黃依婷 胡曦明 馬苗 李鵬

摘要：對IPSec與NAT在包頭封裝和改寫過程中存在沖突而產(chǎn)生的相互不兼容問題進行分析，在此基礎(chǔ)上采用H3C Cloud Lab平臺對IPSec野蠻模式實現(xiàn)NAT穿越的解決方案進行了仿真實驗。針對NAPT環(huán)境與IPSec存在的沖突問題，提出了基于GRE over IPSec的隧道嵌套技術(shù)解決方案并進行仿真實驗，可以進一步滿足NAT環(huán)境下部署IPSec的實際需求。

關(guān)鍵詞：IPSec；NAT；NAPT；隧道嵌套；仿真實驗

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2018）20-0033-04

IPSec and NAT Compatibility Technology and Simulation Experiment

HUANG Yi-ting1，HU Xi-ming 1， 2※， MA Miao1， 2，LI Peng1，2

（1.School of Computer Science， Shaanxi Normal University， Xian 710119， China； 2.Key Laboratory of Modern Teaching Technology， Ministry of Education， Xian 710119， China）

Abstract： Of IPSec and NAT in baotou， there are conflicts arising in the process of encapsulation and rewrite mutually incompatible problems were analyzed， and on the basis of using H3C Cloud Lab platform solution of IPSec barbaric mode to realize NAT through simulation experiment was carried out. For NAPT conflict problems of the environment and the IPSec， was proposed based on the GRE over IPSec tunnel of nested technical solutions and simulation experiment， can further satisfy the actual demand of deployment of IPSec NAT environment.

Key words： IPSec； NAT； NAPT； tunnel nested； the simulation results

1 引言

隨著計算機網(wǎng)絡(luò)快速發(fā)展，網(wǎng)絡(luò)安全IPsec（IP Security） 技術(shù)和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT（Net Address Translation）技術(shù)的應(yīng)用已經(jīng)十分普及[1]。由于IPv4中的IP地址空間非常緊缺，NAT可以很好地解決IP地址空間不足的問題，在企業(yè)內(nèi)部與外部Internet進行通信的時候，NAT隱藏了企業(yè)內(nèi)網(wǎng)IP地址，對企業(yè)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)起到一定程度的保護作用。IPSec安全協(xié)議能夠?qū)υ诰W(wǎng)絡(luò)中通信的數(shù)據(jù)包進行加密，這樣能夠保證信息的完整性、安全性、正確性。IPSec VPN技術(shù)滿足跨區(qū)域總部與分部之間網(wǎng)絡(luò)通信安全性能的要求。

但在現(xiàn)實應(yīng)用中，IPSec技術(shù)與NAT技術(shù)存在沖突問題。這一沖突問題嚴(yán)重地限制了NAT和IPSec的應(yīng)用范圍，對跨區(qū)域企業(yè)內(nèi)網(wǎng)安全通信造成很大的不便，所以實現(xiàn)IPSec穿越NAT將成為跨區(qū)域企業(yè)內(nèi)部網(wǎng)絡(luò)實現(xiàn)安全通信的關(guān)鍵技術(shù)。為此，本文基于IPsec與NAT的沖突問題，模擬實現(xiàn)企業(yè)內(nèi)網(wǎng)間進行安全通信，提出相應(yīng)的解決方案。

2 IPSec與NAT沖突

IPSec與NAT之間存在著協(xié)議沖突問題[1] ，理解兩種技術(shù)之間的兼容性，主要從以下幾個角度分析。

（1） IPSec AH（Authentication Header）和NAT

IPSec AH封裝協(xié)議對IP數(shù)據(jù)包的完整性保護包括了IP數(shù)據(jù)包最外層的IP地址域。而對于NAT來說，它需要修改IP地址來進行地址轉(zhuǎn)換，這樣就會導(dǎo)致AH包被接收方接收時，被認為經(jīng)過非法修改過而丟棄。因此，AH封裝協(xié)議與NAT技術(shù)無法共存[2]。由于IPSec ESP（Encapsulating Security Payload）封裝協(xié)議并不對最外層IP頭進行加密，所以在ESP封裝方式下就不會存在這個問題[3]。

