IPsec 和 NAT 遍历
IKE 可以通过 NAT 盒 (NAT box) 来协商 IPsec SA。此功能使系统可以从远程网络安全地连接,即使当系统位于 NAT 设备之后也可如此。例如,在家工作或从会议地点登录的雇员可以使用 IPsec 保护其通信。
NAT 表示网络地址转换。NAT 盒 (NAT box) 用于将专用内部地址转换为唯一的 Internet 地址。NAT 常见于 Internet 的公共访问点,例如宾馆。有关更全面的论述,请参见使用 Oracle Solaris : IP 过滤器的 NAT 功能。
当 NAT 盒 (NAT box) 位于通信系统之间时使用 IKE 的能力称为 NAT 遍历,即 NAT-T。在 Solaris 10 发行版中,NAT-T 具有以下限制:
-
NAT-T 仅在 IPv4 网络中使用。
-
NAT-T 不能利用由 Sun Crypto Accelerator 4000 板提供的 IPsec ESP 加速。但是,Sun Crypto Accelerator 4000 板的 IKE 加速可正常工作。
-
由于 AH 协议取决于未更改的 IP 数据包头,因此 AH 不能用于 NAT-T。ESP 协议可用于 NAT-T。
-
NAT 盒 (NAT box) 不使用特殊的处理规则。使用特殊 IPsec 处理规则的 NAT 盒 (NAT box) 可能会干扰 NAT-T 的实现。
-
仅当 IKE 启动器是位于 NAT 盒 (NAT box) 之后的系统时,NAT-T 才运行。IKE 响应者不能位于 NAT 盒 (NAT box) 之后,除非此盒已经过编程可以将 IKE 包转发到位于盒之后的相应单个系统。
以下 RFC 介绍了 NAT 的功能和 NAT-T 的限制。可以从 http://www.rfc-editor.org 中检索这些 RFC 的副本。
-
RFC 3022,"Traditional IP Network Address Translator (Traditional NAT)",2001 年 1 月
-
RFC 3715,"Psec-Network Address Translation (NAT) Compatibility Requirements",2004 年 3 月
-
RFC 3947,"Negotiation of NAT-Traversal in the IKE",2005 年 1 月
-
RFC 3948,"UDP Encapsulation of IPsec Packets",2005 年 1 月
有关如何通过 NAT 使用 IPsec 的信息,请参见为移动系统配置 IKE(任务列表)。
- © 2010, Oracle Corporation and/or its affiliates