转换为公共IP地址,然后将其发送到外部网络。
2.动态NAT:动态NAT根据动态地识别内部设备的IP地址来执行映射。
当内部设备尝试与外部网络通信时,NAT设备会为其分配一个临时的公共IP地址,从而实现与外部网络通信。
这种方式允许多个内部设备同时使用一个公共IP地址与外部网络通信。
NAT的配置方法:配置NAT需要在路由器或防火墙上进行。
下面是配置NAT的步骤:1.登录路由器或防火墙的管理界面,进入配置页面。
2.创建一个NAT规则或策略。
根据所使用的设备和软件,可以在不同的位置找到此选项。
通常在“网络设置”、“WAN设置”或“防火墙设置”中可以找到。
3.静态NAT配置:a.将路由器的外部接口(WAN)与外部网络连接。
b.为内部设备分配静态IP地址。
c.在NAT规则中将内部设备的私有IP地址映射到路由器的公共IP地址。
4.动态NAT配置:a.定义要使用的内部地址池。
这些地址将分配给内部设备以进行与外部网络的通信。
b.创建NAT规则,将内部设备的私有IP地址映射到此地址池中的一个地址。
5.保存并应用配置更改,使其生效。
路由器的NAT的原理及配置
路由器的NAT的原理及配置NAT的原理:1.内网通信时,源IP地址是私有IP地址,目标IP地址是公共IP地址。
路由器将内网数据包的源IP地址改为路由器的公共IP地址,然后将数据包发送到外网。
2.外网响应时,目标IP地址是路由器的公共IP地址,源IP地址是外网服务器的公共IP地址。
路由器接收响应数据包后,根据数据包的目标IP地址将数据包转发到相应的内网主机。
NAT的配置步骤:1.登录路由器的管理界面。
通常通过在浏览器中输入路由器的IP地址来访问管理界面。
2.在管理界面中,找到“网络设置”或类似的选项。
选择“NAT”或“端口转发”设置。
3.开启NAT功能。
一般会有一个“启用NAT”或类似的选项,勾选上即可开启NAT功能。
4.配置内网IP地址段。
在内网设置中,指定内网的IP地址段,如192.168.1.0/245.配置端口转发规则。
如果需要将公共IP地址的请求转发到内网主机上,需要配置端口转发规则。
一般会有一个“端口映射”或类似的选项。
在此处,配置外部访问的端口号、内网主机的IP地址和端口号。
6.保存配置并重启路由器。
NAT的配置注意事项:1.配置合理的内网IP地址段,避免与外网冲突。
2.配置合适的端口转发规则,确保请求可以正确转发到内网主机。
3.注意路由器的性能,过多的NAT转发可能会影响路由器的性能。
4.配置安全策略,例如限制可访问的IP地址范围,避免未授权的访问。
5.定期检查和更新路由器固件,以确保安全性和稳定性。
总结:NAT是一种将私有IP地址转换为公共IP地址的技术,可以实现内网和外网之间的通信。
其基本原理是通过在数据包中更改源IP地址和目标IP地址,将内网数据包发送到外网,然后将外网响应转发回内网。
通过在路由器的管理界面中配置NAT,可以开启NAT功能、配置内网IP地址段和端口转发规则。
配置NAT时需要注意合理性、安全性和性能,以保障网络的稳定和安全运行。
最细nat讲解
最细nat讲解
NAT(Network Address Translation,网络地址转换)是一种将私有IP
地址转换为公有IP地址的技术,使得私有网络中的设备能够访问互联网。
NAT的工作原理是将内网地址和端口号转换成合法的公网地址和端口号,
建立会话,与公网主机进行通信。
NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现数据的转发。
NAT的功能主要包括解决IP地址不足的问题、避免来自网络外部的攻击、
隐藏并保护网络内部的计算机等。
NAT还具有宽带分享和安全防护等功能。
在宽带分享方面,NAT使得多个私有网络用户可以共享一个公有IP地址访问互联网,提高了网络资源的利用率。
在安全防护方面,NAT隐藏了内部
网络结构,保护了网络内部的计算机,减少了来自互联网的攻击风险。
需要注意的是,NAT技术也有一些限制和潜在问题。
例如,NAT会改变数
据包的源地址和端口号,导致一些依赖于IP地址和端口号的应用程序无法
正常工作。
此外,NAT也会增加网络延迟和丢包的可能性,尤其是在大型
网络中。
因此,在使用NAT技术时需要权衡利弊,并根据实际需求进行合
理配置。
网络防火墙的网络地址转换(NAT)配置指南(六)
网络防火墙的网络地址转换(NAT)配置指南随着互联网的普及和发展,网络防火墙在保护企业网络安全方面扮演着至关重要的角色。
而网络地址转换(NAT)作为一种网络安全机制,被广泛应用于网络防火墙的配置中。
