IPSec与NAT兼容技术和仿真实验

黄依婷 胡曦明 马苗 李鹏

摘要：对IPSec与NAT在包头封装和改写过程中存在冲突而产生的相互不兼容问题进行分析，在此基础上采用H3C Cloud Lab平台对IPSec野蛮模式实现NAT穿越的解决方案进行了仿真实验。针对NAPT环境与IPSec存在的冲突问题，提出了基于GRE over IPSec的隧道嵌套技术解决方案并进行仿真实验，可以进一步满足NAT环境下部署IPSec的实际需求。

关键词：IPSec；NAT；NAPT；隧道嵌套；仿真实验

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）20-0033-04

IPSec and NAT Compatibility Technology and Simulation Experiment

HUANG Yi-ting1，HU Xi-ming 1， 2※， MA Miao1， 2，LI Peng1，2

（1.School of Computer Science， Shaanxi Normal University， Xian 710119， China； 2.Key Laboratory of Modern Teaching Technology， Ministry of Education， Xian 710119， China）

Abstract： Of IPSec and NAT in baotou， there are conflicts arising in the process of encapsulation and rewrite mutually incompatible problems were analyzed， and on the basis of using H3C Cloud Lab platform solution of IPSec barbaric mode to realize NAT through simulation experiment was carried out. For NAPT conflict problems of the environment and the IPSec， was proposed based on the GRE over IPSec tunnel of nested technical solutions and simulation experiment， can further satisfy the actual demand of deployment of IPSec NAT environment.

Key words： IPSec； NAT； NAPT； tunnel nested； the simulation results

1 引言

随着计算机网络快速发展，网络安全IPsec（IP Security） 技术和网络地址转换NAT（Net Address Translation）技术的应用已经十分普及[1]。由于IPv4中的IP地址空间非常紧缺，NAT可以很好地解决IP地址空间不足的问题，在企业内部与外部Internet进行通信的时候，NAT隐藏了企业内网IP地址，对企业内部网络结构起到一定程度的保护作用。IPSec安全协议能够对在网络中通信的数据包进行加密，这样能够保证信息的完整性、安全性、正确性。IPSec VPN技术滿足跨区域总部与分部之间网络通信安全性能的要求。

但在现实应用中，IPSec技术与NAT技术存在冲突问题。这一冲突问题严重地限制了NAT和IPSec的应用范围，对跨区域企业内网安全通信造成很大的不便，所以实现IPSec穿越NAT将成为跨区域企业内部网络实现安全通信的关键技术。为此，本文基于IPsec与NAT的冲突问题，模拟实现企业内网间进行安全通信，提出相应的解决方案。

2 IPSec与NAT冲突

IPSec与NAT之间存在着协议冲突问题[1] ，理解两种技术之间的兼容性，主要从以下几个角度分析。

（1） IPSec AH（Authentication Header）和NAT

IPSec AH封装协议对IP数据包的完整性保护包括了IP数据包最外层的IP地址域。而对于NAT来说，它需要修改IP地址来进行地址转换，这样就会导致AH包被接收方接收时，被认为经过非法修改过而丢弃。因此，AH封装协议与NAT技术无法共存[2]。由于IPSec ESP（Encapsulating Security Payload）封装协议并不对最外层IP头进行加密，所以在ESP封装方式下就不会存在这个问题[3]。

（2） TCP/UDP校验和与NAT

TCP/UDP校验和的计算包括IP头中的IP地址域，所以，在NAT修改了IP地址域后，TCP/UDP头中的校验和域会被修改来匹来配NAT对IP地址域的修改。IP包经在ESP传输模式下经过NAT设备时，因为传输层的TCP/UDP校验和处于ESP加密状态，该值不能被NAT设备更改。虽然该加密的IP数据包不会被接收方丢弃，但是，当接收方将它送往上层进行解封装和协议处理时，接收方会检测到ESP数据包传输层中TCP/UDP校验和错误而将该包丢弃。因为TCP/UDP校验和只与数据包原始的IP包头有关系，所以即使NAT对最外层IP包头做修改也不会对传输层的TCP/UDP校验和造成影响。因此，ESP隧道模式和仅存在静态或动态NAT的情况下可以避免这个问题[3]。

（3） ESP和NAPT（Network Address Port Translation）

当NAT设备的实现方式为NAPT时，因为NAPT需要更改数据包传输层的TCP/UDP端口号，所以IPSec ESP封装协议无论是工作在传输模式还是隧道模式[4]，传输层的端口号都受到ESP加密保护，当NAPT对传输层的端口号进行修改后，接收方接收到该报文时，会因为完整性认证不通过而把该报文丢弃[3]。

