IPSec

1. ipsec在NAT环境下会遇到什么问题?详细分析NAT环境下IPSEC的6个环节的兼容问题?

IPSec的NAT问题是会破坏IPSec的完整性,从IPSec的两个阶段来分新:

第一阶段:

  • 主模式
  • 野蛮模式

第二阶段:

  • ESP的传输模式和隧道模式
  • AH的传输模式和隧道模式

主模式存在的问题:IPSec的工作中主模式会存在六个包,一二包的作用就是 协商建立ike sa安全参数,三四包交换密钥相关信息,并生成密钥,而最大问题就在五六包,原因是五六包的作用是交换身份信息,验证信息,他们采取的是IP来传送身份信息;在进行NAT转换的过程,IP值进行转换,NAT破坏后无法完成身份认证

野蛮模式:野蛮模式他是三个包,由于它的id值可以自定义为字符串,NAT是无法破坏IPSec的完整性,可以进行正常的完成第一阶段的身份认证。

第二阶段AH的传输模式和隧道模式:

由图可看出:AH协议会校验外层IP地址,无论是传输模式还是隧道模式,在进行nat转换的过程中都会转换外层IP地址,所以完整性都会被破坏,AH协议无法与nat兼容。

IPSec_第1张图片

ESP协议的传输模式和隧道模式:ESP不会对外层IP做认证或校验,所以完整性算法不会被NAT破 坏,但是 nat在修改IP地址的时候也要修改伪首部校验和,这样就不会出现伪首部校验失败的问题,但是ESP等加 密封装把4层加密后nat就无法修改伪首部校验和,导致校验失败。

  • ESP的隧道模式下NAT修改IP是在新头部中,而伪首部校验和针对是原始IP头故而不会导致伪首部校验失败。
  • 但是ESP的传输模式,根据伪首部校验原理,数据最终在接收pC上由于之前加密NAT设备无法伪首部校 验值,导致伪首部校验失败,数据包被丢弃。所以ESP传输模式无法与NAT兼容。
  • ESP隧道模式,伪首部校验针对的是原始IP头,而NAT转换的是新IP头,所以不存校验失败问题,EPS隧道模式可以与NAT兼容。

IPSec_第2张图片
2. 多VPN的NAT环境下ipsec会有哪些问题?如何解决?

ESP加密数据----ESP协议没有端口号

IPSec_第3张图片

IPSec_第4张图片

 以上问题是IPSEC在NAT环境下用野蛮模式和ESP隧道模式下依然会遇到的问题

IPSec_第5张图片

 NAT环境下IPSEC最终解决方案:NAT-T技术,改技术规定在NAT模式下IPSEC的IKE SA阶段使用目的端口UDP 500或4500作为端口号,源端口允许被修改(这种情况下防火墙写策略时不要规定其源端口号),IPSEC SA数据加密流传输阶段规定使用目的端口UDP 4500来传输ESP加密流,源端口允许被修改,解决了ESP没有端口号的问题。

IPSec_第6张图片nat static protocol udp global 100.1.1.1 500 inside 10.100.1.1 500
nat static protocol udp global 100.1.1.1 4500 inside 10.100.1.1 4500

3. IPSEC是否支持动态协议?为什么?

IPSec不支持动态协议

 

你可能感兴趣的:(网络攻防,网络,安全)