6 keep alive, 7 vpn, nat, и прослеживание nat, 6 keep alive 17.7 vpn, nat, и прослеживание nat – Инструкция по эксплуатации Zyxel P-2602H
Страница 246
Руководство пользователя cерии P-2602H/HW EE
246
Глава 17 Экраны VPN
17.6 Keep Alive
При установлении туннеля IPSec с включенной функцией поддержания активности
(Keep Alive), P-2602 автоматически восстанавливает туннель по истечении периода
действия IPSec SA (подробнее о периоде действия SA см.
).
Фактически один раз установленный туннель IPSec становится постоянно
действующим. Чтобы эта функция работала, оба маршрутизатора IPSec должны иметь
функцию поддержания активности, совместимую с P-2602.
Если с устройством P-2602 уже установлено максимально допустимое число
одновременно открытых туннелей IPSec, для каждого из которых включено
поддержание активности, то установить новые туннели с P-2602 будет невозможно,
поскольку P-2602 никогда не разрывает ранее установленных туннелей.
Если в туннеле пересылается только исходящий трафик без входящего трафика, P-2602
автоматически разрывает туннель по истечении двух минут.
17.7 VPN, NAT, и прослеживание NAT
NAT несовместим с протоколом AH ни в транспортном, ни в туннельном режиме. В
VPN-сетях на основе IPSec, использующих протокол AH, исходящий пакет снабжается
цифровой подписью, которая рассчитывается для заголовка и полезной нагрузки, и
приписывается к пакету в виде хеш-значения. В результате устройство VPN на
принимающей стороне обнаруживает несовпадение хеш-значения и полученных
данных и предполагает, что данные были злонамеренно изменены.
Кроме того, NAT обычно также несовместим с ESP в транспортном режиме, но функция
прослеживания NAT (NAT Traversal) в P-2602 позволяет устранить эту
несовместимость. Прослеживание NAT позволяет устанавливать IKE SA при наличии
NAT-маршрутизаторов между двумя маршрутизаторами IPSec.
Рис. 122 NAT-маршрутизатор между IPSec-маршрутизаторами
Обычно установить IKE SA при нахождении маршрутизатора NAT между двумя
маршрутизаторами IPSec невозможно, поскольку маршрутизатор NAT изменяет
заголовок пакета IPSec. Функция прослеживания NAT решает эту проблему, добавляя
порт к пакету IPSec заголовок с номером UDP-порта 500. NAT-маршрутизатор
пересылает пакет IPSec, не изменяя заголовок для UDP-порта 500. Как показано на
, когда маршрутизатор IPSec пытается установить IKE SA,
маршрутизатор IPSec B проверяет порт заголовок с UDP-портом 500, и маршрутизаторы
А IPSec A и B устанавливают IKE SA.