【IT168 信息化】
该方案特点
我国IP地址短缺,大量的网络运营商为用户提供internet接入时,采用"保留IP地址",再通过运营商处布署的NAT设备(如:router中起NAT模块)接入internet。因为Ipsec协议本身的特点,导致VPN设备不能穿透NAT,这样在使用保留地址的环境下(尤其在城域网中大量存在这种情况),传统的VPN设备就没办法正常使用。
ADT的安全网关有效地解决了穿透NAT的问题,支持NAT模式下的VPN网络互联。
方案概述:
1、基于IP-VPN中NAT穿透问题
基于IPsec的VPN解决方案中NAT穿透问题一直是很多厂商以及客户所棘手的问题。不但IPsec协议本身不能穿透NAT设备,就是常用的视频、语音等通讯方式所用的H.323和SIP协议也不能穿透NAT。下面以A、B两地实现视频会议为例,阐述一下NAT穿透问题。
我们假设在宽带城域网有两个用户A和B,其中A用户处在私网内部,B用户是在Internet公网上,这两个用户都安装了IP视频会议终端,希望通过宽带城域网开个临时的视频会议。如下图示,B用户首先呼叫A用户,B用户发出的H.323或SIP建立会话连接的初始化包发送到A用户网络的NAT设备时,由于NAT设备只做IP地址转换的处理,因此不知道该如何将B用户发来的H.323或SIP建立会话连接的初始化包转发给内网的哪个用户,只好将该初始化包丢弃。而A用户虽然一直在等待B用户的初始化包,但A用户却永远等不到B用户的初始化包,这样A用户和B用户永远都建立不起来H.323或SIP会话连接,也就无法开IP视频会议。
NAT穿透问题示意图(一)
另一种情况也一样,由A用户首先呼叫B用户,如下图示,A用户发出的H.323或SIP建立会话连接的初始化包发送到A用户网络的NAT设备时,由于NAT设备只做IP地址转换的处理,NAT设备将该IP包包头中的A用户私网地址替换成自己的公网地址,这样A用户发出的H.323或SIP建立会话连接的初始化包才能够发送B用户处,B用户上层的视频会议应用程序收到该初始化包,并作出应答,但是A用户在发出H.323或SIP建立会话连接的初始化包时,在上层应用数据包中采用的地址是A用户的私网地址,这样B用户上层的视频会议应用程序就会采用初始化包中上层应用数据包里的A用户的私网地址来发送应答包,由于A用户的地址是私网地址,因此该应答包就无法在公网上传送。这样A用户和B用户还是建立不起来H.323或SIP会话连接,还是无法开IP视频会议。
NAT穿透问题示意图(二)
安达通公司作为国内领先的专业VPN厂商,经过一段时间的攻关和研究,解决了NAT穿透问题,为企业构建跨城域网的VPN网络以及视频、语音通讯的建立提供了解决方案。
如果需要实现穿越NAT的安全连接,需要在内部网络和外部网络之间设置ADT引擎(需要在NAT设备上为ADT引擎作静态地址翻译)或者在外网(公网)设置ADT引擎。ADT引擎是一个专用UDP-T(即UDP隧道)数据包的路由转发软件,放置在网络边缘,在内部网络和外部网络之间转发数据流量。
| 第1页: 第1页 |
