鄭州做網(wǎng)站的公司哪家好網(wǎng)站域名使用費(fèi)多少
鶴壁市浩天電氣有限公司
2026/01/24 08:55:10
鄭州做網(wǎng)站的公司哪家好,網(wǎng)站域名使用費(fèi)多少,吉林網(wǎng)絡(luò)推廣代運(yùn)營,如何做融資網(wǎng)站作者#xff1a;chen-trueqq.com僅供學(xué)習(xí)交流#xff0c;如有錯(cuò)誤懇請指出#xff01;先說結(jié)論#xff1a;AH協(xié)議不支持NAT穿越#xff0c;無論是傳輸模式還是隧道模式#xff0c;無論有無開啟NAT-T功能#xff1b;在未開啟NAT-T功能前提下#xff0c;ESP隧道模式和傳輸…作者chen-trueqq.com僅供學(xué)習(xí)交流如有錯(cuò)誤懇請指出先說結(jié)論·AH協(xié)議不支持NAT穿越無論是傳輸模式還是隧道模式無論有無開啟NAT-T功能·在未開啟NAT-T功能前提下ESP隧道模式和傳輸模式均支持穿越NAT設(shè)備但是會(huì)有很多限制導(dǎo)致使用起來不方便或產(chǎn)生問題·在開啟NAT-T功能前提下ESP隧道模式和傳輸模式均可以正常穩(wěn)定的穿越NAT。IPSecIP Security是一組在IP網(wǎng)絡(luò)層提供安全通信能力的協(xié)議族主要依靠兩種數(shù)據(jù)保護(hù)子協(xié)議AH與ESP對IP報(bào)文實(shí)施完整性校驗(yàn)、身份認(rèn)證、加密以及抗重放等安全保護(hù)?!ふJ(rèn)證頭Authentication HeaderAHIP協(xié)議號51。提供數(shù)據(jù)源認(rèn)證與消息完整性保護(hù)并支持抗重放但是不提供加密因此不具備保密性?!し庋b安全載荷Encapsulating Security PayloadESPIP協(xié)議號50。提供數(shù)據(jù)加密以實(shí)現(xiàn)保密性并且可選提供數(shù)據(jù)源認(rèn)證與消息完整性保護(hù)同時(shí)支持抗重放。在實(shí)際工程中ESP通常同時(shí)啟用加密與完整性保護(hù)應(yīng)用也最為廣泛。AH與ESP均支持兩種工作模式Mode用于決定對IP報(bào)文的保護(hù)范圍·傳輸模式Transport Mode保留原始IP頭僅對上層負(fù)載如 TCP/UDP/ICMP等數(shù)據(jù)進(jìn)行保護(hù)常用于主機(jī)到主機(jī)的端到端安全通信?!に淼滥J絋unnel Mode將整個(gè)原始IP包封裝為“內(nèi)層報(bào)文”再添加新的外層IP頭并對內(nèi)層整包進(jìn)行保護(hù)常用于網(wǎng)關(guān)到網(wǎng)關(guān)的站點(diǎn)互聯(lián)以及遠(yuǎn)程接入VPN場景。一、AH協(xié)議的保護(hù)范圍① AH傳輸模式的保護(hù)范圍即認(rèn)證數(shù)據(jù)ICV的覆蓋范圍·上層數(shù)據(jù)即TCP/UDP/ICMP頭 數(shù)據(jù)·AH頭除ICV字段外計(jì)算ICV時(shí)將ICV字段本身置零參與計(jì)算·原始IP頭中“不可變/端到端應(yīng)保持一致”的字段典型包括源/目 IP、協(xié)議號等這類不應(yīng)在中途改動(dòng)的字段。而對于TTL、IP頭校驗(yàn)和、DSCP、以及其它一些可能被中間設(shè)備改寫的字段計(jì)算ICV時(shí)將它們置零忽略參與計(jì)算。② AH隧道模式的保護(hù)范圍即認(rèn)證數(shù)據(jù)ICV的覆蓋范圍·內(nèi)層原始IP包整體包括內(nèi)層IP頭部 上層數(shù)據(jù)TCP/UDP/ICMP頭 數(shù)據(jù)·AH頭除ICV字段外計(jì)算ICV時(shí)將ICV字段本身置零參與計(jì)算·外層IP頭中“不可變/端到端應(yīng)保持一致”的字段典型包括源/目 IP、協(xié)議號等這類不應(yīng)在中途改動(dòng)的字段。