（2） TCP/UDP校驗和與NAT

TCP/UDP校驗和的計算包括IP頭中的IP地址域，所以，在NAT修改了IP地址域后，TCP/UDP頭中的校驗和域會被修改來匹來配NAT對IP地址域的修改。IP包經(jīng)在ESP傳輸模式下經(jīng)過NAT設(shè)備時，因為傳輸層的TCP/UDP校驗和處于ESP加密狀態(tài)，該值不能被NAT設(shè)備更改。雖然該加密的IP數(shù)據(jù)包不會被接收方丟棄，但是，當(dāng)接收方將它送往上層進行解封裝和協(xié)議處理時，接收方會檢測到ESP數(shù)據(jù)包傳輸層中TCP/UDP校驗和錯誤而將該包丟棄。因為TCP/UDP校驗和只與數(shù)據(jù)包原始的IP包頭有關(guān)系，所以即使NAT對最外層IP包頭做修改也不會對傳輸層的TCP/UDP校驗和造成影響。因此，ESP隧道模式和僅存在靜態(tài)或動態(tài)NAT的情況下可以避免這個問題[3]。

（3） ESP和NAPT（Network Address Port Translation）

當(dāng)NAT設(shè)備的實現(xiàn)方式為NAPT時，因為NAPT需要更改數(shù)據(jù)包傳輸層的TCP/UDP端口號，所以IPSec ESP封裝協(xié)議無論是工作在傳輸模式還是隧道模式[4]，傳輸層的端口號都受到ESP加密保護，當(dāng)NAPT對傳輸層的端口號進行修改后，接收方接收到該報文時，會因為完整性認證不通過而把該報文丟棄[3]。

3 NAT環(huán)境下的野蠻模式

3.1 工作原理

基于上述IPSec與NAT沖突問題分析，通過使用IPSec野蠻模式技術(shù)可以解決大多數(shù)IPSec穿越NAT問題。而且相較于基于特定域IP（Realm Specific IP，RSIP）的穿越技術(shù)[5] 、基于NAT前置的穿越技術(shù)[6]等技術(shù)操作簡單，在企業(yè)中使用起來方便。NAT環(huán)境下IPSec野蠻模式穿越解決方案如圖1。

野蠻模式的工作原理是使用UDP封裝[7]ESP包，在ESP頭部前加上一個UDP包頭，UDP封裝后ESP包能穿過NAT設(shè)備，封裝后的數(shù)據(jù)包在接收端接收時去掉UDP包頭，得到原來ESP數(shù)據(jù)包。Internet網(wǎng)絡(luò)中的設(shè)備能夠識別和處理UDP數(shù)據(jù)包，NAT設(shè)備對數(shù)據(jù)包的修改不會影響接收方對ESP數(shù)據(jù)包的完整性認證。

因為隧道模式主要用于主機與子網(wǎng)或者兩個子網(wǎng)間的數(shù)據(jù)通信[8]，本文主要解決企業(yè)總部與各分部間的安全通信，所以采用隧道模式。IPSec野蠻模式下報文封裝格式如圖2。

3.2 技術(shù)方案

3.2.1 仿真實驗

在企業(yè)各分部和總部間，企業(yè)分部對企業(yè)總部進行數(shù)據(jù)訪問，同時分支也對總部提供最新數(shù)據(jù)上傳。IPSec野蠻模式技術(shù)由于實現(xiàn)相對簡單因而在企業(yè)中得到大量應(yīng)用。本文基于H3C Cloud Lab采用野蠻模式實現(xiàn)IPSec與NAT在企業(yè)中互通的應(yīng)用場景進行仿真實驗，實驗拓撲圖見圖3。

3.2.2 關(guān)鍵配置

根據(jù)圖1和圖3，為實現(xiàn)企業(yè)分部與總部之間數(shù)據(jù)安全互訪，在企業(yè)分部與總部之間建立IPSec隧道。用RTA和RTB_NAT分別模擬企業(yè)分部與總部中的路由器，RTA_NAT模擬企業(yè)分部中連接外網(wǎng)與內(nèi)網(wǎng)的路由器。在RTA和RTB_NAT之間建立IPSec隧道，隧道的起點為RTA，隧道的終點為RTB_NAT，分別在RTA和RTB_NAT上配置安全策略，在RTA_NAT上配置NAT，它們的主要配置如表1、表2、表3所示。

3.2.3 結(jié)果分析

在H3C Cloud Lab平臺下可以通過對上述實驗進行抓包，在設(shè)備RTB_NAT處通過Wireshark抓取報文，抓到一組ESP包，見圖4。通過抓包分析，表明在企業(yè)分部中RTA設(shè)備和企業(yè)總部RTB_NAT設(shè)備間通信的數(shù)據(jù)包被加密，實現(xiàn)了ESP包在野蠻模式下成功穿越NAT設(shè)備。ESP包在傳送過程中經(jīng)過設(shè)置了NAT的RTA_NAT設(shè)備，源IP地址由192.168.2.2變?yōu)?.1.1.2，目的IP地址由192.168.0.2變?yōu)?7.1.1.2。