本文旨在为读者提供一个网络地址转换配置指南,帮助企业理解和实施该机制。
引言在介绍NAT的配置指南之前,我们先要明确NAT的基本概念及其在网络安全中的作用。
NAT是一种将一个IP地址转换为另一个IP地址的技术,它主要用于在私有网络与公共网络之间进行通信。
通过将私有IP地址转换为公共IP地址,可以提高网络的安全性,同时实现更高效的资源利用。
一、了解NAT的基本原理在配置NAT之前,我们应该先了解NAT的基本原理。
NAT主要包括源NAT和目标NAT。
源NAT用于将内部网络的私有IP地址转换为公共IP地址,以在公共网络上进行通信。
目标NAT则是将公共IP地址转换为内部网络的私有IP地址,以使公共网络上的数据包能够正确传递到内部网络中的特定主机。
二、配置源NAT源NAT的配置是非常关键的,它需要在企业防火墙设备上进行。
以下是配置源NAT的步骤:1. 确定需要进行源NAT的内部网络。
根据企业的实际情况,确定哪些内部网络需要进行源NAT转换以与公共网络通信。
2. 为每个需要进行源NAT的内部网络选择一个公共IP地址池。
这个公共IP地址池可以是由企业自己拥有的IP地址,也可以是从ISP 提供的IP地址中选择。
确保公共IP地址池能够满足企业的需求,并且不会与其他网络冲突。
3. 配置源NAT规则。
在防火墙设备上,设置源NAT规则,将内部网络的私有IP地址映射到相应的公共IP地址。
这样当内部网络发起外部通信时,数据包将会被源NAT转换,并以公共IP地址为源地址进行传输。
三、配置目标NAT与源NAT类似,配置目标NAT也需要在企业防火墙设备上进行。
以下是配置目标NAT的步骤:1. 确定需要进行目标NAT的公共网络。
根据企业的需求,确定哪些网络需要进行目标NAT转换以与内部网络通信。
NAT技术的原理与实现
NAT技术的原理与实现网络地址转换(Network Address Translation,NAT)是一种常用的网络协议和技术,它允许多个设备共享一个公共IP地址。
NAT技术的原理和实现如下:一、NAT技术的原理:1.IP地址空间不足:IPv4协议中,IP地址空间有限而且几乎耗尽。
因此,为了解决IP地址短缺的问题,使用NAT技术将私有IP地址转换为公共IP地址,以便在有限的IPv4地址空间内提供互联网接入和通信。
2.私有IP地址范围:NAT技术使用了私有IP地址范围,其中包括10.0.0.0/8、172.16.0.0/12和192.168.0.0/16、这些私有IP地址可以被组织内部使用,但不能被直接路由到互联网上。
3.NAT表:NAT设备维护了一个NAT表,其中记录了私有IP地址和相应的公共IP地址的映射。
当内部设备向外部发送数据包时,NAT设备会将私有IP地址替换为公共IP地址,并在NAT表中记录该映射。
当外部数据包返回时,NAT设备会根据NAT表将数据包转发给相应的内部设备。
4.网络地址转换:NAT技术通过修改数据包的源IP地址和目的IP地址实现网络地址转换。
当内部设备发送数据包时,NAT设备会将源IP地址更改为公共IP地址,并将源端口号改为一个未使用的端口号。
当外部设备返回响应时,NAT设备根据端口号将数据包转发给相应的内部设备。
5.网络端口转换:NAT技术还可以实现网络端口转换,以支持多个设备同时使用相同的公共IP地址。
NAT设备将网络端口号从一个端口号映射到另一个端口号,以便多个设备可以与互联网进行通信。
二、NAT技术的实现:1.NAT设备:NAT功能通常由网络设备(如路由器、防火墙、交换机等)提供。
这些设备具有NAT功能,可以在私有网络和公共网络之间进行数据包转发和地址转换。
2.NAT配置:为了使用NAT技术,需要在NAT设备上进行相应的配置。
配置包括指定私有IP地址范围、定义NAT策略、配置NAT绑定、设置NAT表等。
NAT的基本原理与应用
确保NAT只对必要的网络流量进行转换,避 免安全漏洞。
端口管理
合理规划和管理NAT端口池,避免端口冲突 和耗尽。
性能考虑
合理配置NAT规则,避免对网络性能产生过 大影响。
NAT配置的常见问题及解决方案
问题1
无法访问外部网络
解决方案
检查NAT规则是否正确配置,确保内 部网络设备使用的IP地址和端口号与 NAT规则匹配。
NAT的主要类型
1 2
静态NAT
将私有IP地址静态映射到公共IP地址,适用于固 定设备或服务器。
动态NAT
将多个私有IP地址映射到少量公共IP地址,适用 于大量设备共享少量公网IP的情况。
3
端口NAT
通过改变传输层端口号来实现地址转换,适用于 需要同时映射多个私有IP地址的情况。
