IKE 可以通过 NAT 盒 (NAT box) 来协商 IPsec SA。此功能使系统可以从远程网络安全地连接,即使当系统位于 NAT 设备之后也可如此。例如,在家工作或从会议地点登录的雇员可以使用 IPsec 保护其通信。
NAT 盒 (NAT box) 可以将专用内部地址转换为唯一的 Internet 地址。NAT 常见于 Internet 的公共访问点,例如宾馆。
NAT 盒 (NAT box) 位于通信系统之间时使用 IKE 的能力称为“NAT 遍历”,即 NAT-T。NAT-T 具有下列限制:
由于 AH 协议取决于未更改的 IP 头,因此 AH 不能与 NAT-T 一起使用。ESP 协议可用于 NAT-T。
NAT 盒 (NAT box) 不使用特殊的处理规则。使用特殊 IPsec 处理规则的 NAT 盒 (NAT box) 可能会干扰 NAT-T 的实现。
仅当 IKE 启动器是位于 NAT 盒 (NAT box) 之后的系统时,NAT-T 才运行。IKE 响应者不能位于 NAT 盒 (NAT box) 之后,除非此盒已经过编程可以将 IKE 包转发到位于盒之后的相应单个系统。
以下 RFC 介绍了 NAT 的功能和 NAT-T 的限制。可以从 http://www.rfc-editor.orghttp://www.rfc-editor.org 获取 RFC 的副本。
RFC 3022,"Traditional IP Network Address Translator (Traditional NAT)",2001 年 1 月
RFC 3715,"Psec-Network Address Translation (NAT) Compatibility Requirements",2004 年 3 月
RFC 3947,"Negotiation of NAT-Traversal in the IKE",2005 年 1 月
RFC 3948,"UDP Encapsulation of IPsec Packets",2005 年 1 月