跳过导航链接 | |
退出打印视图 | |
在 Oracle Solaris 11.1 中保护网络安全 Oracle Solaris 11.1 Information Library (简体中文) |
IKE 可以通过 NAT 盒 (NAT box) 来协商 IPsec SA。此功能使系统可以从远程网络安全地连接,即使当系统位于 NAT 设备之后也可如此。例如,在家工作或从会议地点登录的雇员可以使用 IPsec 保护其通信。
NAT 表示网络地址转换。NAT 盒 (NAT box) 用于将专用内部地址转换为唯一的 Internet 地址。NAT 常见于 Internet 的公共访问点,例如宾馆。有关更全面的论述,请参见使用 IP 过滤器的 NAT 功能。
当 NAT 盒 (NAT box) 位于通信系统之间时使用 IKE 的能力称为 NAT 遍历,即 NAT-T。NAT-T 具有下列限制:
由于 AH 协议取决于未更改的 IP 数据包头,因此 AH 不能用于 NAT-T。ESP 协议可用于 NAT-T。
NAT 盒 (NAT box) 不使用特殊的处理规则。使用特殊 IPsec 处理规则的 NAT 盒 (NAT box) 可能会干扰 NAT-T 的实现。
仅当 IKE 启动器是位于 NAT 盒 (NAT box) 之后的系统时,NAT-T 才运行。IKE 响应者不能位于 NAT 盒 (NAT box) 之后,除非此盒已经过编程可以将 IKE 包转发到位于盒之后的相应单个系统。
以下 RFC 介绍了 NAT 的功能和 NAT-T 的限制。可以从 http://www.rfc-editor.org 检索 RFC 的副本。
RFC 3022,"Traditional IP Network Address Translator (Traditional NAT)",2001 年 1 月
RFC 3715,"Psec-Network Address Translation (NAT) Compatibility Requirements",2004 年 3 月
RFC 3947,"Negotiation of NAT-Traversal in the IKE",2005 年 1 月
RFC 3948,"UDP Encapsulation of IPsec Packets",2005 年 1 月
有关如何通过 NAT 使用 IPsec 的信息,请参见为移动系统配置 IKE(任务列表)。