NAT穿越
添加UDP头部
只能用ESP
验证信息改变,不能用IP
PSec协商是通过IKE完成--->ISAKMP协议完成--->由UDP封装,源目端口均为500。
NAT--->NAPT,同时转换IP和端口信息。
对端设备会查验收到的数据报文中的源IP和源端口,其中源IP可以设定为NAT转换后的IP,但 是源端口无法更改设定。
不进行端口转换,可以在FW1上使用模板方式。
数据流量的传递过程
AH协议 --- 校验范围是这个IP层及以上的内容进行HASH校验。
数据报文在进行NAT转换后,最外层的IP层信息发生了改变,而接收方在进行AH协议的 完整性校验时,信息对不上,HASH数值被改变。----AH报文是无法通过NAT网关。
ESP协议 --- 进行校验是不包含外层IP信息的。
NAT一般会修改IP和端口,而ESP协议会加密传输层信息,导致无法修改端口。 --- 同时 转换端口的NAT,ESP也不支持。
需要在防火墙上开启NAT-T技术(NAT穿越),ESP报文被封装时,会被封装到UDP报文中,并且源目端口均为4500。