而對于TTL、IP頭校驗(yàn)和、以及其它一些可能被中間設(shè)備改寫的字段計(jì)算ICV時(shí)將它們置零忽略參與計(jì)算。圖 AH協(xié)議保護(hù)范圍二、ESP協(xié)議的保護(hù)范圍① ESP傳輸模式的保護(hù)范圍加密和認(rèn)證范圍1、加密范圍·上層數(shù)據(jù)即TCP/UDP/ICMP頭 數(shù)據(jù)·ESP尾ESP TrailerPadding PadLen NextHeader。2、認(rèn)證范圍若啟用·ESP頭SPI Sequence Number·全部加密區(qū)的密文② ESP隧道模式的保護(hù)范圍加密和認(rèn)證范圍1、加密范圍·內(nèi)層原始IP包整體包括內(nèi)層IP頭部 上層數(shù)據(jù)TCP/UDP/ICMP頭 數(shù)據(jù)·ESP尾ESP TrailerPadding PadLen NextHeader。2、認(rèn)證范圍若啟用·ESP頭SPI Sequence Number·全部加密區(qū)的密文圖 ESP協(xié)議保護(hù)范圍三、AH協(xié)議不支持NAT穿越如下圖所示主機(jī)A與主機(jī)B之間建立了基于IPSec AH的安全通信可為傳輸模式或隧道模式且路徑中經(jīng)過NAT網(wǎng)關(guān)。圖 AH傳輸模式穿越NAT失敗舉例AH提供了消息完整性保護(hù)其核心機(jī)制是發(fā)送端在計(jì)算AH頭部中的認(rèn)證數(shù)據(jù)時(shí)會(huì)把報(bào)文中需要被保護(hù)的內(nèi)容納入哈希計(jì)算其中包括IP頭部中那些按規(guī)范應(yīng)保持端到端一致的字段典型如源/目的IP等并將計(jì)算得到的認(rèn)證數(shù)據(jù)隨AH報(bào)文一起發(fā)送給接收端。接收端收到AH報(bào)文后會(huì)按同樣規(guī)則對報(bào)文重新計(jì)算認(rèn)證數(shù)據(jù)并與報(bào)文攜帶的認(rèn)證數(shù)據(jù)進(jìn)行比對若不一致則認(rèn)為報(bào)文被篡改或偽造進(jìn)而丟棄報(bào)文。當(dāng)AH報(bào)文經(jīng)過NAT網(wǎng)關(guān)時(shí)NAT會(huì)對報(bào)文進(jìn)行地址轉(zhuǎn)換SNAT/DNAT從而修改IP頭部中的源/目IP等字段。由于這些字段屬于AH認(rèn)證計(jì)算所覆蓋的范圍NAT的改寫會(huì)導(dǎo)致接收端基于“被改寫后的IP頭”重新計(jì)算出的認(rèn)證數(shù)據(jù)與報(bào)文中攜帶的認(rèn)證數(shù)據(jù)不一致最終觸發(fā)AH完整性校驗(yàn)失敗并造成丟包。因此AH與NAT天生不兼容。這一結(jié)論對兩種模式均成立·AH傳輸模式下AH直接保護(hù)原始IP頭中的相關(guān)字段NAT改地址必然破壞校驗(yàn)·AH隧道模式下AH同樣會(huì)認(rèn)證外層IP頭中應(yīng)保持不變的字段而NAT改寫外層地址同樣會(huì)導(dǎo)致校驗(yàn)失敗。綜上AH協(xié)議不支持穿越NAT無論是傳輸模式還是隧道模式只要路徑中存在會(huì)修改IP頭地址信息的NAT設(shè)備都將導(dǎo)致AH認(rèn)證失敗。四、ESP協(xié)議有限度的支持NAT穿越以前示拓?fù)錇槔糁鳈C(jī)A與主機(jī)B之間建立IPSec ESP安全通信可為傳輸模式或隧道模式且路徑中經(jīng)過NAT網(wǎng)關(guān)。