CISCO IPsec NAT 穿越

在NAT技术和IPsec技术的应用都非常广泛。

但从本质上来说，两者是存在着矛盾的。

1.从IPsec的角度上说，IPsec要保证数据的安全，因此它会加密和校验数据。

2.从NAT的观点来看，为了完成地址转换，势必会修改IP地址。

IPSec提供了端到端的IP通信的安全性，但在NAT环境下对IPSec的支持有限，AH协议是肯定不能进行NAT的了，这和AH设计的理念是相违背的；ESP协议在NAT环境下最多只能有一个VPN主机能建立VPN通道，无法实现多台机器同时在NAT环境下进行ESP通信。

关于IPSec在NAT环境下的需求问题在RFC3715中进行了描述。

NAT穿越(NAT Traversal，NAT-T)就是为解决这个问题而提出的，RFC3947，3948中定义，在RFC4306中也加入了NAT-T的说明，但并没废除RFC3947，3948，只是不区分阶段1和阶段2。

该方法将ESP协议包封装到UDP包中（在原ESP协议的IP包头外添加新的IP头和UDP头），使之可以在NAT 环境下使用的一种方法，这样在NAT的内部网中可以有多个IPSec主机建立VPN通道进行通信。

AH封装：AH封装的校验从IP头开始，如果NAT将IP的头部改动，AH的校验就会失败，因此我们得出结论，AH是无法与NAT共存的。

ESP封装的传输模式：对于NAT来说，ESP封装比AH的优势在于，无论是加密还是完整性的校验，IP头部都没有被包括进去。

但是还是有新的问题，对于ESP的传输模式，NAT 无法更新上层校验和。

TCP 和UDP 报头包含一个校验和，它整合了源和目标IP 地址和端口号的值。

当NAT 改变了某个包的IP 地址和（或）端口号时，它通常要更新TCP 或UDP 校验和。

当TCP 或UDP 校验和使用了ESP 来加密时，它就无法更新这个校验和。

由于地址或端口已经被NAT 更改，目的地的校验和检验就会失败。

虽然UDP 校验和是可选的，但是TCP 校验和却是必需的。

直连IPSEC的野蛮模式NAT穿越IPsec（Internet Protocol Security）是一种网络协议套件，用于实现网络通信的加密和认证。

野蛮模式（Aggressive Mode）是IPsec的一种传输模式，不需要建立安全通道即可交换密钥。

NAT（Network Address Translation）是用于在网络中分配和转换IP地址的技术。

在传统的IPsec通信中，通常使用隧道模式（Tunnel Mode）来传输IP数据包。

但是，当通信双方之间存在NAT设备时，隧道模式会受到限制。

为了解决这个问题，就出现了野蛮模式NAT穿越。

野蛮模式NAT穿越指的是在存在NAT设备的网络环境中，使用IPsec 的野蛮模式进行通信，并成功穿越NAT设备，实现加密和认证的目的。

下面将详细介绍野蛮模式NAT穿越的原理和实现过程。

野蛮模式NAT穿越的原理：1. NAT设备的限制：NAT设备通过转换IP地址和端口号来实现对网络地址的转换，但这会导致IPsec报文中的IP地址和端口号不一致，从而导致通信失败。

2. 野蛮模式的优势：野蛮模式不需要建立安全通道即可交换密钥，因此可以在初始的IKE（Internet Key Exchange）阶段就完成阶段一和阶段二的协商，减少了通信的时间和开销。

3.NAT穿越的技术：为了实现野蛮模式的NAT穿越，需要使用一些技术手段来绕过NAT设备的限制，包括端口映射和引导报文。

野蛮模式NAT穿越的实现步骤：1. 发起方（Initiator）向响应方（Responder）发送IKE_INIT请求。

该请求包含了发起方的随机数和IP地址等信息。

2.响应方收到IKE_INIT请求后，生成响应方的随机数和IP地址等信息，并使用这些信息生成哈希值和共享密钥。

3.发起方收到响应方的IKE_INIT响应后，生成发起方的哈希值和共享密钥。

4.握手阶段一结束后，发起方和响应方交换生成的哈希值和共享密钥。

IPsecVPN协议的NAT穿透与防火墙配置IPsec VPN协议的NAT穿透与防火墙配置在互联网时代，数据传输的安全性与稳定性成为了企业和个人用户所关注的重要问题。

