基于IPSec和NAT协同工作的UDP封装方案研究.docx

基于IPSec和NAT协同工作的UDP封装方案研究.docx基于IPSec和NAT协同工作的UDP封装方案研究摘要:随着计算机技术的不断发展,用户及网络设备实现了快速的发展,在这种情况下,导致因特网协议(IPv4)所能提供的IP地址空间难以满足人们的消费需求。然而IPSec和NAT存在本质上的不兼容性,IPSec和NAT结合在一起使用将产生一系列严重问题。文章通过研究分析IETF提供的UDP封装方案,同时分析了它的一个改进方案,并找出其存在的不足,提出解决方案,一方面可以确保地址转换的灵活性,另一方面能提供安全的通信服务,进而在一定程度上使IPSec和NAT协调工作。关键词:IP安全协议网络地址翻译NAT穿越UDP封装0引言随着计算机技术的不断发展,使得因特网(Intemet)用户及网络设备实现了快速的发展,进而在一定程度上导致第四版因特网协议(IPv4)所提供的IP地址空间难以满足市场需求。对于地址空间短缺的问题,IPv6可以从根本上予以解决。但是,由IPv4迁移到IPv6,在这一迁移过程中,通常情况下,需要通过协议转换的方式对现行网络基础实施进行管理,在这种情况下使得这一过程非常缓慢。同时,NAT可以保护内网安全,内网的网络结构等信息通过IP进行隐藏(IPmasquerade),进一步实现保护功能。通过基于NAT的私有网络和因特网的网络边界时,IPSec通信数据包就会产生一系列的问题。对于IPSec来说,作为IPV6的组成部分,需要一种解决方案,一方面确保地址转换的灵活性,另一方面提供安全的通信服务。1IPSec和NAT技术IPSec(IPseeurity)[1]作为一种机制,确保Ip层的通信安全。对于IPSec来说,这是一组协议,而不是一个单独的协议,这一点对于认识IPSec很重要。在内容方面,IPSec协议的定义文件通常情况下包括12个RFC文件和几十个Iniemet草案,这些已经成为工业标准中的网络安全协议。IP协议在当初设计时并没有过多的考虑安全问题,进而在一定程度上导致IP通信会受到各种威胁,主要表现为:窃听、篡改、IP欺骗等。由于没有采取任何安全措施对IP协议进行保护,并且没有对数据包的内容进行完整性验证,以及进行加密处理等,在这种情况下使得IP协议缺乏必要的安全性。IPsec包含了3个最重要的协议:AH[2]、ESP[3]和IKE[4]。workAddressTranslation)网络地址转换,是目前IPv4向IPv6趋进的过程中广泛使用的一种技术,是一种IP地址及TU端口映射的方法,这是一个IETF标准,在Intemet上允许一个机构以一个地址出现。通过重写IP数据包的头部,NAT对TU端口进行改变,进而在一定程度上完成从局域网地址空间到广域网地址空间的映射。2IPSec和NAT之间的兼容性及解决方案在安全性(IPSec)方面,协议是一种开放标准的框架结构,协议(IP)网络上的安全性,通过使用加密安全服务的方式确保通讯的安全性。对于兼容性方面的问题,可以用RISP替代NAT、“6to4”方法和用UDP封装IPSec的方式进一步解决这个问题。,如图1所示:运行的过程:第一步:判断对方是否支持穿透NAT的功能。第二步:探测通信双方之间是否存在NAT。第三步:协商UDP封装模式。第四步:发送