专利名称:一种外网映射IPsec报文实现NAT穿越的方法
技术领域:
本发明涉及互联网技术领域,特别涉及一种外网映射IPsec报文实现NAT穿越的方法。
背景技术:
NAT(网络地址转换)功能主要是将内网IP地址的原IP地址进行转换成公网的IP地址,以便报文可以在公网上进行转发。IPsec隧道对数据报文的处理有三种方式分别为,对数据报文加密、对数据报文认证和对数据报文加新IP头后认证,如下:Imac头I新IP头I IPsec加密认证头| IP头|数据以上报文中,可以对“IIP头I数据I”部分进行加密或者认证。mac头I新IP头I IPsec全认证头IIP头I数据以上报文中,可以对“I新IP头IlPsec全认证头| IP头|数据I”部分的数据进行认证。对报文进行认证还是加密,功能是不同的,可以将以上3种对报文的处理进行任意组合使用,例如IPsec隧道可以对报文只进行加密或局部认证或全部认证,也可以对报文进行加密及认证。对报文进行加密和对报文进行局部认证可以进行NAT穿越,但对报文进行全部认证的方法就无法进行NAT穿越,因为NAT穿越需要替换“ I新IP头I ”中的原IP地址,由于IPsec隧道对报文进行了全部认证,也就是包括“I新IP头I”在内一起将报文进行了认证,此时如果做了 NAT转换,其源/目的地址将被改变,将造成到达目的地址后的完整性验证失败,即接收到此报文的IPsec隧道不能通过认证,无法实现NAT的穿越。
发明内容
(一 )所要解决的技术问题本发明通过提供一种外网映射IPsec报文实现NAT穿越的方法,解决了经过IPsec隧道全认证后的报文无法实现NAT穿越的问题。(二)技术方案本发明提供一种外网映射IPsec报文实现NAT穿越的方法,该方法包括:SUNAT设备接收到经IPsec全认证后的封装报文,并对所述封装报文进行网络地址转换得到转换报文;S2、外网设备接收到所述转换报文,根据IPsec隧道协商中外网设备创建的地址映射表,将所述转换报文中的IP地址还原,并对还原后的报文进行认证。其中,在所述IPsec隧道协商中,内网设备通过IKE报文发送一个原始IP地址给外网设备,外网设备根据所述原始IP地址与所述转换报文的IP头信息创建地址映射表。其中,所述NAT设备为带有NAT转换功能的防火墙,外网设备为带有IPsec功能的防火墙。其中,所述地址映射表包括转换IP地址和映射的原始IP地址。
(三)有益效果本发明在IPsec隧道传输模式下,通过在外网建立地址映射表,外网设备可将经过Nat设备进行网络地址转换的报文还原,实现了 NAT穿越。
图1为本发明方法的步骤图。
具体实施例方式下面结合附图和具体实施例对本发明做进一步详细说明。本发明提供一种外网映射IPsec报文的NAT穿越实现方法,该方法如图1所示,包括:SUNAT设备接收到经IPsec全认证后的封装报文,并对所述封装报文进行网络地址转换得到转换报文; 内网客户端向外网终端发送报文,在内外两个安全网关之间采用IPsec隧道传输,此时需协商出IPsec隧道。NAT设备接收经全认证发送来的封装报文,对其进行NAT地址转换得到转换报文并发送到外网。S2、外网设备接收到所述转换报文,根据IPsec隧道协商中外网设备创建的地址映射表,将所述转换报文中的IP地址还原,并对还原后报文进行认证。外网设备接收到转换报文对报文进行认证确认时,查找IPsec隧道建立过程中创建的地址映射表,将报文中的IP地址进行还原再进行认证判断。其中,在所述IPsec隧道协商中,内网设备通过IKE报文发送一个原始IP地址给外网设备,该IP地址作为数据被IKE交换时携带给外网设备,外网设备根据所述的原始IP地址与所述转换报文的IP头信息做比较,发现所述原始IP地址被NAT设备转换,这时外网设备创建地址映射表。具体的实施:采用如表I所示设备:
权利要求
1.一种外网映射IPsec报文实现NAT穿越的方法,其特征在于,该方法包括: SUNAT设备接收到经IPsec全认证后的封装报文,并对所述封装报文进行网络地址转换得到转换报文; S2、外网设备接收到所述转换报文,根据IPsec隧道协商中外网设备创建的地址映射表,将所述转换报文中的IP地址还原,并对还原后的报文进行认证。
2.如权利要求1所述方法,其特征在于,在所述IPsec隧道协商中,内网设备通过IKE报文发送一个原始IP地址给外网设备,外网设备根据所述原始IP地址与所述转换报文的IP头信息创建地址映射表。
3.如权利要求1所述方法,其特征在于,所述NAT设备为带有NAT转换功能的防火墙,外网设备为带有IPsec功能的防火墙。
4.如权利要求1所述方法,其特征在于,所述地址映射表包括转换IP地址和映射的原始IP地址。
全文摘要
本发明提供一种外网映射IPsec报文实现NAT穿越的方法,其特征在于,该方法包括NAT设备接收到经IPsec全认证后的封装报文,并对所述封装报文进行网络地址转换得到转换报文;外网设备接收到所述转换报文,根据IPsec隧道协商中外网设备创建的地址映射表,将所述转换报文中的IP地址还原,并对还原后报文进行认证。通过本发明实现了经过IPsec隧道全认证后报文的NAT穿越。
文档编号H04L29/12GK103188356SQ20131011751
公开日2013年7月3日 申请日期2013年4月7日 优先权日2013年4月7日
发明者陈海滨 申请人:汉柏科技有限公司