YDT1468-2006 IP安全协议（IPSec）穿越网络地址翻译（NAT）技术要求

YDT1468-2006 IP安全协议（IPSec）穿越网络地址翻译（NAT）技术要求 本标准规定了IPSec穿越NAT的技术要求，包括IPSec穿越NAT存在的兼容性问题、兼容性要求、解决方法以及穿越NAT对IPSec的影响等。 本标准适用于支持IPScc穿越NAT的数据设备。 2 規范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 YD/T 1466-2006 IP 安全协议（IPSec）技术要求 IETF RFC 768（1980） 用户数据报协议（UDP）IETFRFC 1321（1992） MD5 消息摘要算法 IETFRFC 1828（1995） IETF RFC 1829（1995） IETF RFC 2085（1997） 使用 MD5 密钥的 IP 认证 ESP DES-CBC 转换 使用抗重播的 HMAC-MDS IP 认证 IETF RFC 2104（1997） HMAC：消息认证的密钥哈希 IETF RFC 2401（1998） IP 安全架构 IETF RFC 2402（1998） IP 认证头 IETFRFC 2403（1998） IETF RFC 2404（1998） IETFRFC 2405（1998）IETFRFC 2406（1998）IETFRFC 2407（1998）IETFRFC 2408（1998） ESP 和 AH 中 HMAC-MD5-96 的使用ESP 和 AH 中使用 HMAC-SHA-1-96 的使用带有显式IV 的 ESP DES-CBC 密码算法 IP 封裝安全載荷 对 ISAKMP的因特网 IP安全域解释 互联网安全联盟和密钥管理协议（ISAKMP）IETF RFC 2409（1998） 互联网密钥交换协议（IKE） IETFRFC 2410（1998）IETFRFC 2663（1999） IPSec的空加密算法和使用 IP NAT 的术语和研究 IETFRFC 3022（2001）IETFRFC 3056（2001） IETF RFC 3103（2001） 传统 IP NAT IPv4 网中连接 IPv6 域 域限定 IP：协议说明 IETF RFC 3715（2004） IETFRFC 3947（2005） IPSec-NAT 兼容性要求 IKE 中 NAT 地址穿越协商 IETFRFC 3948（2005） IPSec 数据包的 UDP 封裝 目前NAT和IPSec之间存在的不兼容性问题可以分为以下三类： （1）NA（P）T固有的问题。这类不兼容问题直接由NA（P）T与IPSec协议本身不兼容产生，因此存在于所有的NA（P）T设备中； （2）NA（P）T实现上的问题。这类不兼容问题虽然不是NA（P）T协议所固有的，但却在大量的NA（P）T实现中存在。因为它们不是NA（P）T协议的固有问题，因此原则上在以后的NA（P）T设计实现中可以避免该类问题的产生。但由于这些问题已经广泛存在，因此在NA（P）T穿越方案中也必须考虑这些问题。 （3）辅助功能引人的问题。这类不兼容问题出现在那些试图解决IPSee NA（P）T穿越问题的NA（P） T设备中。在这些NAT设备中，可能由于设计部分穿越辅助功能而产生了新的不兼容性，造成更难于解决的问题。虽然不是所有的NA（P）T设备都提供这种所谓的辅助功能，但考虑到该类问题的普遍性，在NA （P）T穿越方案中也需要考虑这类问题。 4.2 NA（P）T固有的问题 NA（P）T协议固有的不兼容性包括。 （1）IPSec AH和NAT的不兼容。由于AH所提供的完整性检验中包括了对IP源地址和目的地址的检验，而NAT和反向NAT设备对地址域进行了修改，从而导致AH检验失效。ESP协议中对完整性的检验不包括IP源地址和目的地址，因此在ESP中不存在这类不兼容问题。 （2）NAT与校验和的不兼容。由于TCP和UDP的校验和计算中包含了伪头部，因此校验和的计算结果依赖于IP源地址和目的地址。因此，如果在传输过程中经过了NAT设备，则接收者对校验和的计算也存在问题。因此，IPSec ESP只有在不涉及TCP/UDP协议或者不进行校验和计算时才能够顺利通过NAT（例如，IPSec隧道模式、IPSec/GRE隧道以及IPv4 UDP应用）。 在IPv4中，TCP校验和必须进行计算和确认。在IPv6中，UDPITCP校验和都必须计算和确认，因此上述问题广泛存在。 SCTP（Stream Control Transmission Protocol）中使用的CRC32C算法只对SCTP包进行校验和计算，而没有包含IP头部。因此，NAT不会使SCTPCRC无效，也就不会产生这类不兼容问题。 因为传输模式的IPSec通信流通过加密方式完成完整性保护和身份验证，在检查UDP/TCP校验和之前对数据包进行修改检测，因此校验和的确认仅用于防止内部处理的错误。 （3）IKE地址标识符和NAT的不兼容。在IKE主模式或快速模式交换中使用IP地址作为标识符，而NAT或反向NAT对IP源/目的地址的修改使得标识符和IP头部中的IP地址不匹配，IKE实现将丢弃存在该类问题的报文。