Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

了解 NAT-T

 

网络地址转换遍历(NAT)是一种解决 IP 地址转换问题的方法,当由 IPsec 保护的数据通过地址转换的 NAT 设备传递时,就会遇到这种情况。对 IP 寻址的任何更改是 NAT 的功能,导致 IKE 丢弃数据包。在阶段1交换期间检测到 datapath 上的一个或多个 NAT 设备之后,NAT-T 将用户数据报协议(UDP)封装添加到 IPsec 数据包,以便在地址转换之后不丢弃它们。NAT-T 将 UDP 内的 IKE 和 ESP 流量以及用作源和目标端口的端口4500封装在一起。由于 NAT 设备老化过时 UDP 转换,因此在对等方之间需要激活消息。

有两大类别的 NAT:

  • 静态 NAT,在专用和公共地址之间存在一对一关系。静态 NAT 在入站和出站方向均可工作。

  • 动态 NAT,其中的私有和公共地址之间存在多对一或多对多的关系。动态 NAT 仅在出站方向上工作。

NAT 设备的位置可能是:

  • 只有 IKEv1 或 IKEv2 发起方位于 NAT 设备后面。多个发起方可以位于不同的 NAT 设备后面。启动器还可通过多个 NAT 设备连接到响应程序。

  • 只有 IKEv1 或 IKEv2 响应器位于 NAT 设备后面。

  • IKEv1 或 IKEv2 发起方和响应方均位于 NAT 设备后面。

动态端点 VPN 覆盖了发起方的 IKE 外部地址不固定,并因此响应方不知道的情况。当发起方的地址由 ISP 动态分配,或当发起方连接与从动态地址池分配地址的动态 NAT 设备交叉时,可能会发生这种情况。

NAT 的配置示例为拓扑提供,其中只有响应方位于 NAT 设备上,而启动器和响应方位于 NAT 设备后面的拓扑。发起方和响应方均支持 NAT T 的站点到站点 IKE 网关配置。远程 IKE ID 用于在 IKE 通道协商的阶段’1 期间验证对等方的本地 IKE ID。发起方和响应方都需要local-identity a 和remote-identity设置。

在 SRX5400、SRX5600 和 SRX5800 设备上,IPsec NAT T 通道扩展和维持问题如下:

  • 对于给定的专用 IP 地址,NAT 设备应将500和4500专用端口都转换为相同的公共 IP 地址。

  • 给定公共转换 IP 中的隧道总数不能超过1000隧道。

从 Junos OS 版本 19.2 R1 开始,仅在配备 SRX5K-SPC-SPC3 服务处理卡(SPC)或 SRX5800 的 SRX5400、SRX5600 和 vSRX 设备上支持 NAT T 的 PowerMode IPSec (PMI)。

相关主题