一种外网映射IPsec报文实现NAT穿越的方法

摘要

本发明提供一种外网映射IPsec报文实现NAT穿越的方法，其特征在于，该方法包括：NAT设备接收到经IPsec全认证后的封装报文，并对所述封装报文进行网络地址转换得到转换报文；外网设备接收到所述转换报文，根据IPsec隧道协商中外网设备创建的地址映射表，将所述转换报文中的IP地址还原，并对还原后报文进行认证。通过本发明实现了经过IPsec隧道全认证后报文的NAT穿越。

说明书

技术领域

本发明涉及互联网技术领域，特别涉及一种外网映射IPsec报文实现NAT穿越的方法。

背景技术

NAT(网络地址转换)功能主要是将内网IP地址的原IP地址进行转换成公网的IP地址，以便报文可以在公网上进行转发。IPsec隧道对数据报文的处理有三种方式分别为，对数据报文加密、对数据报文认证和对数据报文加新IP头后认证，如下：

|mac头|新IP头|IPsec加密认证头|IP头|数据|

以上报文中，可以对“|IP头|数据|”部分进行加密或者认证。

|mac头|新IP头|IPsec全认证头|IP头|数据|

以上报文中，可以对“|新IP头|IPsec全认证头|IP头|数据|”部分的数据进行认证。

对报文进行认证还是加密，功能是不同的，可以将以上3种对报文的处理进行任意组合使用，例如IPsec隧道可以对报文只进行加密或局部认证或全部认证，也可以对报文进行加密及认证。对报文进行加密和对报文进行局部认证可以进行NAT穿越，但对报文进行全部认证的方法就无法进行NAT穿越，因为NAT穿越需要替换“|新IP头|”中的原IP地址，由于IPsec隧道对报文进行了全部认证，也就是包括“|新IP头|”在内一起将报文进行了认证，此时如果做了NAT转换，其源/目的地址将被改变，将造成到达目的地址后的完整性验证失败，即接收到此报文的IPsec隧道不能通过认证，无法实现NAT的穿越。

发明内容

(一)所要解决的技术问题

本发明通过提供一种外网映射IPsec报文实现NAT穿越的方法，解决了经过IPsec隧道全认证后的报文无法实现NAT穿越的问题。

(二)技术方案

本发明提供一种外网映射IPsec报文实现NAT穿越的方法，该方法包括：

S1、NAT设备接收到经IPsec全认证后的封装报文，并对所述封装报文进行网络地址转换得到转换报文；

S2、外网设备接收到所述转换报文，根据IPsec隧道协商中外网设备创建的地址映射表，将所述转换报文中的IP地址还原，并对还原后的报文进行认证。

其中，在所述IPsec隧道协商中，内网设备通过IKE报文发送一个原始IP地址给外网设备，外网设备根据所述原始IP地址与所述转换报文的IP头信息创建地址映射表。

其中，所述NAT设备为带有NAT转换功能的防火墙，外网设备为带有IPsec功能的防火墙。

其中，所述地址映射表包括转换IP地址和映射的原始IP地址。

(三)有益效果

本发明在IPsec隧道传输模式下，通过在外网建立地址映射表，外网设备可将经过Nat设备进行网络地址转换的报文还原，实现了NAT穿越。

附图说明

图1为本发明方法的步骤图。

具体实施方式

下面结合附图和具体实施例对本发明做进一步详细说明。

本发明提供一种外网映射IPsec报文的NAT穿越实现方法，该方法如图1所示，包括：

S1、NAT设备接收到经IPsec全认证后的封装报文，并对所述封装报文进行网络地址转换得到转换报文；

内网客户端向外网终端发送报文，在内外两个安全网关之间采用IPsec隧道传输，此时需协商出IPsec隧道。NAT设备接收经全认证发送来的封装报文，对其进行NAT地址转换得到转换报文并发送到外网。

S2、外网设备接收到所述转换报文，根据IPsec隧道协商中外网设备创建的地址映射表，将所述转换报文中的IP地址还原，并对还原后报文进行认证。

外网设备接收到转换报文对报文进行认证确认时，查找IPsec隧道建立过程中创建的地址映射表，将报文中的IP地址进行还原再进行认证判断。

其中，在所述IPsec隧道协商中，内网设备通过IKE报文发送一个原始IP地址给外网设备，该IP地址作为数据被IKE交换时携带给外网设备，外网设备根据所述的原始IP地址与所述转换报文的IP头信息做比较，发现所述原始IP地址被NAT设备转换，这时外网设备创建地址映射表。

具体的实施：采用如表1所示设备：

表1

pc a为内网的客户端；

Fw a为内网带有IPsec功能的防火墙；

Fw b为带有NAT转换功能的防火墙；

Fw c为外网带有IPsec功能的防火墙；

pc b为外网的访问终端设备。

第一步：内网客户端向外网访问终端发送报文，报文格式为：|mac头|IP头1.1.1.1 3.3.3.2|数据|。报文需经过Fw a、Fw b、和Fw c最终到达pc b，这里报文经IPsec隧道模式传输，Fw a和fw c通过中间设备Fw b，协商出IPsec隧道，对于Fw a设备来说，IPsec隧道的原地址为2.2.2.1目的地址为202.1.1.2，对于Fw c来说，IPsec隧道的原地址为202.1.1.2目的地址为202.1.1.1。

Fw a接收到pc a发送给pc b的报文以后，将此报文进行全认证处理，并封装报文新IP头，将认证的信息放入“IPsec全认证头”中，得到封装报文，封装后报文格式如下：

|mac头|新IP头2.2.2.1 202.1.1.2|IPsec全认证头|1.1.1.1 3.3.3.2|数据|。

第二步：封装报文被NAT防火墙Fw b接收后进行NAT地址转换得到转换报文，并将转换报文发送给Fw c设备，转换报文结构如下：|mac头|新IP头202.1.1.1 202.1.1.2|IPsec全认证头|1.1.1.1 3.3.3.2|数据|。

第三步：Fw c设备接收到转换报文，在对报文进行认证确认时，查找IPsec隧道协商过程中创建的地址映射表表，将报文中的IP地址进行还原再进行认证判断，还原的报文格式如下：

|mac头|新IP头2.2.2.1 202.1.1.2|IPsec全认证头|1.1.1.1 3.3.3.2|数据|

此时再对此报文进行认证确认就与Fw a设备对报文进行的认证是同一个报文了，所以认证会通过，整个IPsec隧道对报文处理过程会成功，实现NAT的穿越。

其中地址映射表的建立：

在协商IPsec隧道的过程中，Fw a作为内网设备通过IKE(Internet Keyexchange，网络密钥交换协议)报文发送一个原始IP地址即(2.2.2.1202.1.1.2)发送给Fw c设备，即oa payload(original address playlode，原始地址有效载荷)，此内容作为数据被IKE交换时携带给Fw c设备，Fw c根据此数据中的原始IP信息与转换报文中报文头即IP头的IP信息做比较发现原始IP地址被NAT设备转换过，此时Fw c建立地址映射表，记录转换IP地址为202.1.1.1，映射的原始IP地址为2.2.2.1。

在本发明站在外网的角度解决NAT的穿越问题，协商过程中就可通过已有的协议获取原始IP，从而自动建立转换表。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和替换，这些改进和替换也应视为本发明的保护范围。