剖析NAT-T【新任幫主】

nat-t技術(shù)主要是針對(duì)pat來(lái)說(shuō)的 ，當(dāng)IPsec 建立在防火墻的兩邊時(shí) ，并且穿越pat設(shè)備的時(shí)候?qū)?huì)出現(xiàn)問(wèn)題；

現(xiàn)在來(lái)描述整個(gè)IPsec建立的過(guò)程來(lái)引出問(wèn)題的所在。大家都知道ipsec ***隧道建立的過(guò)程中要經(jīng)歷六個(gè)包的main mode 和 3個(gè)包的 quick mode ，當(dāng)我們啟用nat-t的時(shí)候

①　 首先在main mode的1，2兩個(gè)包中會(huì)協(xié)商有沒(méi)有nat-t的能力；此階段，我把它叫做nat-t能力協(xié)商（針對(duì)nat-t來(lái)說(shuō)）

此處可以看出，運(yùn)營(yíng)商代碼（vendor id）13 代表了此處支持nat-t的技術(shù)；

①　那么，我們?cè)趺粗婪阑饓τ袥](méi)有做pat能，R1，R2是怎樣感知的呢，此時(shí)在main mode的3，4個(gè)包中會(huì)在vendor id 13 中攜帶兩個(gè)hash值，這個(gè)hash的原料是分別是源端的地址和端口號(hào)，目的端的ip地址和端口號(hào) ；此階段，我把它叫做試探nat

如果對(duì)端發(fā)過(guò)來(lái)的源hash和目的hash相同說(shuō)明沒(méi)有做nat，否則說(shuō)明做了nat

①　此處我是做了nat的 ，所以hash值是不一樣的，當(dāng)ipsec站點(diǎn)發(fā)現(xiàn)存在nat，就會(huì)改變數(shù)據(jù)包報(bào)頭，插入udp的報(bào)頭封裝IPsec(ESP)，此包格式更改是從main mode的5，6個(gè)包開(kāi)始，一直到數(shù)據(jù)的加密全過(guò)程；此處有一個(gè)疑問(wèn)，為什么檢查到有nat就要改變報(bào)頭格式呢？

解釋：當(dāng)IPsec 隧道感知nat的存在時(shí)，在穿越pat設(shè)備的時(shí)候?qū)⒉桓淖冊(cè)炊丝谔?hào)，因?yàn)橛械臅r(shí)候ike在實(shí)施的過(guò)程中將不會(huì)處理源端口號(hào)不為500的數(shù)據(jù)包，那么pat的設(shè)備本身就是靠源端口號(hào)來(lái)進(jìn)行地址復(fù)用的，現(xiàn)在不改變?cè)炊丝谔?hào)，固然會(huì)出現(xiàn)問(wèn)題 。所以此時(shí)我們要盡可能改變?cè)炊丝谔?hào)，讓pat設(shè)備轉(zhuǎn)換，如上圖udp源和目的端口號(hào)均為4500（ipsec-nat-t），此后所有的數(shù)據(jù)包都在udp 4500中傳輸；