打開實驗抓到的一個ESP包，可以看到詳細報文信息，TCP/UDP層的目的端口號變?yōu)?500，可以看出發(fā)送方和接收方之間存在NAT設(shè)備，經(jīng)過IPSec ESP封裝后的IPSec Packets封裝在UDP包頭下，見圖4。

3.2.4 存在問題

由上述實驗可以看出在野蠻模式下使用UDP封裝的IPSec Packets可以穿過NAT設(shè)備，實現(xiàn)多數(shù)企業(yè)總部與分部之間的安全通信。

但是對于一些在網(wǎng)關(guān)路由器上設(shè)置NAPT的企業(yè)來說，因為NAPT需要修改IP數(shù)據(jù)包的傳輸層TCP/UDP首部的端口號，IPSec ESP協(xié)議無論是工作在傳輸模式還是隧道模式，傳輸層的端口號都會受到ESP加密保護，NAPT網(wǎng)關(guān)對ESP包進行地址轉(zhuǎn)換時會改變ESP數(shù)據(jù)包傳輸層的端口號，接收方接收到該報文時，會因為完整性認證不通過而把該報文丟棄[3]。因此，野蠻模式下UDP封裝[7]后的ESP包無法通過 NAPT網(wǎng)關(guān)。

4 NAT環(huán)境下基于隧道嵌套的IPSec VPN

4.1 技術(shù)方案

野蠻模式技術(shù)可以滿足大多數(shù)企業(yè)在NAT環(huán)境下的穿越需求，但是對于一些需要部署NAPT的企業(yè)來說，野蠻模式則不足以滿足需求，所以就需要一種更好地能夠解決企業(yè)總部與分部間IPSec穿越NAT實現(xiàn)安全通信的方案。

GRE隧道缺少安全機制，且與NAT無沖突[1] ，GRE隧道是可以穿越NAT，所以將GRE隧道技術(shù)和IPSec安全技術(shù)結(jié)合運用[9]，IPSec隧道嵌套GRE隧道，既能夠能解決IPSec無法穿越NAPT的問題，又能夠改善GRE隧道技術(shù)缺乏安全機制的缺點。

GRE隧道技術(shù)[10]是對用戶數(shù)據(jù)和路由協(xié)議報文進行隧道封裝，當(dāng)IP數(shù)據(jù)包進入GRE隧道口時被封裝成GRE包，因為GRE隧道被嵌入到IPSec隧道中，GRE包在IPSec隧道口又進行ESP封裝，即構(gòu)成了GRE over IPSec技術(shù)[11]。NAT下GRE over IPSec隧道嵌套的技術(shù)原理如圖5。GRE over IPSec嵌套技術(shù)下企業(yè)分部與企業(yè)總部處理流程如圖6。

4.2 仿真實驗

4.2.1 實驗拓撲

4.2.2 關(guān)鍵步驟及主要配置

4.2.3 抓包分析

在H3C Cloud Lab平臺下可以對上述實驗進行抓包，在設(shè)備RTB_NAT處通過Wireshark抓取報文，抓包的到一組ESP包，見圖8。通過抓包分析，表明在企業(yè)分部中RTA設(shè)備和企業(yè)總部RTB_NAT設(shè)備間通信的IP數(shù)據(jù)包被加密，數(shù)據(jù)包進入GRE over IPSec嵌套隧道成功穿越NAT設(shè)備，這種技術(shù)也能實現(xiàn)IPSec穿越NAPT的問題。

打開一個ESP包，見圖8，可以發(fā)現(xiàn)報文封裝協(xié)議為ESP，說明數(shù)據(jù)經(jīng)過了IPSec VPN的安全保護。從圖中看不到任何有關(guān)GRE封裝的信息，這是因為GRE包頭被封裝在ESP包頭下，ESP對其進行加密。

分析圖8所示抓包結(jié)果，可以得出GRE over IPSec隧道嵌套技術(shù)的報文封裝結(jié)構(gòu)如圖9所示。

4.2.4 性能比較

通過上述實驗，結(jié)合抓包分析，GRE over IPSec隧道嵌套技術(shù)在解決IPSec穿越NAT問題時，GRE over IPSec隧道嵌套技術(shù)在性能上遠遠優(yōu)于野蠻模式技術(shù)，具體分析如下：

