zoukankan      html  css  js  c++  java
  • IPSec和UDP 4500端口的关系

    背景:

    在IPv4的网络中,IP地址是紧缺资源,为了能让用户上网,我们往往要使用PAT(Port Address Translation)端口地址转换技术(也称为端口多路复用技术)。这种技术可以使用一个IP地址被多个会话所复用。与NAT(Network Address Ttanslation)技术只对IP地址做转换不同,PAT技术为了区分源自于不同主机的会话,不仅仅转换源IP地址,而且还会转换这次会话的源端口,把它转换成为一个未被使用的大于1023的端口号。从互联网返回的数据包,通过不同的目的端口号来区分不同的会话。实现一个地址的多会话复用。

    有鉴于此,IPSec VPN通道的中间如果经过了PAT转换就会产生问题。

    实验环境搭建:

    本实验一共需要使用2台路由器,1台防火墙。由左到右分别模拟公司中心节点出口路由器(site1)、互联网防火墙(PATdevice)和公司分支节点出口路由器(site2)。其中site1的环回口(loopback0)模拟公司中心节点内部网络,site2的环回口(loopback0)模拟公司分支节点内部网络。IP地址规划如图所示。   

    该拓扑是一个lan-to-lan全网接入的VPN拓扑,site1和site2是本次IPSec VPN实验的加密设备。site2位于PATdevice内部,使用的是私有网络地址。为了能使site2访问互联网,并且与site1建立IPSec VPN,我们在PATdevice上配置了PAT地址转换,把内部192.168.1.0/24网络PAT转换到PATdevice的E0口地址(100.100.100.2/24)。

    加密的感兴趣的分别为site1身后的10.10.10.0/24网络和site2身后的10.10.20.0/24网络之间的流量。

    实验结果:

    隧道两端可以正常通信

    实验分析:

    PAT不仅仅要转换源IP地址,还要转换传输层(四层)源端口号。IPSec VPN用的ESP是一个三层技术,没有传输层头部,自然也就没有传输层端口号。那么按照这个原理推理下来此VPN隧道应该不能建立成功才对,可是实验为什么可以通信呢?

     原因就在于中间的PAT设备开启了NAT-T技术!

    NAT-T技术介绍:

    NAT-T技术解决问题的思路其实很简单。如下图所示,这项技术在原ESP头部和外层IP头部之间,插入了一个UDP/4500的头部。使得PAT设备按照处理一个普通UDP数据包的方式对它进行处理。有个NAT-T技术的协助,ESP数据包就能够穿越PAT设备了。

    注: 默认情况下主流的一些的防火墙和路由器都自动开启了NAT-T功能

    提示:有运营骨干网安全设备的小伙伴一定要注意了,一定要记得放行UDP的4500端口哦,万一两端有人建立有穿越PAT的IPSec VPN呢。

  • 相关阅读:
    赞赏出版模式:在大众之中寻找大家,在凡品之上打造精品-百道网
    赞赏——人人都能赞赏成书
    赞赏网---赞赏网
    知乎利用众筹模式出书 颠覆传统出版业规则|众筹模式|出书|知乎_新浪新闻
    发起项目
    北京墨知缘文化传媒有限公司,出书,出书挂名, 代理出书,学术出书,出书流程,出书渠道,如何出书,出版,出版图书,想出书,怎么出书,出书费用,出书哪家好,那家出书最便宜,图书出版,书号申请,墨之源,墨知源,墨之缘
    springboot~openfeign从JSON文件读取数据
    springboot~openfeign从此和httpClient说再见
    java~mac下的终端工具oh-my-zsh
    springboot~内嵌redis的使用
  • 原文地址:https://www.cnblogs.com/baihualin/p/12023223.html
Copyright © 2011-2022 走看看