|
|
|
|
|
|
|
|
击和欺骗攻击。IKE必须允许双向方式的密钥能够重生成。
三、IPSec穿越NAT的解决方法
在IPSec中,SA的管理既可手工进行,也可通过IKE自动协商来完成。如果采用IKE方式,需要IKE协商和UDP封装两种方法配合起来使用,以完成IPSec穿越NAT。
1.IKE协商
在阶段l协商中,需要针对NAT执行两种探测。一是探测是否支持NAT穿越,二是探测在通信路径中是否存在NAT。NAT可能会改变IKEUDP的源端口,因而接收方必须能处理源端口不是500的IKE报文。
(1)通过Vendor ID载荷交换来确定远程主机是否支持NAT穿越。如果协商双方支持NAT穿越,则协商双方在阶段1的前两条消息中应加入一个Vendor ID载荷,载荷的内容是对特定字串进行MD5运算得出的散列值。该字串需标明它所支持的NAT穿越方法应遵循的要求。
(2)NAT-D(NAT Discovery)载荷不仅用于探测两个IKE实体之间是否存在NAT,也用于探测NAT所处的位置。Keepalive消息能从位于NAT后面的实体发出。为了探测出两台主机之间的NAT,需要检查IP地址和端口是否沿着传输路径发生改变。协商双方只需各自向对端发送源方和目的方的IP地址与端口的散列值,就可以页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] 第5页、共9页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