與AH不同ESP的完整性校驗(yàn)若啟用不覆蓋外層IP頭而是覆蓋ESP頭 ESP負(fù)載 ESP尾ESP Trailer因此NAT對外層IP地址的改寫不會(huì)直接導(dǎo)致ESP的認(rèn)證數(shù)據(jù)校驗(yàn)失敗。1ESP傳輸模式穿越NAT認(rèn)證不一定失敗但業(yè)務(wù)層面容易掉坑在傳輸模式下ESP會(huì)把上層協(xié)議頭TCP/UDP/ICMP等也一起加密/認(rèn)證。因此即便ESP本身不會(huì)因?yàn)镹AT改外層IP頭而導(dǎo)致認(rèn)證數(shù)據(jù)校驗(yàn)失敗但仍然可能在以下方面出現(xiàn)問題·TCP/UDP校驗(yàn)和問題NAT改寫源/目的IP 后按協(xié)議規(guī)則TCP/UDP的校驗(yàn)和應(yīng)隨之更新但傳輸模式下TCP/UDP頭在ESP加密區(qū)內(nèi)NAT看不到也改不了導(dǎo)致接收端解密后可能出現(xiàn)校驗(yàn)和不匹配進(jìn)而引發(fā)丟包、連接異常等現(xiàn)象。注意對于一些不依賴TCP/UDP校驗(yàn)和的IP流量比如ICMP Ping理論上ESP傳輸模式是可以穿越NAT的但在真實(shí)網(wǎng)絡(luò)里是否“真的能過”強(qiáng)烈依賴NAT是否支持/放行ESP以及是否存在多主機(jī)并發(fā)PAT等情況。·ESP沒有端口導(dǎo)致NAT/PAT復(fù)用困難ESP是三層協(xié)議IP協(xié)議號50不像TCP/UDP有端口可用于NAT/PAT做多路復(fù)用。若多個(gè)內(nèi)網(wǎng)主機(jī)共享一個(gè)公網(wǎng)地址并發(fā)建立ESP流量許多NAT設(shè)備難以穩(wěn)定區(qū)分和回送常見現(xiàn)象包括“只能通一個(gè)”“并發(fā)沖突”“會(huì)話不穩(wěn)定”等。因此ESP傳輸模式在密碼學(xué)機(jī)制上不怕NAT改外層地址但在承載TCP/UDP以及多對一PAT的場景下經(jīng)常因?yàn)樾r?yàn)和與復(fù)用問題而不夠可靠。2ESP隧道模式穿越NAT天然、穩(wěn)定但仍可能被“無端口復(fù)用”所限制隧道模式的優(yōu)勢在于·內(nèi)外層解耦避免傳輸模式的TCP/UDP校驗(yàn)和問題隧道模式把“原始內(nèi)層IP包”整體加密/認(rèn)證內(nèi)層TCP/UDP校驗(yàn)和依賴的是內(nèi)層IP地址。NAT改寫的是外層IP頭不會(huì)影響內(nèi)層地址與內(nèi)層校驗(yàn)和。·ESP認(rèn)證仍不覆蓋外層IP頭NAT對外層地址的改寫不會(huì)直接破壞ESP認(rèn)證數(shù)據(jù)的校驗(yàn)這一點(diǎn)與ESP傳輸模式一樣。但隧道模式仍存在一個(gè)現(xiàn)實(shí)問題·純ESP依舊沒有端口PAT多路復(fù)用依舊困難當(dāng)公網(wǎng)側(cè)只有一個(gè)公網(wǎng)IP、且需要多臺內(nèi)網(wǎng)主機(jī)并發(fā)建立/維持ESP會(huì)話時(shí)NAT設(shè)備仍可能因?yàn)椤盁o端口”而復(fù)用能力受限導(dǎo)致連接不穩(wěn)定。因此ESP隧道模式更適合NAT環(huán)境但如果不做額外處理仍可能被NAT/PAT的會(huì)話復(fù)用能力卡住。為解決“ESP無端口導(dǎo)致NAT/PAT難以復(fù)用”和“傳輸模式下TCP/UDP校驗(yàn)和難以更新”等問題工程實(shí)踐中通常啟用NAT-TNAT Traversal功能。NAT-T的核心思想就是把ESP變成“看起來像普通UDP”的流量。并且NAT-T功能只對ESP有效對AH無效。有關(guān)NAT-T功能原理我會(huì)在后面單獨(dú)詳細(xì)描述。