IPSec穿越NAT的实现方法

IPsec是一种工作在网路层的加密协议，可实现端到端的安全通信。当使用移动客户端通过拨号连接服务器时，由于NAT会修改数据包地址信息，可能阻碍IPsec正常工作，通常需借助NAT穿越技术（如NAT-T）封装数据，使其能顺利通过NAT设备。

1、 IPSec通常以IP地址作为身份标识，但NAT操作会改变IP地址，导致身份验证困难。为确保认证准确，需适应地址变化，采用字符串形式的身份标识是更为可靠的解决方案。

2、 IPSec包含AH和ESP两种协议，其中AH不支持NAT穿越，而ESP理论上具备该能力。由于ESP使用的IP协议不属于UDP或TCP，为实现在NAT环境下的地址复用，需对ESP进行相应调整，以解决NAT设备对IP报文转换带来的通信障碍，从而确保数据在复杂网络中的安全传输与连接建立。

3、 采用数字证书进行身份认证，IKE通过证书体系验证对方身份真实性，因证书中不包含IP信息，故能有效穿越NAT环境，实现安全通信。

4、 通过预先在通信双方配置相同的密钥，利用名字作为身份标识进行认证，不依赖IP地址，因此具备NAT穿透能力，适用于发起方与响应方之间的安全身份识别与密钥共享场景。

5、 IPSec借助UDP封装实现NAT穿越，尤其在ESP场景下尤为有效。当响应方接收到报文时，若检测到发起方的源地址与通告地址不符，说明其经过NAT设备，便会自动启用UDP封装以穿透；反之，若源地址为公网地址，则仍采用原始的传输模式，确保通信高效稳定，兼顾兼容性与灵活性。

6、 若以名称标识身份，则IKE协商必须采用野蛮模式这一特殊方式。