IPSec与NAT冲突问题隧道嵌套解决方案研究

　　1    引言

　　在现今计算机网络中，网络地址转换NAT（Network address translation）技术和IP安全协议IPSec（IP Security Protocol）技术已非常普及，其中NAT技术主要用于解决IPV4版本中IP地址匮乏的问题，同时对企业内部网络的IP地址进行了隐藏，有效地保护企业内部网络，而IPSec技术在企业内部网络远程互联，通过IPSec隧道实现企业内部网络的扩展，构建虚拟专用网VPN（Virtual Private Network）中成为最常用技术。

　　但NAT技术与IPSec技术存在着底层协议冲突的问题，现今主要采用IPSec OVER TCP（Transmission Control Protocol，传输控制协议）、UDP（User Datagram Protocol，用户数据报协议）封装法、RSIP（Realm-Specific IP，领域特定IP）等方法解决NAT与IPSec冲突的问题。

　　本文提出隧道嵌套的思路，并通过通用路由封装GRE（Generic Route Encapsulation）隧道嵌套IPSec隧道的实例解决NAT与IPSec冲突的问题。

　　2    NAT、IPSec和GRE

　　2.1  NAT

　　由于现行IP地址标准版本4的限制，Internet面临着IP地址空间短缺的问题，NAT不仅较好地解决了IP地址不足的问题，而且还能够有效地避免来自企业网络外部的攻击，隐藏并保护网络内部的计算机。

　　NAT功能通常被集成到路由器、防火墙、单独的NAT设备中实现，现在比较流行的网络操作系统或代理服务软件也有着NAT的功能。

　　NAT技术实现的类型主要有三种：①SNAT（Static NAT，静态NAT）用于将某个私有IP地址对应某个公网IP地址，对应关系一对一;②DNAT（Dynamic NAT，动态NAT）用于将多个公网IP地址对应于多个私有IP地址，对应关系多对多，通常企业申请有一段公网IP地址段;③NAPT（Port NAT，端口NAT）用于将多个私有IP地址通过端口映射的方法对应于一个公网IP地址，对应关系多对一，采用动态端口映射时主要用于企业内部私有IP地址访问Internet，采用静态端口映射时主要用于Internet访问企业内部服务器。

　　NAPT是目前NAT技术中最常用的技术，也是主要与IPSec产生冲突的NAT类型。

　　2.2  IPSec

　　IPSec是一种开放标准的框架结构，通过安全协议以确保在IP网络上进行保密而安全的通讯，IPSec是当今实现虚拟专用网VPN的主流技术之一，IPSec协议所构建的IPSec隧道通常可在路由器、防火墙、VPN网关等设备中实现。IPSec协议主要包括安全协议认证首部AH（Authentication Header）、安全协议封装安全负荷ESP协议（Encapsulating Security Payload）、Internet密钥交换IKE协议（Internet Key Exchange）和用于网络认证及加密的一些算法等。