而不影响总体性能。
北电网络安全路由技术能将VPN集成到现有路由器中,升级软件以便通过安全协议来处理话务;为每个设备添加加密卡支持和实施上述网络升级。
2.安全路由技术的发展
要实现IPSec VPN及安全路由技术大面积的推广,还需确保IPSec VPN实现网络地址转换的功能,远端节点极有可能处于保留地址段,该远端节点若要采用IPSec VPN连接中心节点,必须实现网络地址转换(NAT)的功能。
由于 IPSec VPN协议架构本身的原因以及缺乏支持IPSec 的NAT设备,当IPSec和NAT在一起运行时就会出现很多问题。
NAT 有静态NAT和动态NAT两种类型。其中静态NAT允许数据主动进出网络,而动态NAT只允许数据主动流出网络,出网时把源地址转换为合法地址,进网时则把目标地址转换为原来的内部地址,以达到与公网互通的目的。
IPSec 的许多特性阻止了NAT的运行,如IKE 必需保证源UDP端口=目的UDP端口=500,此特性阻止了PAT多对一 的运行,IPSec AH 方式不允许改变任何IP 地址,以满足认证功能与完整性功能,因此阻止了任何类型NAT的运行。在ESP 传输模式下,NAT设备无法修改TCP CHECKSUM,因此页码:[1] [2] [3] [4] [5] [6] [7] [8] 第5页、共8页 |
