IKE は、NAT ボックスを通して IPsec SA とネゴシエートできます。この機能により、システムが NAT デバイスの背後にある場合でも、リモートネットワークからシステムへのセキュアな接続が可能です。たとえば、自宅で働く社員や会議場からログオンする社員も IPsec で自分のトラフィックを保護できます。
NAT ボックスは、プライベートな内部アドレスを一意のインターネットアドレスに変換します。NAT は、ホテルなどのインターネットへの公共のアクセスポイントでは非常によく使用されています。
NAT ボックスが通信システム間にある場合に IKE を使用する機能は、「NAT traversal」、または NAT-T と呼ばれます。NAT-T には次の制限があります。
AH プロトコルは不変の IP ヘッダーに依存するため、AH を NAT-T と連係させることはできません。NAT-T を使用する場合は、ESPプロトコルが使用します。
NAT ボックスには特別な処理規則はありません。特別な IPsec 処理規則を持つ NAT ボックスは、NAT-T の実装の障害となる場合があります。
NAT-T が機能するのは、IKE イニシエータが NAT ボックスの背後にあるシステムの場合だけです。ボックスが、ボックスの背後の適切なシステム各自に IKE パケットを転送するようにプログラムされていない場合は、IKE の応答者が NAT ボックスの背後にいることはできません。
次の RFC は、NAT 機能と NAT-T の制限事項について説明しています。RFC のコピーは、http://www.rfc-editor.orghttp://www.rfc-editor.org で入手できます。
RFC 3022、『Traditional IP Network Address Translator (Traditional NAT)』、2001 年 1 月
RFC 3715、『IPsec-Network Address Translation (NAT) Compatibility Requirements』、2004 年 3 月
RFC 3947、『Negotiation of NAT-Traversal in the IKE』、2005 年 1 月
RFC 3948、『UDP Encapsulation of IPsec Packets』、2005 年 1 月