NAT的工作原理
网络安全防护
• NAT技术可以提供一定的网络安全防护功能。通过 将内部私有IP地址转换为外部公有IP地址,NAT技术 可以隐藏内部网络结构,防止黑客攻击和入侵。同 时,NAT技术还可以实现流量过滤和访问控制,提 高网络安全性能。
03
NAT的配置与实现
NAT的配置步骤
确定NAT需求
明确需要使用NAT的场景和目的,例如 将私有IP地址转换为公共IP地址。
缓解IPv4地址不足的问题
随着互联网的普及和发展,IPv4地址资源逐渐耗尽,NAT技 术可以有效缓解IPv4地址不足的问题。通过将多个私有IP地 址映射到一个公有IP地址,NAT技术可以实现复用IP地址, 节省地址资源。
NAT技术可以帮助实现网络地址转换,将私有IPv4地址转换 为IPv6地址。随着IPv6的推广和应用,NAT技术可以帮助实 现IPv4到IPv6的过渡,促进网络的升级和发展。
网络防火墙的网络地址转换(NAT)配置指南(二)
网络防火墙的网络地址转换(NAT)配置指南随着互联网的普及和发展,网络安全问题变得越来越重要。
为了保护网络的安全,网络防火墙起到了非常重要的作用。
其中,网络地址转换(NAT)作为网络防火墙的一项关键功能,对于网络安全的提升起到了积极作用。
一、NAT的基本概念和作用网络地址转换(NAT)是指将一组IP地址映射到另一组IP地址的过程。
它的基本作用是在内部局域网和外部公网之间建立一道有效的隔离层,保护内部网络的安全和隐私。
NAT可以将内网的私有IP地址转换成公网的公有IP地址,从而在公网上隐藏了内网的真实IP地址,提高了网络的安全性。
同时,NAT还可以实现多台计算机共享一个公网IP地址的功能,节约了IP地址资源。
二、配置NAT的方式和步骤1. 确定内网和外网的网卡接口,一般情况下,内网使用私有IP 地址,外网使用公有IP地址。
2. 配置内网和外网的IP地址和子网掩码,确保其处于同一个网段。
3. 配置NAT的转换规则,指定内网IP地址和外网IP地址之间的映射关系。
4. 配置NAT的端口映射,实现内网IP地址和外网端口之间的映射关系。
5. 启动NAT服务,使配置生效。
6. 进行网络测试,验证NAT配置是否成功。
三、NAT配置的注意事项1. NAT配置需要谨慎进行,因为一旦配置错误,可能导致网络无法正常工作。
在进行NAT配置之前,应仔细了解网络设备的功能和参数,确保配置的正确性。
2. NAT配置需要考虑网络的安全性,需要合理设置转换规则和端口映射,限制外部访问内网的权限,保护内网的隐私。
3. NAT配置需要根据具体的网络环境和需求进行调整,不同的网络环境和需求可能需要不同的配置方案,需要灵活运用NAT功能。
四、NAT配置的案例分析为了更好地理解NAT的配置过程,下面以企业内网与外网之间的通信为例进行分析。
假设企业内部有多台计算机需要访问外部服务器,但是只有一个公网IP地址可供使用。
这时,可以通过NAT配置来实现多台计算机共享一个公网IP地址的功能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
发信人: achillesIPv6技术详解当前,基于Internet的各种应用正在如火如荼发展着,而与此热闹场面截然不同的是,Internet当前使用的IP协议版本IPv4正因为各种自身的缺陷而举步维艰。
在IPv4面临的一系列问题中,IP地址即将耗尽无疑是最为严重的,有预测表明,以目前Internet发展速度计算,所有IPv4地址将在2005~2010年间分配完毕。
为了彻底解决IPv4存在的问题,IETF从1995年开始,着手研究开发下一代IP协议,即IPv6。
IPv6具有长达128位的地址空间,可以彻底解决IPv4地址不足的问题,除此之外,IPv6还采用分级地址模式、高效IP包头、服务质量、主机地址自动配置、认证和加密等许多技术。
Ipv4尴尬的现状Internet起源于1968年开始研究的ARPANET,当时的研究者们为了给ARPANET建立一个标准的网络通信协议而开发了IP协议。
IP协议开发者当时认为ARPANET的网络个数不会超过数十个,因此他们将IP协议的地址长度设定为32个二进制数位,其中前8位标识网络,其余24位标识主机。
然而随着ARPANET日膨胀,IP 协议开发者认识到原先设想的网络个数已经无法满足实际需求,于是他们将32位IP地址分成了三类:A类,用于大型企业;B类,用于中型企业;C类,用于小型企业。
A类、B类、C类地址可以标识的网络个数分别是128、16384、2097152,每个网络可容纳的主机个数分别是16777216、65536、256。
