严格地说,只能是隧道模式下的ESP才能穿越NAT。
首先需要了解的是IPSEC的作用,即数据的机密性、完整性、认证性。
-
机密性就是保证数据包的原始内容不被看到;
-
完整性即保证数据包的内容不会被修改;
-
认证性保证数据来自被信任的客户端。
IPSEC中的封装格式有2种(AH和ESP),
- AH在IP数据包中插入了一个包头,其中包含对整个数据包内容的校验值;
- ESP用户加密整个数据包内容,同时也可以对数据包进行认证。
IPSec有2 种不同的模式:传输模式和隧道模式。
- 传输模式,主要用于主机到主机之间的直接通信。
- 隧道模式主要用于主机到网关或网关到网关之间。
传输模式和隧道模式主要在数据包封装时有所不同。无论传输模式还是隧道模式,AH都会认证整个数据包。并且AH还会认证位于AH头之前的IP 头。当NAT 设备修改了IP 头之后,IPSec 就会认为这是对数据包完整性的破坏,从而丢弃数据包。因此AH是不可能和NAT 在一起工作的。 而ESP在传输模式时会保护TCP/UDP头,但是并不保护IP 头,因此修改IP 地址并不会破坏整个数据包的完整性。但是如果数据包是TCP/UDP数据包,NAT设备就需要修改数据包的校验值,而这个校验值是被ESP 所保护的,这样却会导致完整性校验失败。 所以最终可能和NAT一起工作的只能是隧道模式下的ESP。