我理解为什么不能在 NAT 服务器上使用 IPSec AH,因为 IP 标头也包含在 MAC 中。但我对带身份验证的 ESP 感到困惑(我说的是隧道模式,但我认为它与传输模式没有区别)
我从中得到了什么 这解释是 ESP 中的身份验证对 ESP + Payload 进行身份验证,包括原始 IP 标头,但没有使用“新”IP 标头的字段来到达其他 IPSec 端点。
那么,如果源地址发生变化,这为什么会是个问题呢?
我假设,这可能是由于源端口的更改造成的,但源端口已加密,因此这不是问题。这让我想到了另一种可能性,即根本不可能对这样的数据包进行 NAT,因为我的 IP 或 ESP 标头中没有端口 - 这是原因吗?
谢谢
答案1
这让我想到了另一种可能性,即根本不可能对这样的数据包进行 NAT,因为我的 IP 或 ESP 标头中没有端口 - 这是原因吗?
是的,这绝对是原因之一,尤其是当同一 NAT 设备后面有多个 IPsec 主机时。请阅读RFC 3715(IPsec-网络地址转换 (NAT) 兼容性要求)了解 NAT 可能对 IPsec 连接产生的潜在影响的描述。