虚拟私人网络（VPN）的出现有效地解决了这一问题，而IPsecVPN协议则在VPN中扮演着重要的角色。

然而，由于网络环境的复杂性，许多用户在使用IPsec VPN时遇到了NAT穿透和防火墙配置的问题。

本文将探讨这些问题，并提供适当的解决方案。

一、NAT穿透的概念及问题1. NAT穿透的概念NAT穿透指的是在网络中使用了网络地址转换（NAT）设备的情况下，如何实现对IPsec VPN的正常通信。

NAT设备通常会对传输的数据包进行源地址和目的地址的转换，以实现多个内部网络与外部网络的通信。

然而，这种地址转换对IPsec VPN的建立和传输过程产生了一定的影响。

2. NAT穿透的问题及解决方案在进行NAT穿透时，常见的问题包括：a) IPsec VPN的建立问题：由于NAT设备对数据包进行了地址转换，使得原始IP地址无法直接访问到VPN服务端。

为了解决此问题，可以使用NAT-T（NAT Traversal）技术，通过在IPsec数据包中封装额外的数据，以绕过NAT设备的限制。

b) IPsec数据包的加密问题：NAT穿透过程中，由于对数据包进行了地址转换，导致IPsec头部中的源地址和目的地址无法与实际通信双方相匹配。

为了解决此问题，可以使用NAT设备支持的IPsec Passthrough功能，将IPsec头部从转换中豁免，保证加密的完整性。

c) NAT设备与IPsec VPN设备的兼容性问题：不同厂商的NAT设备和IPsec VPN设备对NAT穿透的支持程度各不相同，可能存在兼容性问题。

解决此问题的方法是选择厂商间兼容性较好的设备，或者升级设备的固件以支持更高级的协议。

二、防火墙配置和IPsec VPN协议1. 防火墙的作用防火墙是网络安全的重要组成部分，通过规则配置来控制网络流量的进出，保护内部网络免受外部威胁。

IPSec的NAT穿越详细介绍1. 前言IPSec提供了端到端的IP通信的安全性，但在NAT环境下对IPSec的支持有限，AH协议是肯定不能进行NAT的了，这和AH设计的理念是相违背的；ESP协议在NAT环境下最多只能有一个VPN主机能建立VPN通道，无法实现多台机器同时在NAT环境下进行ESP通信。

关于IPSec在NAT环境下的需求问题在RFC3715中进行了描述。

NAT穿越(NATTraversal，NAT-T)就是为解决这个问题而提出的，在RFC3947，3948中定义，在RFC4306中也加入了NAT-T的说明，但并没废除RFC3947，3948，只是不区分阶段1和阶段2。

该方法将ESP协议包封装到UDP包中（在原ESP协议的IP包头外添加新的IP头和UDP 头），使之可以在NAT环境下使用的一种方法，这样在NAT的内部网中可以有多个IPSec 主机建立VPN通道进行通信。

2. IKE协商使用UDP封装RFC3947主要描述如何检测是否存在NAT设备，并如何在IKE中协商使用UDP来封装IPSec 数据包。

本帖隐藏的内容2.1 检测功能是检测通信中是否存在NAT设备和对方是否支持NAT-T。

正常的IKE协商使用的UDP包的源和目的端口都是500，如果存在NAT设备，大多数情况下该UDP包的源端口部分会改变，只有少数情况不改。

接收方如果发现UDP源端口不是500，那可以确定数据是经过了NAT设备。

另外，确定NAT的位置也是重要的，在检测对方失效（DPD）时，应该尽量由在NAT设备后面的一方主动进行DPD探测，而从另一方探测有可能会失败。

检测对方是否支持NAT-T是通过交换vendor ID载荷来实现的，如果自身支持NAT-T，在IKE 开始交互就要发送这种载荷，载荷内容是“RFC 3947”的MD5值，也就是十六进制的“4a131c81070358455c5728f20e95452f”。

判断是否在NAT设备后面是通过发送NAT-D(NAT-Discovery)载荷来实现的，载荷内容是IP 地址和UDP端口的HASH值，NAT-D载荷格式如下，载荷类型值是20：1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8+---------------+---------------+---------------+---------------+| Next Payload | RESERVED | Payload length |+---------------+---------------+---------------+---------------+~ HASH of the address and port ~+---------------+---------------+---------------+---------------+HASH值的计算方法如下，具体HASH是根据协商来确定的：HASH = HASH(CKY-I | CKY-R | IP | Port)CKY-I和CKY-R是协商发起方和响应方的cookie。

