IPSec穿越NAT的研究与设计--《西安电子科技大学》2006年硕士论文
IPSec穿越NAT的研究与设计
【摘要】:本文在深入分析了IPSec和NAT的相关协议的基础上,着重论述了IPSec和NAT的不兼容问题的产生原因,和可能的解决方案。IPSec协议簇可以为IPv4和IPv6提供具有良好互操作性的、高质量的安全服务。IPSec所提供的安全服务包括:访问控制,数据完整性验证,身份鉴别,防重放,加密和流量加密。这些服务都是在IP层实施的,可为IP层及上层协议提供安全防护。IPSec所提供的服务是由AH、ESP和密钥管理协议共同实现的
NAT是对不同地址域内的地址进行转换的一种方法。通过在地址域边界对不同的地址和端口进行转换并维持这个转换的映射关系,可以使不同地址域的主机之间进行透明地数据传输。NAT很大程度上缓解了IPv4网络中地址紧张的问题,并且能够使得内/外网络相分离,提供一定的网络安全保障。
IPSec协议保护数据包在网络传输过程中不被修改、重放、替换;而NAT却要修改数据包的IP地址、传输控制端口号等信息。这种不允许修改数据包和需要修改数据包所造成的矛盾,导致IPSec和NAT无法共存。
本文采用UDP封装IPSec的方法来解决二者之间的矛盾。被封装后的IPSec数据包,由于其UDP协议头不在IPSec的处理范围之内,因此NAT可以修改数据包中的地址、端口等信息,而不影响IPSec的工作。
采用该方案可以灵活、方便地搭建***,同时保持了IPSec和NAT的主要功能,避免了重新部署网络环境所带来的人力、物力成本。
【关键词】:
【学位授予单位】:西安电子科技大学【学位级别】:硕士【学位授予年份】:2006【分类号】:TP393.04【目录】:
摘要3-4Abstract4-7第一章 绪论7-15 1.1 背景7-9 1.2 ***技术概述9-11 1.3 NAT技术概述11-13 1.4 研究目的及内容13-15第二章 IPSec ***技术15-29 2.1 网络安全策略15 2.2 IP层安全策略15-16 2.3 IPSec协议16-26
2.3.1 IPSec概览16-17
2.3.2 IPSec体系结构17-20
2.3.2.1 IPSec提供的服务17
2.3.2.2 Security Associations17-18
2.3.2.3 Transport and Tunnel Modes18-20
2.3.3 AH20-22
2.3.4 ESP22-24
2.3.5 AH与ESP对比24-25
2.3.6 IKE25-26 2.4 ***26-28
2.4.1 ***的类型26-27
2.4.1.1 加密与非加密***26
2.4.1.2 基于OSI模型分层的***26-27
2.4.1.3 基于商业功能性的***27
2.4.2 实现***的关键技术27-28
2.4.2.1 隧道类型27
2.4.2.2 隧道协议27-28 2.5 小结28-29第三章 NAT技术29-41 3.1 私网地址分配29-30
3.1.1 动因29-30
3.1.2 私网地址空间30 3.2 地址转换30-32 3.3 地址转换的工作原理32-37
3.3.1 地址转换的种类32-33
3.3.2 基本NAT(Basic NAT)33-34
3.3.3 使用NAT解决地址重叠问题34-35
3.3.4 地址重叠(Address Overloading)35-37 3.4 NAT所引发的问题37-39
3.4.1 NAT的不足37
3.4.2 嵌入在IP载荷中的地址信息37-39 3.5 小结39-41第四章 使用IPSec与NAT构建安全的网络41-45 4.1 安全区41-42 4.2 安全网络的典型拓扑结构42-44
4.2.1 使用一个三角防火墙创建DMZ42
4.2.2 DMZ置于防火墙之外,公共网络和防火墙之间42-43
4.2.3 DMZ置于防火墙之外,但不在公共网络和防火墙之间43-44
4.2.4 在层叠的防火墙之间创建DMZ44 4.3 小结44-45第五章 IPSec与NAT的兼容性问题45-53 5.1 协议之间的不兼容问题45-50
5.1.1 AH和NAT之间的不兼容问题45
5.1.2 ESP和NAT之间的不兼容问题45-46
5.1.3 校验和(Checksum)和NAT之间的不兼容问题46-47
5.1.4 IKE中的身份标识符和NAT的不兼容问题47
5.1.5 固定的IKE端口和PAT的不兼容问题47-48
5.1.6 重叠的SPD和NAT的不兼容问题48-49
5.1.7 动态NAT引发的不兼容问题49
5.1.8 总结49-50 5.2 非协议引发的不兼容问题50-53第六章 IPSec穿越NAT的解决方案53-63 6.1 已有的几种解决方案53-55
6.1.1 特定域IP53
6.1.2 IPv4封装IPv653-54
6.1.3 专用NAT54
6.1.4 UDP封装法54-55 6.2 UDP封装的格式55-56 6.3 IKE协商56-59
6.3.1 互操作性57
6.3.2 NAT的检测57-58
6.3.3 传输模式下的原始IP地址传送58-59
6.3.4 配置问题59 6.4 会话管理59-61
6.4.1 概述59-60
6.4.2 keep_alive机制60-61 6.5 IPSec处理61-62
6.5.1 数据发送处理61
6.5.2 数据接收处理61-62 6.6 小结62-63第七章 结束语63-65参考文献65-67索引67-71致谢71-73研究成果73-74
欢迎:、、)
支持CAJ、PDF文件格式
【相似文献】
中国期刊全文数据库
宰芹芹;杨婧;;[J];舰船电子工程;2011年07期
马磊;;[J];科技致富向导;2011年23期
宋旭;赵晓凡;;[J];价值工程;2011年26期
许胜礼;李存永;毕战科;;[J];软件导刊;2011年06期
