摘要：随着计算机技术的不断发展，Internet用户及网络设备实现了快速的发展，在这种情况下，导致因特网协议（IPv4）所能提供的IP地址空间难以满足人们的消费需求。然而IPSec和NAT存在本质上的不兼容性，IPSec和NAT结合在一起使用将产生一系列严重问题。文章通过研究分析IETF提供的UDP封装方案，同时分析了它的一个改进方案，并找出其存在的不足，提出解决方案，一方面可以确保地址转换的灵活性，另一方面能提供安全的通信服务，进而在一定程度上使IPSec和NAT协调工作。

关键词：IP安全协议 网络地址翻译 NAT穿越 UDP封装

0 引言

随着计算机技术的不断发展，使得因特网（Intemet）用户及网络设备实现了快速的发展，进而在一定程度上导致第四版因特网协议（IPv4）所提供的IP地址空间难以满足市场需求。对于地址空间短缺的问题，IPv6可以从根本上予以解决。但是，由IPv4迁移到IPv6，在这一迁移过程中，通常情况下，需要通过协议转换的方式对现行网络基础实施进行管理，在这种情况下使得这一过程非常缓慢。同时，NAT可以保护内网安全，内网的网络结构等信息通过IP进行隐藏（IPmasquerade），进一步实现保护功能。通过基于NAT的私有网络和因特网的网络边界时，IPSec通信数据包就会产生一系列的问题。对于IPSec来说，作为IPV6的组成部分，需要一种解决方案，一方面确保地址转换的灵活性，另一方面提供安全的通信服务。

1 IPSec和NAT技术

IPSec（IPseeurity）[1]作为一种机制，确保Ip层的通信安全。对于IPSec来说，这是一组协议，而不是一个单独的协议，这一点对于认识IPSec很重要。在内容方面，IPSec协议的定义文件通常情况下包括12个RFC文件和几十个Iniemet草案，这些已经成为工业标准中的网络安全协议。

IP协议在当初设计时并没有过多的考虑安全问题， 进而在一定程度上导致IP通信会受到各种威胁，主要表现为：窃听、篡改、IP欺骗等。由于没有采取任何安全措施对IP协议进行保护，并且没有对数据包的内容进行完整性验证，以及进行加密处理等，在这种情况下使得IP协议缺乏必要的安全性。IPsec包含了3个最重要的协议：AH[2]、ESP[3]和IKE[4]。

NAT（Network Address Translation）网络地址转换，是目前IPv4向IPv6趋进的过程中广泛使用的一种技术，是一种IP地址及TU端口映射的方法，这是一个IETF标准，在Intemet上允许一个机构以一个地址出现。通过重写IP数据包的头部，NAT对TU端口进行改变，进而在一定程度上完成从局域网地址空间到广域网地址空间的映射。

2 IPSec和NAT之间的兼容性及解决方案

在安全性（IPSec）方面，Internet 协议是一种开放标准的框架结构，为了确保在Internet协议（IP）网络上的安全性，通过使用加密安全服务的方式确保通讯的安全性。

对于兼容性方面的问题，可以用RISP替代NAT、“6to4”方法和用UDP封装IPSec的方式进一步解决这个问题。

3 IETF的UDP封装方案分析

3.1 UDP封装方案运行过程

采用浮动IKE端口号和UDP封装方案的总体框架，如图1所示：

运行的过程：

第一步：判断对方是否支持穿透NAT的功能。

第二步：探测通信双方之间是否存在NAT。

第三步：协商UDP封装模式。

第四步：发送方对正常的IPSec数据包进行UDP封

装。

第五步：通信双方要定期发送NAT-Keepalive载荷，进一步解决NAT中地址和端口映射失效问题。

3.2 IETF的UDP封装方案的分析

①在实践中，对于NAT的穿越问题，通过该方案可以得到解决，同时可以解决动态、静态的NAT。

②该方案只适用于ESP协议。

③在NAPT环境下，外部安全网关会在NAT后的多个主机向外网安全网关建立安全连接时，产生多个相同地址。

对于本方案来说，泄漏了内网地址信息这是该方案的最大的不足。通过对图2、3进行分析，发现在加密或认证区域没有私有IP地址域，那么就可能泄漏内网地址信息或网络结构。

4 改进后的解决方案设计及分析

方案的思路：安全、高效地将NAT后的主机的私有地址传送给对方。

安全性方面：首先通过密文方式进行传送，将原始（original）源地址和目的地址在UDP-ESP封装模式下传送给对方，进而在一定程度上通过TCP检验。

NAT-OA载荷在IKE协商的快速模式的第一个和第二个包发送。

我们采用的方式不是每个IP数据包都携带原始地址信息，而是定期传送，我们提出的方法是利用IKE的通知载荷如图4。

5 结束语

在IP层，IPSec安全体系为数据提供完整性、保密性服务，同时作为IP的下一个版本（IPV6）强制性组件，会长期存在和发展。由于IPV6提供了足够的地址空间，但是NAT面临消失的困境，所以IPSec和NAT的斗争将长期存在。

参考文献：

[1]Kent，StePhenandAtakinson，Randall，TheSeeurityArehite-

eturefortheIntemet Protoeol.RFC2401，1998.

[2]Kent，StePhen，Atakinson，Randall，IPAuthentieationHeader.

RFC2402，1998.

[3]Kent，StePhen，Atakinson，Randall，IPEneapsulatingPayload.

RFC2406，1998.

[4]Harkins，D.，Carrel，D.：TheInternetKeyExehange（IKE），IETF，RFC2409，1998.

作者簡介：王亮（1980-），山东青岛人，青岛远洋船员职业学院 副教授。