IPsec NAT穿越原理什么是IPsec？IPsec（Internet Protocol Security）是一种网络协议，用于在IP网络上提供安全的数据传输。

它通过加密和认证机制来保护数据的完整性、机密性和身份验证。

IPsec可以在两个主机之间或两个子网之间建立安全的通信链路。

它可以用于远程访问VPN（Virtual Private Network）连接、站点到站点VPN连接以及移动设备的安全通信。

为什么需要NAT穿越？NAT（Network Address Translation）是一种网络技术，用于将私有IP地址转换为公共IP地址，以实现多个设备共享同一个公网IP地址。

然而，由于NAT会改变IP头部信息，导致加密后的数据包无法正确解析。

这就给使用IPsec进行加密通信的应用程序带来了困扰。

因此，需要一种方法来克服NAT 对IPsec的限制，实现安全的通信。

IPsec NAT穿越原理1. NAT Traversal为了解决NAT对IPsec的限制问题，提出了NAT Traversal技术。

NAT Traversal 允许在经过NAT设备时建立和维护安全通道。

a. UDP封装NAT Traversal使用UDP封装技术将原始的IPsec数据包封装在UDP数据包中。

由于UDP是一种无连接的协议，它可以通过NAT设备传输到目标主机。

在发送IPsec数据包之前，发送方会将IPsec数据包封装在UDP数据包中，并将目的端口设置为特定的值（通常是4500）。

这样，NAT设备就会将整个UDP数据包转发到目标主机。

b. NAT检测NAT Traversal还引入了一种称为”keepalive”的机制来检测是否经过了NAT设备。

当IPsec设备与对等方建立连接时，它会周期性地向对等方发送keepalive消息。

如果对等方收到了keepalive消息，则说明没有经过NAT设备。

如果对等方未收到keepalive消息，则说明可能经过了NAT设备，并且需要使用UDP封装技术。

IPSEC NAT 穿越（两种解法）需求分析：如图，R2是上海总公司的路由器，R1是苏州分公司路由器，ISP1是长宽的路由，ISP2是电信路由器。

R2的外部地址是公网地址，R1的外部地址是私网地址。

在实际的工程中我们遇到这种问题太正常了，但恰好我们又需要在R1和R4之间建立IPSEC VPN。

NAT和IPSEC是互相冲突的，因为IPSEC保护私网地址和传输层内容，而NAT需要改这些.OK 我们开始解决这个问题！解法一：基于ESP穿越NAT配置如下R1:interface Loopback0ip address 192.168.12.1 255.255.255.0interface Ethernet0/0ip address 172.16.12.1 255.255.255.0half-duplexip route 0.0.0.0 0.0.0.0 172.16.12.2crypto isakmp policy 10authentication pre-sharecrypto isakmp keepalive 60 ISAKMP的DPDcrypto isakmp nat keepalive 10用于在NAT之后的情況，防止NAT丢弃转发条目crypto isakmp key cisco address 202.100.34.4crypto ipsec transform-set myset esp-des esp-md5-hmaccrypto ipsec nat-transparency spi-matching开启SIP-Matching，跟NAT特性有关access-list 101 permit ip 192.168.12.0 0.0.0.255 192.168.34.0 0.0.0.255 crypto map map 10 ipsec-isakmpset peer 202.100.34.4set transform-set mysetmatch address 101interface Ethernet0/0crypto map mapR2:interface Ethernet0/0ip address 172.16.12.2 255.255.255.0ip nat insideip virtual-reassembly IP分片虚拟重组half-duplexinterface Ethernet0/1ip address 202.100.23.2 255.255.255.0ip nat outsideip virtual-reassemblyhalf-duplexip route 0.0.0.0 0.0.0.0 202.100.23.3ip route 192.168.12.0 255.255.255.0 172.16.12.1ip nat service list 1 IKE preserve-portip nat service list 1 ESP spi-matchip nat inside source list 1 interface Ethernet0/1 overload ip nat inside source list 2 interface Ethernet0/1 overload access-list 1 permit 172.16.12.1access-list 2 permit 192.168.12.0 0.0.0.255R3:interface Ethernet0/0ip address 202.100.23.3 255.255.255.0half-duplexinterface Ethernet0/1ip address 202.100.34.3 255.255.255.0half-duplexR4:interface Loopback0ip address 192.168.34.4 255.255.255.0ip nat insideip virtual-reassembly!interface Ethernet0/0ip address 202.100.34.4 255.255.255.0ip nat outsideip virtual-reassemblyip route 0.0.0.0 0.0.0.0 202.100.34.3crypto isakmp policy 10authentication pre-sharecrypto isakmp keepalive 60 ISAKMP的DPDcrypto isakmp nat keepalive 10用于在NAT之后的情況，防止NAT丢弃转发条目crypto isakmp key cisco address 202.100.23.2crypto ipsec transform-set myset esp-des esp-md5-hmaccrypto ipsec nat-transparency spi-matching开启SIP-Matching，跟NAT特性有关access-list 101 permit ip 192.168.34.0 0.0.0.255 192.168.12.0 0.0.0.255 crypto map map 10 ipsec-isakmpset peer 202.100.23.2set transform-set mysetmatch address 101interface Ethernet0/0crypto map mapip nat inside source route-map nat-map interface Ethernet0/0 overload access-list 102 deny ip 192.168.34.0 0.0.0.255 192.168.12.0 0.0.0.255access-list 102 permit ip 192.168.34.0 0.0.0.255 any route-map nat-map permit 1match ip address 102测试结果解法二：基于UDP穿越NAT将cry ips nat-transparency spi-matching 改成cry ips nat-transparency udp-encapsulation即可测试：注意理解“crypto ipsec nat-transparency”这个命令，后面有两个参数，一个是NAT-T支持，一个是SPI-Matching。

