IKE peut négocier des SA IPsec dans une zone NAT Cela permet aux systèmes de se connecter en toute sécurité à partir d'un réseau distant, même lorsqu'ils résident derrière un périphérique NAT. Par exemple, les employés travaillant à domicile ou se connectant depuis un site de conférence peuvent protéger leur trafic à l'aide d'IPsec.
Un routeur NAT permet d'associer une adresse interne privée à une adresse Internet unique. Les routeurs NAT équipent de nombreux points d'accès publics à Internet, comme ceux qu'on trouve dans les hôtels.
L'utilisation d'IKE lorsqu'un routeur NAT figure entre les systèmes de communication correspond au NAT-T (NAT traversal). NAT-T présente les restrictions suivantes :
Le protocole AH dépend d'un en-tête IP permanent, ce qui empêche son fonctionnement avec NAT-T. Le protocole ESP s'utilise avec NAT-T.
Le routeur NAT n'applique pas de règles de traitement particulières. Un routeur NAT obéissant à des règles de traitement IPsec pourrait intervenir dans l'implémentation de NAT-T.
NAT-T fonctionne uniquement lorsque l'initiateur IKE est le système derrière le routeur NAT. Un répondeur IKE ne peut pas se trouver derrière un routeur NAT, à moins que celui-ci ne soit programmé pour transférer des paquets IKE au système adéquat figurant derrière lui.
Les RFC suivantes décrivent la fonctionnalité de NAT et les limites de NAT-T. Des copies des RFC sont disponibles à l'adresse http://www.rfc-editor.orghttp://www.rfc-editor.org.
RFC 3022, "Traditional IP Network Address Translator (Traditional NAT)", janvier 2001
RFC 3715, "IPsec-Network Address Translation (NAT) Compatibility Requirements", mars 2004
RFC 3947, "Negotiation of NAT-Traversal in the IKE", janvier 2005
RFC 3948, "UDP Encapsulation of IPsec Packets", janvier 2005