IKE는 NAT 장치에 걸쳐 IPsec SA를 협상할 수 있습니다. 시스템이 NAT 장치 뒤에 있더라도 이 기능을 통해 원격 네트워크에서 안전하게 연결할 수 있습니다. 예를 들어, 집에서 작업하거나 회의실에서 로그온하는 직원이 IPsec을 사용하여 트래픽을 보호할 수 있습니다.
NAT 장치는 개인 내부 주소를 고유한 인터넷 주소로 변환합니다. NAT는 호텔과 같은 인터넷 공용 액세스 지점에서 매우 일반적입니다.
NAT 장치가 통신 시스템 사이에 있을 때 IKE를 사용하는 기능을 "NAT 순회" 또는 NAT-T라고 합니다. NAT-T에는 다음 제한 사항이 있습니다.
AH 프로토콜은 변경되지 않는 IP 헤더에 의존하므로 AH는 NAT-T와 함께 작동할 수 없습니다. ESP 프로토콜은 NAT-T와 함께 사용됩니다.
NAT 장치는 특수 처리 규칙을 사용하지 않습니다. 특수한 IPsec 처리 규칙을 사용하는 NAT 장치는 NAT-T의 구현에 방해가 될 수 있습니다.
NAT-T는 IKE 개시자가 NAT 장치의 뒤에 있는 시스템일 때만 작동합니다. 장치가 IKE 패킷을 장치 뒤의 해당 개별 시스템에 전달하도록 프로그래밍되지 않은 경우 IKE 응답자는 NAT 장치 뒤에 있을 수 없습니다.
다음 RFC는 NAT 기능 및 NAT-T의 제한 사항을 설명합니다. RFC 사본은 http://www.rfc-editor.orghttp://www.rfc-editor.org에서 제공됩니다.
RFC 3022, “Traditional IP Network Address Translator (Traditional NAT),” 2001년 1월
RFC 3715, “IPsec-Network Address Translation (NAT) Compatibility Requirements,” 2004년 3월
RFC 3947, “Negotiation of NAT-Traversal in the IKE,” 2005년 1월
RFC 3948, “UDP Encapsulation of IPsec Packets,” 2005년 1월