4.3.2.IPSec的解决与NAT冲突的方案
解决该冲突的方案与那些FTP穿越NAT、H.323穿越NAT存在很大不同的。像FTP穿越NAT、H.323穿越NAT都是NAT设备改进来适应该应用,而IPSec的NAT穿越是修改IPSec的处理方式来适应NAT的环境。
目前,很多厂家的实现方案都是在ESP报文的前面在封装一层UDP头(UDP报文是可以轻松穿过NAT设备的),同时修改IKE协议的一些限制(如,不再需要对端是源端口是500,而可以是浮动端口)等。当两端检测到中间存在NAT设备的时候,他们在协商的完成以后,在完成ESP封装以后,就会再封装一层UDP头。如果中间没有NAT设备,就像正常的处理一样