|
|
|
|
|
|
|
|
cESP模式的穿越。例如IPSec安全网关必须支持ESP隧道模式的NA(P)T穿越,IPSec主机必须支持IPSec传输模式的NA(P)T穿越。
AH的目的是保护IP头部中不变的区域(包括地址域),而NA(P)T必须转换地址,从而使AH完整性检验失效。因此,NA(P)T和AH从根本上就是不兼容的。在IPSec-NAT兼容性方案中,没有必要支持AH传输或隧道模式。
8.后向兼容和互操作性
IPSec-NAT兼容性方案中必须能与已有的IKE/IPSec实现互操作,与不经过NA(P)T的IKE/IPSec进行通信,即IPSec-NAT穿越方案必须能后向兼容RFC2401定义的IPSec和RFC2409定义的IKE。穿越方案应该能自动检测是否存在NAT,使通信双方只在必要时才使用NA(P)T穿越支持。兼容方案应能判断通信对方的IKE实现是否支持NA(P)T穿越,以协商双方可否只进行标准的IKE会话。也就是说,虽然IKE在发起协商时,目的端口只能使用500端口,但并没有对源端口提出特殊要求,因此UDP源端口可以使用500或非500的端口。
9.安全性
IPSec-NAT兼容性解决方案的引入不得对IKE或IPSec的安全带来影响。例如,一个可行的方案必须能证明,它没有引入新的拒绝服务攻页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] 第4页、共9页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