周家继;;[J];信息与电脑(理论版);2011年06期
田小梅;胡灿;;[J];电脑开发与应用;2011年08期
任文;;[J];甘肃广播电视大学学报;2011年02期
张莉;;[J];网络安全技术与应用;2011年07期
刘锐;宋永恒;;[J];电信工程技术与标准化;2011年07期
陈伟;郭新明;;[J];数字技术与应用;2011年06期
中国重要会议论文全文数据库
张彬;郭军;;[A];第六届全国计算机应用联合学术会议论文集[C];2002年
蒋昱城;周健;潘亚东;;[A];全国第20届计算机技术与应用学术会议(CACIS?2009)暨全国第1届安全关键技术与应用学术会议论文集(上册)[C];2009年
张雪琳;马跃;;[A];第六届全国计算机应用联合学术会议论文集[C];2002年
王立新;高翔;汤隽;郭玉东;;[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
畅巨峥;汪滢;王庆辉;;[A];创新沈阳文集(A)[C];2009年
徐良红;柏林;俞晓芬;;[A];中国通信学会信息通信网络技术委员会2011年年会论文集(上册)[C];2011年
王立志;;[A];第七届中国通信学会学术年会论文集[C];2010年
马少武;冷志高;王志灵;张翎;牛俊岩;;[A];第六届全国计算机应用联合学术会议论文集[C];2002年
黄卿;黄智;阙喜戎;王文东;;[A];开创新世纪的通信技术----第七届全国青年通信学术会议论文集[C];2001年
陈汇远;王澜;;[A];土木工程与高新技术----中国土木工程学会第十届年会论文集[C];2002年
中国重要报纸全文数据库
;[N];中国电子报;2002年
;[N];中国电子报;2002年
沈生;[N];中国计算机报;2003年
曲博;[N];中国计算机报;2004年
陈代寿;[N];中国计算机报;2004年
北电网络公司高级系统工程师 冯向辉;[N];通信产业报;2002年
北电网络公司高级系统工程师 冯向辉;[N];通信产业报;2002年
Spirent公司Michael L[N];网络世界;2002年
;[N];网络世界;2003年
沈文;[N];中国计算机报;2004年
中国博士学位论文全文数据库
王岩;[D];东北林业大学;2012年
荣霓;[D];国防科学技术大学;2005年
谭兴烈;[D];四川大学;2003年
杨智君;[D];吉林大学;2006年
石丘玲;[D];第四军医大学;2000年
李锐;[D];北京邮电大学;2010年
苏锐丹;[D];西安电子科技大学;2010年
吴蓓;[D];解放军信息工程大学;2010年
杨明;[D];吉林大学;2011年
刘泉;[D];武汉理工大学;2004年
中国硕士学位论文全文数据库
郭艺辉;[D];暨南大学;2003年
马艳;[D];解放军信息工程大学;2010年
李梦华;[D];中国人民解放军信息工程大学;2002年
王科;[D];武汉理工大学;2010年
王向明;[D];北京邮电大学;2010年
肖洁芩;[D];南京信息工程大学;2011年
杨明;[D];吉林大学;2010年
任政伟;[D];河南理工大学;2010年
周?;[D];东北大学;2008年
王晖;[D];暨南大学;2003年
&快捷付款方式
&订购知网充值卡
400-819-9993
《中国学术期刊(光盘版)》电子杂志社有限公司
同方知网数字出版技术股份有限公司
地址:北京清华大学 84-48信箱 大众知识服务
出版物经营许可证 新出发京批字第直0595号
订购***:400-819-82499
服务***:010--
在线咨询:
传真:010-
京公网安备75号【转】IPSEC穿越NAT设备的配置(NAT
我的图书馆
【转】IPSEC穿越NAT设备的配置(NAT
一:实验拓扑:二:实验需求:1:R2路由器模拟ISP服务提供商,R1上配置PAT实现内网对Internet的访问.2:两台防火墙之间建立IPSec ***,连接穿过NAT设备,配置实现两端对等体成功建立IPSec连接.(IP地址自己指定,但尽可能节省公网IP地址)。三:配置注意事项.由于PAT设备的外网一侧发起建立管理连接(端口号为500)或是数据连接(端口号为4500),,PAT设备同样无法确定是与内网那个设备建立,会导致连接建立失败,所以需要将端口号500和4500静态映射到内网,具体命令如下:1:基础配置:ciscoasa (config-if)# ho ASA1ASA1(config)# int e0/0ASA1(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default.ASA1(config-if)# ip add 192.168.1.254 255.255.255.0ASA1(config-if)# no shASA1(config-if)# int e0/1ASA1(config-if)# nameif outsideINFO: Security level for "outside" set to 0 by default.ASA1(config-if)# ip add 192.168.2.1 255.255.255.0ASA1(config-if)# no shR1(config)#int f1/0R1(config-if)#ip add 192.168.2.2 255.255.255.0R1(config-if)#no shR1(config-if)#int f0/0R1(config-if)#ip add 12.0.0.1 255.255.255.0R1(config-if)#no sh R2(config)#int f0/0R2(config-if)#ip add 12.0.0.2 255.255.255.0R2(config-if)#no shR2(config-if)#int