NAT 無(wú)法更新上層校驗(yàn)和。

TCP 和 UDP 報(bào)頭包含一個(gè)校驗(yàn)和，它整合了源和目標(biāo) IP 地址和端口號(hào)的值。 當(dāng) NAT 改變了某個(gè)包的 IP 地址和（或）端口號(hào)時(shí)，它通常要更新 TCP 或 UDP 校驗(yàn)和。 當(dāng) TCP 或 UDP 校驗(yàn)和使用了 ESP 來(lái)加密時(shí)，它就無(wú)法更新這個(gè)校驗(yàn)和。 由于地址或端口已經(jīng)被 NAT 更改，目的地的校驗(yàn)和檢驗(yàn)就會(huì)失敗。 雖然 UDP 校驗(yàn)和是可選的，但是 TCP 校驗(yàn)和卻是必需的。

NAT 無(wú)法多路傳輸 IPSec 數(shù)據(jù)流。

ESP 保護(hù)的 IPSec 流量沒有包含可見的 TCP 或 UDP 報(bào)頭。 ESP 報(bào)頭位于 IP 報(bào)頭和加密的 TCP 或 UDP 報(bào)頭之間，并且使用 IP 協(xié)議號(hào) 50。 因此，TCP 或 UDP 端口號(hào)就無(wú)法將流量多路傳輸?shù)讲煌膶Ｓ镁W(wǎng)主機(jī)。 ESP 報(bào)頭包含一個(gè)名為 Security Parameters Index（安全參數(shù)索引，SPI）的字段。 SPI 與明文（plaintext）IP報(bào)頭中的目標(biāo) IP 地址和 IPSec 安全協(xié)議（ESP 或 AH）結(jié)合起來(lái)用于識(shí)別 IPSec 安全關(guān)聯(lián)（SA）。

對(duì)于到 NAT 的傳入流量，目標(biāo) IP 地址必須映射到一個(gè)專用 IP 地址。 對(duì)于 NAT 專用端的多個(gè) IPSec 對(duì)話方，多個(gè) IPSec ESP 數(shù)據(jù)流的傳入流量的目標(biāo) IP 地址是同一個(gè)地址。 為了將一個(gè) IPSec ESP 數(shù)據(jù)流與另一個(gè)區(qū)分開，目標(biāo) IP 地址和 SPI 必須得到跟蹤并映射到某個(gè)專用目標(biāo) IP 地址和 SPI。

由于 SPI 是一個(gè) 32 位的數(shù)字，多個(gè)專用網(wǎng)客戶端使用相同 SPI 值的概率很低。 問題在于，您很難確定哪個(gè)傳出 SPI 值對(duì)應(yīng)于哪個(gè)傳入 SPI 值。

NAT 無(wú)法映射 SPI，因?yàn)镋SP尾部包含一個(gè)消息驗(yàn)證散列碼（hashed message authentication code，HMAC），它檢驗(yàn) ESP 協(xié)議數(shù)據(jù)單元（PDU）的完整性（ESP PDU 包含 ESP 報(bào)頭、ESP 有效載荷和 ESP 尾部），SPI 無(wú)法在 HMAC 值失效之前改變。

無(wú)法改變 IKE UDP 端口號(hào)。

IPSec 的某些實(shí)現(xiàn)同時(shí)使用 UDP 端口 500 來(lái)作為源和目標(biāo) UDP 端口號(hào)。 然而，對(duì)于一個(gè)位于 NAT 之后的 IPSec 對(duì)話方，NAT 會(huì)改變初始 IKE 主模式包的源地址。根據(jù)具體的實(shí)現(xiàn)方式，來(lái)自 500 之外的其他端口的 IKE 流量可能會(huì)被丟棄。

IKE UDP 端口映射的 NAT 超時(shí)可能導(dǎo)致問題。

NAT 中的 UDP 映射通常會(huì)很快被刪除。 發(fā)起者的 IKE 流量在 NAT 中創(chuàng)建了一個(gè) UDP 端口映射，它在初始主模式和快速模式 IKE 協(xié)商期間使用。 然而，如果響應(yīng)者隨后向發(fā)起者發(fā)送 IKE 消息卻沒有提供 UDP 端口映射，那么這些消息將被 NAT 丟棄。

Identification IKE 有效載荷包含嵌入的 IP 地址。

對(duì)于主模式和快速模式協(xié)商，每個(gè) IPSec 對(duì)話方發(fā)送一個(gè) Identification IKE 有效載荷，其中包括發(fā)送對(duì)話方的嵌入 IP 地址。 由于發(fā)送節(jié)點(diǎn)的源地址已經(jīng)被 NAT 改變，該嵌入地址和 IKE 包中的 IP 地址不匹配。 驗(yàn)證 Identification IKE 有效載荷的 IP 地址的 IPSec 對(duì)話方將丟棄該包，并放棄 IKE 協(xié)商。

ESP 的 UDP 封裝

UDP 報(bào)頭置于外層 IP 報(bào)頭和 ESP 報(bào)頭之間，用于封裝 ESP PDU。 用于 UDP 封裝的 ESP 流量的端口和用于 IKE 的端口相同。