3 NAT环境下的野蛮模式

3.1 工作原理

基于上述IPSec与NAT冲突问题分析，通过使用IPSec野蛮模式技术可以解决大多数IPSec穿越NAT问题。而且相较于基于特定域IP（Realm Specific IP，RSIP）的穿越技术[5] 、基于NAT前置的穿越技术[6]等技术操作简单，在企业中使用起来方便。NAT环境下IPSec野蛮模式穿越解决方案如图1。

野蛮模式的工作原理是使用UDP封装[7]ESP包，在ESP头部前加上一个UDP包头，UDP封装后ESP包能穿过NAT设备，封装后的数据包在接收端接收时去掉UDP包头，得到原来ESP数据包。Internet网络中的设备能够识别和处理UDP数据包，NAT设备对数据包的修改不会影响接收方对ESP数据包的完整性认证。

因为隧道模式主要用于主机与子网或者两个子网间的数据通信[8]，本文主要解决企业总部与各分部间的安全通信，所以采用隧道模式。IPSec野蛮模式下报文封装格式如图2。

3.2 技术方案

3.2.1 仿真实验

在企业各分部和总部间，企业分部对企业总部进行数据访问，同时分支也对总部提供最新数据上传。IPSec野蛮模式技术由于实现相对简单因而在企业中得到大量应用。本文基于H3C Cloud Lab采用野蛮模式实现IPSec与NAT在企业中互通的应用场景进行仿真实验，实验拓扑图见图3。

3.2.2 关键配置

根据图1和图3，为实现企业分部与总部之间数据安全互访，在企业分部与总部之间建立IPSec隧道。用RTA和RTB_NAT分别模拟企业分部与总部中的路由器，RTA_NAT模拟企业分部中连接外网与内网的路由器。在RTA和RTB_NAT之间建立IPSec隧道，隧道的起点为RTA，隧道的终点为RTB_NAT，分别在RTA和RTB_NAT上配置安全策略，在RTA_NAT上配置NAT，它们的主要配置如表1、表2、表3所示。

3.2.3 结果分析

在H3C Cloud Lab平台下可以通过对上述实验进行抓包，在设备RTB_NAT处通过Wireshark抓取报文，抓到一组ESP包，见图4。通过抓包分析，表明在企业分部中RTA设备和企业总部RTB_NAT设备间通信的数据包被加密，实现了ESP包在野蛮模式下成功穿越NAT设备。ESP包在传送过程中经过设置了NAT的RTA_NAT设备，源IP地址由192.168.2.2变为2.1.1.2，目的IP地址由192.168.0.2变为17.1.1.2。

打开实验抓到的一个ESP包，可以看到详细报文信息，TCP/UDP层的目的端口号变为4500，可以看出发送方和接收方之间存在NAT设备，经过IPSec ESP封装后的IPSec Packets封装在UDP包头下，见图4。

3.2.4 存在问题

由上述实验可以看出在野蛮模式下使用UDP封装的IPSec Packets可以穿过NAT设备，实现多数企业总部与分部之间的安全通信。

但是对于一些在网关路由器上设置NAPT的企业来说，因为NAPT需要修改IP数据包的传输层TCP/UDP首部的端口号，IPSec ESP协议无论是工作在传输模式还是隧道模式，传输层的端口号都会受到ESP加密保护，NAPT网关对ESP包进行地址转换时会改变ESP数据包传输层的端口号，接收方接收到该报文时，会因为完整性认证不通过而把该报文丢弃[3]。因此，野蛮模式下UDP封装[7]后的ESP包无法通过 NAPT网关。

4 NAT环境下基于隧道嵌套的IPSec VPN

4.1 技术方案

野蛮模式技术可以满足大多数企业在NAT环境下的穿越需求，但是对于一些需要部署NAPT的企业来说，野蛮模式则不足以满足需求，所以就需要一种更好地能够解决企业总部与分部间IPSec穿越NAT实现安全通信的方案。

GRE隧道缺少安全机制，且与NAT无冲突[1] ，GRE隧道是可以穿越NAT，所以将GRE隧道技术和IPSec安全技术结合运用[9]，IPSec隧道嵌套GRE隧道，既能够能解决IPSec无法穿越NAPT的问题，又能够改善GRE隧道技术缺乏安全机制的缺点。

GRE隧道技术[10]是对用户数据和路由协议报文进行隧道封装，当IP数据包进入GRE隧道口时被封装成GRE包，因为GRE隧道被嵌入到IPSec隧道中，GRE包在IPSec隧道口又进行ESP封装，即构成了GRE over IPSec技术[11]。NAT下GRE over IPSec隧道嵌套的技术原理如图5。GRE over IPSec嵌套技术下企业分部与企业总部处理流程如图6。