虽然对IP地址进行分类大大增加了网络个数,但新的问题又出现了。
由于一个C类网络仅能容纳256个主机,而个人计算机的普及使得许多企业网络中的主机个数都超出了256,因此,尽管这些企业的上网主机可能远远没有达到B类地址的最大主机容量65536,但InterNIC不得不为它们分配B类地址。
这种情况的大量存在,一方面造成了IP地址资源的极大浪费,另一方面导致B类地址面临着即将被分配殆尽的危险。
非传统网络区域路由(Classless InterDomain Routing, CIDR),是节省B类地址的一个紧急措施。
CIDR的原理是为那些拥有数千个网络主机的企业分配一个由一系列连续的C类地址组成的地址块,而非一个B类地址。
例如,假设某个企业网络有15 00个主机,那么可能为该企业分配8个连续的C类地址,如:192. 56.0.0至192.56.7.0,并将子网掩码定为255.255.248.0,即地址的前21位标识网络,剩余的11位标识主机。
尽管通过采用CIDR 可以保护B类地址免遭无谓的消耗,但是依然无法从根本上解决IPv4面临的地址耗尽问题。
另一个延缓IPv4地址耗尽的方法是网络地址翻译(Network AddressTranslation, NAT),它是一种将无法在Internet上使用的保留IP地址翻译成可以在Internet上使用的合法IP地址的机制。
NAT使企业不必再为无法得到足够的合法IP地址而发愁了,它们只要为内部网络主机分配保留IP地址,然后在内部网络与I nternet交接点设置NAT和一个由少量合法IP地址组成的IP地址池,就可以解决大量内部主机访问Internet的需求了。
由于目前要想得到一个A类或B类地址十分困难,因此许多企业纷纷采用了NAT 。
然而,NAT也有其无法克服的弊端。
首先,NAT会使网络吞吐量降低,由此影响网络的性能。
其次,NAT必须对所有去往和来自Internet的IP数据报进行地址转换,但是大多数NAT无法将转换后的地址信息传递给IP数据报负载,这个缺陷将导致某些必须将地址信息嵌在IP数据报负载中的高层应用如FTP和WINS注册等的失败。
IPv6的对策IPv6采用了长度为128位的IP地址,彻底解决了IPv4地址不足的难题。
128位的地址空间,足以使一个大企业将其所有的设备如计算机、打印机甚至寻呼机等联入Internet而不必担心IP地址不足。
IPv6的地址格式与IPv4不同。
一个IPv6的IP地址由8个地址节组成,每节包含16个地址位,以4个十六进制数书写,节与节之间用冒号分隔,除了128位的地址空间,IPv6还为点对点通信设计了一种具有分级结构的地址,这种地址被称为可聚合全局单点广播地址(aggregatable global unicastaddress),其分级结构划分如图所示。
开头3个地址位是地址类型前缀,用于区别其它地址类型。
其后的13位TLA ID、32位NLA ID、16 位SLA ID和64位主机接口ID,分别用于标识分级结构中自顶向底排列的TLA (TopLevel Aggregator,顶级聚合体)、NLA(Next Level Ag gregator,下级聚合体)、SLA(Sit eLevel Aggregator,位置级聚合体)和主机接口。
TLA是与长途服务供应商和电话公司相互连接的公共网络接入点,它从国际Internet注册机构如IANA处获得地址。
NLA通常是大型ISP,它从TLA处申请获得地址,并为SLA分配地址。
SLA也可称为订户(subscriber),它可以是一个机构或一个小型ISP。
SLA负责为属于它的订户分配地址。
SLA通常为其订户分配由连续地址组成的地址块,以便这些机构可以建立自己的地址分级结构以识别不同的子网。
分级结构的最底级是网络主机。
Ipv6中的地址配置众所周知,手工配置主机IP地址是一件既费时又乏味的事情,而管理分配给主机的静态IP地址更是一项艰难的任务,尤其当主机IP地址需要经常改动的时候。
在IPv4中,动态主机配置协议(Dynamic Host ConfigurationProtocol,DHCP)实现了主机IP地址及其相关配置的自动设置。
一个DHCP服务器拥有一个IP地址池,主机从DHCP服务器租借IP地址并获得有关的配置信息(如缺省网关、DNS服务器等),由此达到自动设置主机IP地址的目的。
IP v6继承了IPv4的这种自动配置服务,并将其称为全状态自动配置(stateful autoconfiguration)。