修改過的 IKE 報(bào)頭格式

IPSec NAT-T IKE 報(bào)頭包含一個(gè)新的 Non-ESP Marker 字段，它允許接收方區(qū)分 UDP 封裝的 ESP PDU 和 IKE 消息。 在確定存在一個(gè)中間 NAT 之后，支持 IPSec NAT-T 的對(duì)話方開始使用新的 IKE 報(bào)頭。

新的 NAT-Keepalive 包

這是一個(gè)和 IKE 流量使用相同端口的 UDP 消息，它包含單個(gè)字節(jié)（0xFF），用于為發(fā)送到某個(gè)專用網(wǎng)主機(jī)的 IKE 和 UDP 封裝的 ESP 流量刷新 NAT 中的 UDP 端口映射。

新的 Vendor ID IKE 有效載荷

這個(gè)新的有效載荷包含一個(gè)眾所周知的散列值，它表明這個(gè)對(duì)話方能夠執(zhí)行 IPSec NAT-T。

新的 NAT-Discovery (NAT-D) IKE 有效載荷

這個(gè)新的有效載荷包含一個(gè)散列值，它整合了一個(gè)地址和端口號(hào)。 在主模式協(xié)商期間，IPSec 對(duì)話方包括兩個(gè) NAT-Discovery 有效載荷——一個(gè)用于目標(biāo)地址和端口，另一個(gè)用于源地址和端口。 接收方使用 NAT-Discovery 有效載荷來(lái)發(fā)現(xiàn) NAT 之后是否存在一個(gè)經(jīng) NAT 轉(zhuǎn)換過的地址或端口號(hào)，并基于被改變的地址和端口號(hào)來(lái)確定是否有對(duì)話方位于NAT之后。

用于UDP封裝的ESP傳輸模式和隧道模式的新的封裝模式

這兩種新的封裝模式是在快速模式協(xié)商期間指定的，用于通知 IPSec 對(duì)話方應(yīng)該對(duì) ESP PDU 使用 UDP 封裝。

新的NAT-Original Address (NAT-OA) IKE 有效載荷

這個(gè)新的有效載荷包含 IPSec 對(duì)話方的原始（未轉(zhuǎn)換的）地址。 對(duì)于 UDP 封裝的 ESP 傳輸模式，每個(gè)對(duì)話方在快速模式協(xié)商期間發(fā)送 NAT-OA IKE 有效載荷。 接收方將這個(gè)地址存儲(chǔ)在用于 SA 的參數(shù)中。

問題： NAT 無(wú)法更新上層校驗(yàn)和。

解決辦法： 通過在 NAT-OA IKE 有效載荷中發(fā)送原始地址，接收方擁有檢驗(yàn)解密之后的上層校驗(yàn)和（源和目標(biāo) IP 地址和端口）所需的所有信息。

問題： NAT 無(wú)法多路傳輸 IPSec 數(shù)據(jù)流。

解決辦法： 通過使用 UDP 報(bào)頭封裝 ESP PDU，NAT 能夠使用 UDP 端口來(lái)多路傳輸 IPSec 數(shù)據(jù)流。 跟蹤 ESP 報(bào)頭中的 SPI 就不再必要了。

問題： 無(wú)法改變 IKE UDP 端口號(hào)。

解決辦法： IPSec NAT-T對(duì)話方能夠接受來(lái)自 500 之外的端口的 IKE 消息。 此外，為了防止 IKE 敏感（IKE-aware）的 NAT 修改 IKE 包，IPSec NAT-T 對(duì)話方在主模式協(xié)商期間把 IKE UDP 端口 500 改為 UDP 端口 4500。 為了允許IKE流量使用這個(gè)新的 UDP 端口，您可能必須配置防火墻以允許 UDP 端口 4500。

問題： Identification IKE有效載荷包含嵌入的 IP 地址。

解決辦法： 通過在 NAT-OA IKE 有效載荷中發(fā)送原始地址，接收方擁有了可用來(lái)在快速模式協(xié)商期間檢驗(yàn) Identification IKE 有效載荷內(nèi)容的原始地址。 由于NAT-OA IKE 有效載荷在快速模式協(xié)商發(fā)生之前沒有發(fā)送，對(duì)于驗(yàn)證主模式期間發(fā)送的 Identification IKE 有效載荷中的 IP 地址的 IPSec 實(shí)現(xiàn)，它要么一定不會(huì)執(zhí)行這個(gè)驗(yàn)證，要么通過使用另一種機(jī)制（比如名稱檢驗(yàn)）來(lái)驗(yàn)證對(duì)話方。

問題： IKE UDP 端口映射的 NAT 超時(shí)可能導(dǎo)致問題。

解決辦法： 通過定期發(fā)送 NAT Keepalive 包，用于后續(xù) IKE 協(xié)商和 UDP 封裝的 ESP PDU 的 UDP 端口映射同時(shí)在 NAT 中得到刷新。