适用于 IPsec 密钥管理开发者的 NAT 遍历

Solaris 10 5/09 发行版包含一个用于用户数据报协议 (User Datagram Protocol, UDP) 套接字的公共 API，这些套接字用作 IPsec 网络地址转换器 (Network Address Translator, NAT) 遍历端点。

如果启用 UDP_NAT_T_ENDPOINT 套接字选项，则会使 UDP 通信对出站通信在前面加上四字节的零安全参数索引 (security parameters index, SPI) 值，并对入站通信去除零 SPI。发往具有非零 SPI 的此类套接字的入站通信将自动传输到 IPsec 的封装安全有效负荷 (encapsulating security payload, ESP)，以取消封装 UDP 中的 ESP (ESP-in-UDP)。UDP 中的 ESP (ESP-in-UDP) 封装由 IPsec 安全关联 (Security Association, SA) 中的一个属性确定。

使用此功能，IPsec 密钥管理软件开发者可以创建可转接 NAT 设备的密钥管理协议。iked(1M) 中的 Solaris IKE 守护进程会使用这种功能，使用 pfiles(1M) 命令可显示此类套接字。