f1/0R2(config-if)#ip add 23.0.0.2 255.255.255.0R2(config-if)#no shASA2(config)# int e0/1ASA2(config-if)# nameif outsideASA2(config-if)# ip add 23.0.0.3 255.255.255.0ASA2(config-if)# no shASA2(config-if)# int e0/0ASA2(config-if)# nameif insideASA2(config-if)# ip add 172.16.1.254 255.255.255.0ASA2(config-if)# no shASA1(config)# route outside 0 0 192.168.2.2ASA1(config)# access-list haha permit icmp any anyASA1(config)# access-group haha in interface outsideR1(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2R1(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.1ASA2(config)# route outside 0 0 23.0.0.2ASA2(config)# access-list haha permit icmp any anyASA2(config)# access-group haha in interface outsideR1(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 anyR1(config)#int f1/0R1(config-if)#ip nat insideR1(config-if)#int f0/0R1(config-if)#ip nat outsideR1(config)#ip nat inside source list 101 interface f0/0 overloadASA2(config)# nat (inside) 1 0 0ASA2(config)# global (outside) 1 interface INFO: outside interface address added to PAT pool//私网上公网没问题,下来用***实现两个私网通信.ASA1(config)# access-list 200 permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0ASA1(config)# crypto isakmp enable outside ASA1(config)# crypto isakmp policy 10ASA1(config-isakmp-policy)# authentication pre-share ASA1(config-isakmp-policy)# encryption des ASA1(config-isakmp-policy)# hash md5 ASA1(config-isakmp-policy)# group 2ASA1(config-isakmp-policy)# exitASA1(config)# crypto isakmp key cisco address 23.0.0.3ASA1(config)# crypto ipsec transform-set mytrans esp-des esp-md5-hmacASA1(config)# crypto map mymap 10 set peer 23.0.0.3ASA1(config)# crypto map mymap 10 set transform-set mytransASA1(config)# crypto map mymap 10 match address 200ASA1(config)# crypto map mymap interface outsideASA2(config)# access-list 200 permit ip 172.16.1.0 255.255.255.0 192.168.1.0 255.255.255.0ASA2(config)# crypto isakmp enable outside ASA2(config)# crypto isakmp policy 10ASA2(config-isakmp-policy)# authentication pre-share ASA2(config-isakmp-policy)# encryption des ASA2(config-isakmp-policy)# hash md5 ASA2(config-isakmp-policy)# group 2ASA2(config-isakmp-policy)# exitASA2(config)# crypto isakmp key cisco address 12.0.0.1ASA2(config)# crypto ipsec transform-set mytrans esp-des esp-md5-hmacASA2(config)# crypto map mymap 10 set peer 12.0.0.1ASA2(config)# crypto map mymap 10 set transform-set mytransASA2(config)# crypto map mymap 10 match address 200ASA2(config)# crypto map mymap interface outsideASA2(config)# access-list no-nat permit ip 