|
|
|
|
|
|
|
|
检测地址和端口在传输过程中是否发生改变。如果协商双方计算出的散列值与其收到的散列值相同,则表示它们之间没有NAT。反之,则是在传输中对地址或端口进行了转换,说明所通过的IPSec报文进行了NAT穿越的处理。如果发送者不能确定自己的IP地址(比如拥有多个网络接口,并且不能确定包路由选择到哪一个接口),它可以在报文中包含多个本地IP地址的散列值。在这种情况下,仅当所有的散列值均不匹配时,才表明NAT的存在。
对IPSec进行特殊处理的NAT设备可能会导致问题的发生。NAT后有多个客户端,即使某些NAT不改变500的源端口号,也能将IKE Cookie值映射到分解的通信流,而不必使用源端口。对IKE来说,很难发现NAT是否具有上述能力。对NAT的透明性而言,这些方法均存在弊端。最好的办法是使IKE通信流简单地离开500端口,以避免对任何IPSec-awareNAT进行特殊处理。
在阶段l完成后,协商双方都已明确,在它们之间是否存在NAT。至于是否使用NAT穿越,则由快速模式协商决定。NAT穿越的使用在快速模式的SA载荷中协商,协商双方可向对端传送IPSec报文的原始地址(传输模式情况下),从而使对端有可能在NAT转换之后,对TCP/IP进行校验和修正。为了执行增量TCP校验和修正,协商双方可能需要知道对端在构造报文时所使用的原始IP地址。对于发页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] 第6页、共9页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
