我们网络环境边缘常常有防火墙,主要起到隔离网络保护内外网安全,如在边缘网络MIP一个公网地址给内网的一个×××设备,此时为了安全起见需要边缘网络有选择性的开放端口或协议,MIP如下:
在做IPSEC ×××时如果必须要开放IKE,对应端口号UDP:500,有时为了穿透NAT设备应相应开放UDP:4500端口,在网上找到的资料一般是开放这两个端口,这样我们做IPSEC ×××时可以做通但是×××死活不通,遂道建立不起来,查阅相关资料提示要开通esp和AH协议,esp采用50,AH用51协议号,在juniper下开通协议号如下:
最后我开放untrust----trust的服务(上图自定义的ipsec vpn)即可:
另:l2tp vpn要开放UDP:1701
PPTP ×××要开放TCP:1723
UDP封装
ESP协议对数据包的上层(TCP/UDP)数据封装后,上层数据被加密保护,这样NAT无法获取正确的端口信息,从而使得转换发生失败。用IPv4协议中标准UDP协议头封装IPSec:数据包,构成一个UDP隧道,通信路径上的设备看到的是UDP数据包。其端口值对NAT可见,就可以进行正确的转换。因此,在这种方式下,不需要改变网络的基础设施,只需在IPSec网关或实现有IPSec:的主机上进行IPSec和NAT协同工作处理。ESP包的封装。
IPSEC 分装包
传输模式
IP头部 UDP头部 ESP头部 数据 ESP尾部 ESP鉴别数据
---------------------加密------------------
------------------------------鉴别-------------------------------
隧道模式
外部IP头部 UDP头部 ESP头部 IP头部 数据 ESP尾部 ESP鉴别数据
---------------------加密------------------
------------------------------鉴别------------------------------------------------------
由于UDP封装的ESP包使用了IKE协商端口500,因此必须对IKE协商包的格式进行修改以区别这两种不同的包。具体的做法是在IKE数据包中的UDP头和IKE头之间添加4 B的Non-ESP标志。其值设为全O,而在ESP头中的前4 B是SPI字段,在实现过程中该字段不为0。这样就能有效的区分UDP封装的ESP包和IKE协商包了。