50２００５．８网络安全网络安全技术与应用０　引言ＩＰＳＥＣ作为网络实时通信的安全协议，已经成为ＩＮＴＥＲＮＥＴ的实际安全标准；而ＮＡＴ也有效解决了目前ＩＰＶ４地址的严重不足。

当ＩＰＳＥＣ数据包穿越ＮＡＴ设备时，会产生严重的兼容性问题。

ＮＡＴ－Ｔ（ＮＡＴ－Ｔｒａｖｅｒｓａｌ）是目前较为流行的一种解决两者兼容性问题的方案，并越来越被广泛采用。

１　ＩＰＳＥＣ、ＮＡＴ工作原理１．１　ＩＰＳＥＣＩＰＳＥＣ是ＩＥＴＦ制定的保障ＩＮＴＥＲＮＥＴ通信安全的标准。

该标准主要由安全协议ＡＨ（Ａｕｔｈｅｎｔｉｃａｔｉｏｎ）和ＥＳＰ（ＥｎｃａｐｓｕｌａｔｉｎｇＳｅｃｕｒｉｔｙ　Ｐａｙｌｏａｄ），密钥交换协议ＩＫＥ（Ｉｎｔｅｒｎｅｔ　Ｋｅｙ　Ｅｘｃｈａｎｇｅ）两大部份组成。

为在Ｉｎｔｅｒｎｅｔ上进行数据通讯的用户提供加密、数据完整性、认证ＩＰ报文及防止重放攻击等安全服务。

ＩＰＳＥＣ规范定义了两种保护通信数据包的模式：传输模式（Ｔｒａｎｓｐｏｒｔ　Ｍｏｄｅ）：在数据包的ＩＰ报头和其余部分之间插入ＩＰＳＥＣ信息。

图１　传输模式隧道模式（Ｔｕｎｎｅｌ　Ｍｏｄｅ）：保留原有的ＩＰ数据包，然后在数据包外面封装新的ＩＰ报头和ＩＰＳＥＣ信息。

图２　隧道模式１．２　ＮＡＴ（Ｎｅｔｗｏｒｋ　Ａｄｄｒｅｓｓ　Ｔｒａｎｓｌａｔｉｏｎ）ＮＡＴ是为了缓解日益紧张的Ｉｎｔｅｒｎｅｔ公网地址匮乏的问题，而采用的一种将内部私有网络ＩＰ地址映射为外部公网ＩＰ地址的技术标准。

主要可以划分为静态ＮＡＴ，动态ＮＡＴ和网络地址端口转换ＮＡＰＴ三种类型。

其基本工作原理（以ＮＡＰＴ为例）为：ＮＡＴ设备接受内部主机的数据包，将该包的内部ＩＰ地址和ＴＣＰ／ＵＤＰ端口号转换为自身的公网ＩＰ地址和特定的端口号，然后将数据包送往目标主机；同时，将此映射关系存表。

当ＮＡＴ收到目标主机的应答后，查表，修改目标主机的ＩＰ地址和端口号并回送给相应的客户端。

２　ＩＰＳＥＣ、ＮＡＴ的兼容性问题ＩＰＳＥＣ和ＮＡＴ的设计思想存在矛盾。