我知道如果你弄乱了 IPsec 报头,数据包就会被丢弃,而 NAT 就是为此而构建的。他们如何在也需要 NAT 的地方部署 IPsec。
答案1
通常使用 IPSec NAT-Traversal (NAT-T),其中所有 IPSec 数据包都包装在端口 4500 上的 UDP 数据包中。外部未加密的 UDP/IP 报头会被 NAT 修改,但内部的 IPSec 报头不会修改。接收主机会剥离外部 UDP/IP 报头,然后以正常方式处理内部 IPSec 数据包。
IPsec 在 NAT 环境中如何运行?