IPsec 및 NAT 순회

IKE는 NAT 장치에 걸쳐 IPsec SA를 협상할 수 있습니다. 시스템이 NAT 장치 뒤에 있더라도 이 기능을 통해 시스템은 원격 네트워크에서 안전하게 연결할 수 있습니다. 예를 들어, 집에서 작업하거나 회의실에서 로그온하는 직원은 IPsec를 사용하여 트래픽을 보호할 수 있습니다.

NAT는 네트워크 주소 변환(network address translation)을 나타냅니다. NAT 장치를 사용하여 개인 내부 주소를 고유한 인터넷 주소로 변환할 수 있습니다. NAT는 호텔과 같은 인터넷 공용 액세스 지점에서 매우 일반적입니다. 자세한 내용은 IP 필터의 NAT 기능 사용을 참조하십시오.

NAT 장치가 통신 시스템 사이에 있을 때 IKE를 사용하는 기능을 NAT 순회 또는 NAT-T라고 합니다. NAT-T에는 다음 제한 사항이 있습니다.

• AH 프로토콜은 변경되지 않는 IP 헤더에 의존하므로 AH는 NAT-T와 함께 작동할 수 없습니다. ESP 프로토콜은 NAT-T와 함께 사용됩니다.

• NAT 장치는 특수 처리 규칙을 사용하지 않습니다. 특수한 IPsec 처리 규칙을 사용하는 NAT 장치는 NAT-T의 구현에 방해가 될 수 있습니다.

• NAT-T는 IKE 개시자가 NAT 장치의 뒤에 있는 시스템일 때만 작동합니다. 장치가 IKE 패킷을 장치 뒤의 해당 개별 시스템에 전달하도록 프로그래밍되지 않은 경우 IKE 응답자는 NAT 장치 뒤에 있을 수 없습니다.

다음 RFC는 NAT 기능 및 NAT-T의 제한 사항을 설명합니다. RFC의 사본은 http://www.rfc-editor.org에서 검색할 수 있습니다.

• RFC 3022, “Traditional IP Network Address Translator (Traditional NAT),” 2001년 1월

• RFC 3715, “IPsec-Network Address Translation (NAT) Compatibility Requirements,” 2004년 3월

• RFC 3947, “Negotiation of NAT-Traversal in the IKE,” 2005년 1월

• RFC 3948, “UDP Encapsulation of IPsec Packets,” 2005년 1월

NAT에 걸쳐 IPsec를 사용하려면 모바일 시스템에 대한 IKE 구성(작업 맵)을 참조하십시오.