A-A+
NAT无法多路传输IPSec数据流。ESP保护的IPSec流量没有包含可见的TCP或UDP报
问题详情
NAT无法多路传输IPSec数据流。ESP保护的IPSec流量没有包含可见的TCP或UDP报头。 ESP报头位于IP报头和加密的TCP或UDP报头之间,并且使用IP协议号50。因此,TCP或UDP端口号就无法将流量多路传输到不同的专用网主机。ESP报头包含一个名为Security Parameters Index(安全参数索引,SPI)的字段。SPI与明文(plaintext)IP报头中的目标IP地址和IPSec安全协议(ESP或AH)结合起来用于识别IPSec安全关联(SA)。应该如何解决?请帮忙给出正确答案和分析,谢谢!
参考答案
正确答案:解决办法:通过使用UDP报头封装ESPPDUNAT能够使用UDP端口来多路传输IPSec数据流。跟踪ESP报头中的SPI就不再必要了。
解决办法:通过使用UDP报头封装ESPPDU,NAT能够使用UDP端口来多路传输IPSec数据流。跟踪ESP报头中的SPI就不再必要了。