除了全状态自动配置,IPv6还采用了一种被称为无状态自动配置(stateless autoconfiguration)的自动配置服务。
在无状态自动配置过程中,主机首先通过将它的网卡MAC地址附加在链接本地地址前缀1111111010之后,产生一个链接本地单点广播地址(IEEE已经将网卡MAC地址由48位改为了64位。
如果主机采用的网卡的MAC地址依然是48位,那么IPv6网卡驱动程序会根据IEEE的一个公式将48位MAC地址转换为64位MAC地址)。
接着主机向该地址发出一个被称为邻居探测(neighbordiscovrey)的请求,以验证地址的唯一性。
如果请求没有得到响应,则表明主机自我设置的链接本地单点广播地址是唯一的。
否则,主机将使用一个随机产生的接口ID组成一个新的链接本地单点广播地址。
然后,以该地址为源地址,主机向本地链接中所有路由器多点广播一个被称为路由器请求(router solicitation)的配置信息请求,路由器以一个包含一个可聚合全局单点广播地址前缀和其它相关配置信息的路由器公告响应该请求。
主机用它从路由器得到的全局地址前缀加上自己的接口ID,自动配置全局地址,然后就可以与Internet中的其它主机通信了。
使用无状态自动配置,无需手动干预就能够改变网络中所有主机的IP地址。
例如,当企业更换了联入Internet的ISP时,将从新ISP处得到一个新的可聚合全局地址前缀。
ISP把这个地址前缀从它的路由器上传送到企业路由器上。
由于企业路由器将周期性地向本地链接中的所有主机多点广播路由器公告,因此企业网络中所有主机都将通过路由器公告收到新的地址前缀,此后,它们就会自动产生新的IP地址并覆盖旧的IP地址。
Ipv6中的安全协议安全问题始终是与Internet相关的一个重要话题。
由于在I P协议设计之初没有考虑安全性,因而在早期的Internet上时常发生诸如企业或机构网络遭到攻击、机密数据被窃取等不幸的事情。
为了加强Internet的安全性,从1995年开始,IETF着手研究制定了一套用于保护IP通信的IP安全(IPSecurity,IPSec)协议。
IPSec是IPv6的一个组成部分,也是IPv4的一个可选扩展协议。
IPSec提供了两种安全机制:认证和加密。
认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。
加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被他人截获而失密。
IPSec的认证包头(Authentication Header,AH)协议定义了认证的应用方法,封装安全负载(Encapsulating Security Payload,E SP)协议定义了加密和可选认证的应用方法。
在实际进行IP通信时,可以根据安全需求同时使用这两种协议或选择使用其中的一种。
AH和ESP都可以提供认证服务,不过,AH提供的认证服务要强于ESP。
在一个特定的IP通信中使用AH或ESP时,协议将与一组安全信息和服务发生关联,称为安全关联(Security Association,SA)。
SA可以包含认证算法、加密算法、用于认证和加密的密钥。
IPSec使用一种密钥分配和交换协议如Internet安全关联和密钥管理协议(Internet Security Association andKey Manageme nt Protocol,ISAKMP)来创建和维护SA。
SA是一个单向的逻辑连接,也就是说,两个主机之间的认证通信将使用两个SA,分别用于通信的发送方和接收方。
IPSec定义了两种类型的SA:传输模式SA和隧道模式SA。
传输模式SA是在IP包头(以及任何可选的扩展包头)之后和任何高层协议(如TCP或UDP)包头之前插入AH或ESP 包头,隧道模式SA 是将整个原始的IP数据报放入一个新的IP数据报中。
在采用隧道模式SA时,每一个IP数据报都有两个IP包头:外部IP包头和内部IP包头。
外部IP包头指定将对IP数据报进行IPSec处理的目的地址,内部IP包头指定原始IP数据报最终的目的地址。
传输模式S A只能用于两个主机之间的IP通信,而隧道模式SA既可以用于两个主机之间的IP通信,还可以用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。
安全网关可以是路由器、防火墙或VPN设备。
做为IPv6的一个组成部分,IPSec是一个网络层协议。
它只负责其下层的网络安全,并不负责其上层应用的安全,如Web、电子邮件和文件传输等。