1. IPsecとNATの関係
NATはIPV4アドレス変換プロトコルであり、本来の目的はIPv4アドレス不足の問題を解決することです。NATプロトコルにより、LAN内の複数のホストがパブリックネットワークアドレスを一緒に使用できるため、IPV4アドレス不足の問題が大幅に軽減されます。ただし、NATの開発に伴い、企業や企業の内部ネットワークを保護するためにも使用されます。これにより、実際の内部IPアドレスを外部から隠すことができ、攻撃されるリスクを軽減できます。時々、NATはまだ存在するかもしれません。広義のNATデバイスは、異なる変換オブジェクトに従って、NATとNAPTの2つのタイプに分類できます。
1.1狭いNAT:IPアドレスのみを変換する
変換されたアドレスによれば、次のように分類できます。
- 送信元NAT:送信元IPアドレスのみが変換されます。一般的に言えば、送信元NATは主に、パケットがインターネットに接続されているときにローカルプライベートネットワークアドレスをパブリックネットワークアドレスに変換するために使用されます。
- 宛先NAT:宛先IPアドレスのみが変換されます。一般に、宛先NATは、パケットがパブリックネットワークからプライベートネットワークアドレスに入り、宛先アドレスをパブリックネットワークアドレスからローカルプライベートネットワークアドレスに変換するときに使用されます。
- 双方向NAT:送信元IPアドレスと宛先IPアドレスを同時に変換します。
1.2 NAPT:IPアドレスとポートの変換
NAPTと上記のタイプのNATの主な違いは、パケット内のポートもマッピング(変換)されることで、このアプリケーションも比較的一般的です。ポートを切り替える主な理由は、ポートを介した逆多重化と多重化を実現するために、このシナリオの詳細な説明が後で行われると個人的に考えています。
1.3 IPsecとNAT
RFC3715では、IPSecとNATの問題がより詳細に説明されています。これは簡単な説明です:
IPsecカプセル化プロトコルには、AH(認証ヘッダープロトコル)と ESP(カプセル化セキュリティペイロードプロトコル)が含まれます。
- AHプロトコルはIPパケット全体の整合性チェックを実行し、NATデバイスを通過するときにIPアドレス(および場合によってはポート)が変更されます。したがって、変更されたパケットは、ピアの解析時にエラーを生成し、ネゴシエーションに失敗します。これはこの矛盾は相容れないものです。
- ESPプロトコルは、暗号化と整合性検証のためにIPデータ部分を作成しますが、IPヘッダー情報を含みません。したがって、ESPプロトコルはNAT環境で使用できますが、他の問題があります。たとえば、伝送モードで伝送層のチェックサムを計算する場合実際のIPアドレスなどを必要とする疑似ヘッダー。これらの問題は特定の方法で解決および克服でき、解決策が現れました。NATトラバーサル(略してNAT-T)です。
2. NAT-T環境の構築
NAT-T環境の構築に関しては、以下は原則の紹介に過ぎず、特定の構成操作は行われません。
次のトポロジでは、2つのトンネルノードがNATデバイスの背後に配置されています。FW1がイニシエーターとして使用されています。
上記のトポロジでは、ファイアウォールFW1とFW2は2つの異なるネットワークに配置され、企業のNATゲートウェイの背後に配置され、異なるIPSecプロトコルによって作成されたトンネルであるサブネットは、ホスト10.151.18.14とホスト172.17.144.129の間の通信に使用されます。
通信ポイント:10.151.18.14および172.17.144.129
暗号化ポイント:FW1およびFW2
2.1 FW1設定手順
- まず、通信ポイントと暗号化ポイントが異なるデバイス上にあるため、通信にはトンネルモードを使用します
- IPsecトンネルパラメータ:
ピアIPは、103.22.254.200です。
このセグメントのIPは、172.21.1.1です。
説明:通常の状況では、インターネットを介してIPsecトンネルを確立するには、ピアのIPアドレスはピアのパブリックIPアドレスでなければならず、プライベートネットワークアドレスは使用できません。学習済み(これは、NATを使用して内部ネットワークアドレスを保護するシナリオです)。ピアデバイスは、トンネルのノードまたはNATデバイスである可能性があります。パケットを受信した後、パケットの宛先アドレスは、パブリックネットワークアドレス(102.22.254.200など)からプライベートネットワークアドレス(10.28など)に変換されます。 .1.2)、FW2が応答IPsecメッセージを受信して処理できるようにします。 - 103.22.254.0/24に追加されたスタティックルートのネクストホップは172.21.1.2です。それ以外の場合は、ネクストホップがないため、パケットを正常に送信できません。
2.2 FW2設定手順
FW2の構成はFW1と同様ですが、トンネルノードが異なる点が異なります。
- まず、通信ポイントと暗号化ポイントが異なるデバイス上にあるため、通信にはトンネルモードを使用します
- IPsecトンネルパラメータ:
ピアIP:10.28.1.1
このセグメントのIP:103.22.254.1 - 103.22.254.0/24に追加されたスタティックルートには、10.28.1.1のネクストホップがあります。そうでない場合、ネクストホップがないため、パケットを正常に送信できません
2.3 NATゲートウェイ1の構成手順
FW1のみがトンネルのイニシエーターと見なされる場合、構成する必要があるソースNAT変換は1つだけです。
| 運営 | ソースIP | 宛先IP |
|---|---|---|
| 変換前 | 172.21.1.1 | 103.22.254.200 |
| 変換後 | 103.22.254.1 | 102.22.254.200 |
2.4 NATゲートウェイ2の構成手順
FW1のみがトンネルのイニシエーターと見なされる場合、1つの宛先NAT変換のみを構成する必要があります。
| 運営 | ソースIP | 宛先IP |
|---|---|---|
| 変換前 | 103.22.254.1 | 102.22.254.200 |
| 変換後 | 103.22.254.1 | 10.28.1.2 |
3. NAT-T環境の概要
上記のNAT-T環境における2つのFWデバイスのIPsecトンネルノード情報構成は完全に異なりますが、NATの存在により、FW1およびFW2トンネルの確立はNAT変換後に完了します。NAT-Tに関するその他の知識は、ポートスライディング、NAT-Tタイプ、openswanでのNAT-Tネゴシエーションプロセスなど、今後も更新されます。
