4 ipsec и nat, Таб. 79 взаимодействие vpn и nat – Инструкция по эксплуатации Zyxel P-2602H
Страница 239
Руководство пользователя cерии P-2602H/HW EE
Глава 16 Введение в IPSec
239
16.4 IPSec и NAT
Ознакомьтесь с этим разделом, если вы используете IPSec на хосте, находящимся за
P-2602.
NAT несовместим с протоколом AH как в транспортном, так и в туннельном режиме.
В VPN-сетях на основе IPSec, использующих протокол AH, исходящий пакет
снабжается цифровой подписью, которая рассчитывается для заголовка и полезной
нагрузки, и приписывается к пакету в виде хеш-значения. При использовании протокола
AH содержимое пакета (полезная нагрузка) не шифруется.
NAT-устройство между оконечными точками IPSec заменит адрес источника или
получателя самостоятельно выбранным адресом. VPN-устройство на принимающей
стороне для проверки целостности поступающего пакета вычислит собственное хеш-
значение и сообщит о том, что оно не совпало со значением, приложенным к
полученному пакету. Поскольку VPN-устройству на принимающей стороне неизвестно
о наличии промежуточного NAT, оно действует так, как если бы была выявлена попытка
злонамеренного изменения данных.
При использовании IPSec с ESP в туннельном режиме весь оригинальный пакет
(включая заголовки) инкапсулируется в новый пакет IP. Адресом источника нового
пакета IP является выходной адрес шлюза-отправителя VPN, а адресом получателя
пакета – входной адрес устройства VPN на принимающей стороне. При использовании
протокола ESP с аутентификацией производится шифрование содержимого пакета (в
данном случае шифруется весь исходный пакет). Зашифрованное содержимое, но не
новые заголовки, снабжается электронной подписью, дополняемой к пакету.
ESP в туннельном режиме с аутентификацией совместим с NAT, так как проверка
целостности производится для совокупности исходного заголовка и исходной полезной
нагрузки, а оба этих параметра не изменяются при прохождении NAT-устройства.
ESP в транспортном режиме с аутентификацией несовместим с NAT.
Таб. 79 Взаимодействие VPN и NAT
ПРОТОКОЛ
БЕЗОПАСНОСТИ
РЕЖИМ
NAT
AH
Транспортный
Нет
AH
Туннельный
Нет
ESP
Транспортный
Нет
ESP
Туннельный
Да