IPSec

1. ipsec在NAT环境下会遇到什么问题？详细分析NAT环境下IPSEC的6个环节的兼容问题？

IPSec的NAT问题是会破坏IPSec的完整性，从IPSec的两个阶段来分新：

第一阶段：

• 主模式
• 野蛮模式

第二阶段：

• ESP的传输模式和隧道模式
• AH的传输模式和隧道模式

主模式存在的问题：IPSec的工作中主模式会存在六个包，一二包的作用就是 协商建立ike sa安全参数，三四包交换密钥相关信息，并生成密钥，而最大问题就在五六包，原因是五六包的作用是交换身份信息，验证信息，他们采取的是IP来传送身份信息；在进行NAT转换的过程，IP值进行转换，NAT破坏后无法完成身份认证。

野蛮模式：野蛮模式他是三个包，由于它的id值可以自定义为字符串，NAT是无法破坏IPSec的完整性，可以进行正常的完成第一阶段的身份认证。

第二阶段AH的传输模式和隧道模式：

由图可看出：AH协议会校验外层IP地址，无论是传输模式还是隧道模式，在进行nat转换的过程中都会转换外层IP地址，所以完整性都会被破坏，AH协议无法与nat兼容。

ESP协议的传输模式和隧道模式：ESP不会对外层IP做认证或校验，所以完整性算法不会被NAT破 坏，但是 nat在修改IP地址的时候也要修改伪首部校验和，这样就不会出现伪首部校验失败的问题，但是ESP等加 密封装把4层加密后nat就无法修改伪首部校验和，导致校验失败。

• ESP的隧道模式下NAT修改IP是在新头部中，而伪首部校验和针对是原始IP头故而不会导致伪首部校验失败。
• 但是ESP的传输模式，根据伪首部校验原理，数据最终在接收pC上由于之前加密NAT设备无法伪首部校 验值，导致伪首部校验失败，数据包被丢弃。所以ESP传输模式无法与NAT兼容。
• ESP隧道模式，伪首部校验针对的是原始IP头，而NAT转换的是新IP头，所以不存校验失败问题，EPS隧道模式可以与NAT兼容。

2. 多VPN的NAT环境下ipsec会有哪些问题？如何解决？

ESP加密数据----ESP协议没有端口号

 以上问题是IPSEC在NAT环境下用野蛮模式和ESP隧道模式下依然会遇到的问题

 NAT环境下IPSEC最终解决方案：NAT-T技术,改技术规定在NAT模式下IPSEC的IKE SA阶段使用目的端口UDP 500或4500作为端口号，源端口允许被修改（这种情况下防火墙写策略时不要规定其源端口号），IPSEC SA数据加密流传输阶段规定使用目的端口UDP 4500来传输ESP加密流，源端口允许被修改，解决了ESP没有端口号的问题。

nat static protocol udp global 100.1.1.1 500 inside 10.100.1.1 500
nat static protocol udp global 100.1.1.1 4500 inside 10.100.1.1 4500

3. IPSEC是否支持动态协议？为什么？

IPSec不支持动态协议