|
|
|
|
|
|
|
|
>
3.方向性
NA(P)T的方向性也是一种安全功能,所以IPSec穿越方案不应允许NA(P)T后面的主机接收来自任意IP地址随意发送的IPSec或IKE通信流。一旦双向IKE和IPSec通信已经建立,则地址转换的映射即告连接。
4.远程访问
IPSec的一个重要应用是远程访问公司的内部网络。NA(P)T穿越方案必须支持通过IPSec隧道模式或者L2TPoverIPSec的NAT穿越,故要求穿越方案必须考虑远程客户端与VPN网关之间存在多个NA(P)T的情况。
5.防火墙兼容性
目前,防火墙已经广为应用,IPSec-NAT兼容性方案必须能使防火墙管理员创建简单的静态访问规则,以决定是否允许IKE及IPSec-NAT的穿越。原则上,应该避免IKE或者IPSec目的端口的动态分配。
6.可扩展性
IPSec-NAT兼容性方案应具有良好的扩展性,可部署在大规模远程访问的环境中。在大量远程接入的环境下,不可能在同一时间段内只有一个主机使用同一个给定的地址进行通信。因此,在兼容性方案中,必须解决SPD条目重叠和接收包解复用的问题。
7.模式支持
IPSec-NAT方案必须支持IPSe页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] 第3页、共9页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