4.2 仿真实验

4.2.1 实验拓扑

4.2.2 关键步骤及主要配置

4.2.3 抓包分析

在H3C Cloud Lab平台下可以对上述实验进行抓包，在设备RTB_NAT处通过Wireshark抓取报文，抓包的到一组ESP包，见图8。通过抓包分析，表明在企业分部中RTA设备和企业总部RTB_NAT设备间通信的IP数据包被加密，数据包进入GRE over IPSec嵌套隧道成功穿越NAT设备，这种技术也能实现IPSec穿越NAPT的问题。

打开一个ESP包，见图8，可以发现报文封装协议为ESP，说明数据经过了IPSec VPN的安全保护。从图中看不到任何有关GRE封装的信息，这是因为GRE包头被封装在ESP包头下，ESP对其进行加密。

分析圖8所示抓包结果，可以得出GRE over IPSec隧道嵌套技术的报文封装结构如图9所示。

4.2.4 性能比较

通过上述实验，结合抓包分析，GRE over IPSec隧道嵌套技术在解决IPSec穿越NAT问题时，GRE over IPSec隧道嵌套技术在性能上远远优于野蛮模式技术，具体分析如下：

（1） 应用范围广。

通过实验可以看出，GRE over IPSec隧道嵌套技术可以解决企业环境下IPSec无法穿越NAPT的问题，能够满足更多跨区域企业内网之间的安全通信。

（2） 操作简单，容易实现。

（3） 功能多样性。

IPSec野蛮模式提供的功能十分有限，而GRE over IPsec隧道嵌套技术因为结合GRE隧道技术，能够利用GRE技术解决组播、广播传输。

5 总结

IPSec和NAT是企业网中常用网络通信技术，当IPSec和NAT同时部署时，由于两种技术在包头封装和包头改写过程中存在冲突而不相互兼容。对此本文在深入研究技术原理的基础上，采用H3C Cloud Lab平台对NAT环境下采用IPSec VPN野蛮模式技术实现NAT穿越进行了仿真实验。结果表明，IPSec VPN野蛮模式相较于基于特定域IP（Realm Specific IP，RSIP）的穿越技术、基于NAT前置的穿越技术等技术，具有操作步骤简单、应用方便的特点，但也存在无法实现NAPT环境下穿越的局限。

在此基础上，本文提出使用GRE over IPSec隧道嵌套技术来实现企业NAT环境下总部与分部安全通信，并进行仿真实验。实验结果表明，本方案在功能上能更大范围地解决IPSec与NAT兼容问题，充分保障远程异地企业内部网络通信数据的安全。随着企业的扩张，人们对跨区域企业网络安全通信的要求不断提高，GRE over IPSec隧道嵌套技术，操作简便易行，对保障企业各分部与总部间网络通信跨公网传输的安全性具有应用价值。

参考文献 ：

[1] 曹炯清.IPSec与NAT冲突隧道嵌套解决方案研究[J]. 信息安全与技术，2015（01）：35-39.

[2] 祝芝梅，李之棠.NAT与IPSec协议兼容性问题及解决方案[J].计算机应用，2004（03）：27-30.

[3] 万艳丽，张永平，厉丹.IPSec和NAT兼容性研究及解决方案[J].计算机工程与设计，2006（19）：3644-3646.

[4] 王健.网络安全防护技术的研究与实现[D].四川大学，2004.

[5] 洪帆，王岭，朱赛凡.利用RSIP解决IPSEC和NAT的不兼容问题[J].计算机应用，2003（S2）：1-3.

[6] 何光文.IPSec与NAT在企业网中的共存模式[J].科技风，2015（02）：112.

[7] 王亮.基于IPSec和NAT协同工作的UDP封装方案研[J].信息技术，2015，（3）：227-228.

[8] 王海涛，雷英.基于不同网络环境的IPSec解决方案[J].电脑知识与技术，2013（9）：5834-5836，5842.

[9] 唐琴.GRE隧道技术在大型企业网中的应用[J].电脑知识与技术，2008（22）：800-802.

[10] 王丽娜，刘炎，何军.基于IPSec和GRE的VPN实验仿真[J].实验室研究与探索，2013，32（09）：70-75.

[11] 張韬，柳亚婷.GRE over IPsec与IPsec over GRE在网络安全中的区别与实现[J].电脑与信息技术，2018，26（01）：56-59.