（1） 應(yīng)用范圍廣。

通過實驗可以看出，GRE over IPSec隧道嵌套技術(shù)可以解決企業(yè)環(huán)境下IPSec無法穿越NAPT的問題，能夠滿足更多跨區(qū)域企業(yè)內(nèi)網(wǎng)之間的安全通信。

（2） 操作簡單，容易實現(xiàn)。

（3） 功能多樣性。

IPSec野蠻模式提供的功能十分有限，而GRE over IPsec隧道嵌套技術(shù)因為結(jié)合GRE隧道技術(shù)，能夠利用GRE技術(shù)解決組播、廣播傳輸。

5 總結(jié)

IPSec和NAT是企業(yè)網(wǎng)中常用網(wǎng)絡(luò)通信技術(shù)，當(dāng)IPSec和NAT同時部署時，由于兩種技術(shù)在包頭封裝和包頭改寫過程中存在沖突而不相互兼容。對此本文在深入研究技術(shù)原理的基礎(chǔ)上，采用H3C Cloud Lab平臺對NAT環(huán)境下采用IPSec VPN野蠻模式技術(shù)實現(xiàn)NAT穿越進行了仿真實驗。結(jié)果表明，IPSec VPN野蠻模式相較于基于特定域IP（Realm Specific IP，RSIP）的穿越技術(shù)、基于NAT前置的穿越技術(shù)等技術(shù)，具有操作步驟簡單、應(yīng)用方便的特點，但也存在無法實現(xiàn)NAPT環(huán)境下穿越的局限。

在此基礎(chǔ)上，本文提出使用GRE over IPSec隧道嵌套技術(shù)來實現(xiàn)企業(yè)NAT環(huán)境下總部與分部安全通信，并進行仿真實驗。實驗結(jié)果表明，本方案在功能上能更大范圍地解決IPSec與NAT兼容問題，充分保障遠程異地企業(yè)內(nèi)部網(wǎng)絡(luò)通信數(shù)據(jù)的安全。隨著企業(yè)的擴張，人們對跨區(qū)域企業(yè)網(wǎng)絡(luò)安全通信的要求不斷提高，GRE over IPSec隧道嵌套技術(shù)，操作簡便易行，對保障企業(yè)各分部與總部間網(wǎng)絡(luò)通信跨公網(wǎng)傳輸?shù)陌踩跃哂袘?yīng)用價值。

參考文獻 ：

[1] 曹炯清.IPSec與NAT沖突隧道嵌套解決方案研究[J]. 信息安全與技術(shù)，2015（01）：35-39.

[2] 祝芝梅，李之棠.NAT與IPSec協(xié)議兼容性問題及解決方案[J].計算機應(yīng)用，2004（03）：27-30.

[3] 萬艷麗，張永平，厲丹.IPSec和NAT兼容性研究及解決方案[J].計算機工程與設(shè)計，2006（19）：3644-3646.

[4] 王健.網(wǎng)絡(luò)安全防護技術(shù)的研究與實現(xiàn)[D].四川大學(xué)，2004.

[5] 洪帆，王嶺，朱賽凡.利用RSIP解決IPSEC和NAT的不兼容問題[J].計算機應(yīng)用，2003（S2）：1-3.

[6] 何光文.IPSec與NAT在企業(yè)網(wǎng)中的共存模式[J].科技風(fēng)，2015（02）：112.

[7] 王亮.基于IPSec和NAT協(xié)同工作的UDP封裝方案研[J].信息技術(shù)，2015，（3）：227-228.

[8] 王海濤，雷英.基于不同網(wǎng)絡(luò)環(huán)境的IPSec解決方案[J].電腦知識與技術(shù)，2013（9）：5834-5836，5842.

[9] 唐琴.GRE隧道技術(shù)在大型企業(yè)網(wǎng)中的應(yīng)用[J].電腦知識與技術(shù)，2008（22）：800-802.

[10] 王麗娜，劉炎，何軍.基于IPSec和GRE的VPN實驗仿真[J].實驗室研究與探索，2013，32（09）：70-75.

[11] 張韜，柳亞婷.GRE over IPsec與IPsec over GRE在網(wǎng)絡(luò)安全中的區(qū)別與實現(xiàn)[J].電腦與信息技術(shù)，2018，26（01）：56-59.