NAT-T

V počítačových sítích je NAT-T (NAT traversal in the context of IKE ) metoda umožňující IPsec datagramům procházet síť pomocí NAT .

Ve skutečnosti je PAT typ NAT, který pro rozlišení různých toků IP platí pouze pro protokoly UDP a TCP (vrstva 4 modelu OSI ) . Nicméně, IPSec (Internet Protocol Security) je vrstva 3 protokol pouze to nemá vrstvu 4. Z tohoto důvodu, že není kompatibilní s PAT.

Stále je však možné použít protokol NAT-T, který zapouzdřuje pakety IPsec v paketech UDP, což umožňuje křížení „opletené“ sítě s PAT. Vyjednávání NAT-T během IKE je definováno v RFC  3947 a skutečné zapouzdření je definováno v RFC  3948.

Společnost Cisco vyvinula vlastní tunelový protokol pro křížení nativní sítě. Umožňuje použít IPSec přes TCP nebo UDP.

Hlavní dodavatelé síťového hardwaru podporují NAT-T pro IKEv1 . Tato funkce navíc existuje také v systému Microsoft Windows XP s aktualizací SP2, ale z bezpečnostních důvodů je nutné ji aktivovat dobrovolně.

Reference

• (en) „  IPsec-Network Address Translation Požadavky (NAT) Kompatibilita  “, Request for Comments n Ø  3715,Březen 2004

1. (in) "  sjednání NAT-Traversal v IKE  " Request for Comments n °  3947,ledna 2005.
2. (in) "  UDP zapouzdření IPsec ESP pakety  " Žádost o připomínky n o  3948,ledna 2005.
3. http://support.microsoft.com/kb/818043/en-us
4. http://support.microsoft.com/kb/885348/en-us