源地址(从NAT-OA中获得);
——从校验和中减去接收包的IP目的地址;
——在校验和中增加通过IKE获得的真实的IP目的地址(从NAT-OA中获得)。
如果接收到的地址和真实地址是相同的,则取消相关操作。
·如果在ESP头后面的协议头IPv4是TCP/UDP头,则应重新计算TCP/UDP头中的校验和字段。
·如果ESP头后面的协议头是UDP头,应将UDP头中的校验和字段置O。如果在ESP头后面的协议头是TCP头,并且存在一个选项,该选项用于指示协议栈,而不用检查TCP效验和,则可以使用该选项。仅在传输模式中,对报文进行了完整性保护时,才能使用这种方法。对隧道模式的TCP校验和必须进行验证。因为校验和由发送方产生并由接收方验证,该校验和是对整个IPSec处理的报文的完整性检验。
(3)在实现中,可以对被NAT破坏的包含协议进行修正。传输模式下,ESP封装的报文格式如图1,图2所示。传输模式下ESP封装的步骤为:
·普通的ESP封装处理。插入一个适当格式的UDP头部;编辑I页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] 第8页、共9页 |