172.16.1.0 255.255.255.0 192.168.1.0 255.255.255.0ASA2(config)# nat (inside) 0 access-list no-natR1(config)#ip nat inside source static udp 192.168.2.1 500 interface f0/0 500R1(config)#ip nat inside source static udp 192.168.2.1 4500 interface f0/0 4500测试:C:\&ping 192.168.1.1Pinging 192.168.1.1 with 32 bytes of data:Reply from 192.168.1.1: bytes=32 time=65ms TTL=128Reply from 192.168.1.1: bytes=32 time=36ms TTL=128Reply from 192.168.1.1: bytes=32 time=46ms TTL=128Reply from 192.168.1.1: bytes=32 time=42ms TTL=128Ping statistics for 192.168.1.1:&&&&& Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 36ms, Maximum = 65ms, Average = 47msASA2# sho crypto isakmp sa&&&& Active SA: 1&&&&& Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)Total IKE SA: 11&&&& IKE Peer: 12.0.0.1&&&&& Type&&&&& : L2L&&&&&&&&&&&&&& Role&&&&& : responder &&&&& Rekey&&&& : no&&&&&&&&&&&&&&& State&&&& : MM_ACTIVEASA2# sho crypto ipsec sa interface: outside&&&&& Crypto map tag: mymap, seq num: 10, local addr: 23.0.0.3&&&&&&& access-list 200 permit ip 172.16.1.0 255.255.255.0 192.168.1.0 255.255.255.0 &&&&&&& local ident (addr/mask/prot/port): (172.16.1.0/255.255.255.0/0/0)&&&&&&& remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)&&&&&&& current_peer: 12.0.0.1&&&&&&& #pkts encaps: 7, #pkts encrypt: 7, #pkts digest: 7&&&&&&& #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7&&&&&&& #pkts compressed: 0, #pkts decompressed: 0&&&&&&& #pkts not compressed: 7, #pkts comp failed: 0, #pkts decomp failed: 0&&&&&&& #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0&&&&&&& #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0&&&&&&& #send errors: 0, #recv errors: 0&&&&&&& local crypto endpt.: 23.0.0.3/4500, remote crypto endpt.: 12.0.0.1/4500&&&&&&& path mtu 1500, ipsec overhead 66, media mtu 1500&&&&&&& current outbound spi: 164EF763&&&&& inbound esp sas:&&&&&&& spi: 0xBAC6472B ()&&&&&&&&&& transform: esp-des esp-md5-hmac none &&&&&&&&&& in use settings ={L2L, Tunnel, NAT-T-Encaps, }&&&&&&&&&& slot: 0, conn_id: 4096, crypto-map: mymap&&&&&&&&&& sa timing: remaining key lifetime (kB/sec): (04)&&&&&&&&&& IV size: 8 bytes&&&&&&&&&& replay detection support: Y&&&&& outbound esp sas:&&&&&&& spi: 0x164EF763 ()&&&&&&&&&& transform: esp-des esp-md5-hmac none &&&&&&&&&& in use settings ={L2L, Tunnel, NAT-T-Encaps, }&&&&&&&&&& slot: 0, conn_id: 4096, crypto-map: mymap&&&&&&&&&& sa timing: remaining key lifetime (kB/sec): (03)&&&&&&&&&& IV size: 8 bytes&&&&&&&&&& replay detection support: Y
TA的最新馆藏
喜欢该文的人也喜欢
