ipsec所涉及的端口号_ipsec服务器

ipsec所涉及的端口号_ipsec服务器vowfi中IPSEC port 500、4500端口解释下面是前几年帮某客户在vowifi测试 中,遇到的ipsec 端口的问题,sigusoft。关于IPSEC 500、4500端口的问题,经过查阅相关RFC,做以下澄清1.port 500是 Internet Securit

vowfi中IPSEC port 500、4500端口解释   下面是前几年帮某客户在vowifi测试 中,遇到的ipsec 端口的问题,sigusoft。   关于IPSEC 500、4500端口的问题,经过查阅相关RFC,做以下澄清   1.port 500是 Internet Security Association and Key Management Protocol (ISAKMP)端口号   2.UDP PORT 4500是 UDP-encapsulated ESP and IKE端口号   首先解释一下正常IPSEC的封装和端口:   1.IPSEC建立分为三个阶段:phase1(建立IKE SA)、phase1.5(xauth,可选)、phase2(建立最终SA并协商SA参数)   2.IPSEC建立好之后,用ESP协议封装报文。ESP是等同于UDPTCP的协议,IP协议号是50(因此ESP并不是UDP的上层协议,而是跟UDPTCP平行协议),封装如下: 
ipsec所涉及的端口号_ipsec服务器   下面是一个正常的IPSEC起来后的ESP封装,从抓包看,并没有所谓的Port   
ipsec所涉及的端口号_ipsec服务器   那为什么在测试中抓包里面能看到ESP都有端口呢?如 下图所示 
ipsec所涉及的端口号_ipsec服务器   通过对比正常IPSEC 封装流量和院里抓包流量,很明显发现多了一层UDP封装,这是因为NAT的存在。   因为网络中的NAT的存在,导致IPSEC 的ESP协议 在NAT环境下最多只能有一个主机能建立通道,无法实现多台机器同时在NAT环境下进行ESP通信(因为仅靠源地址和目标地址无法区分多台NAT后的主机)。因此为了解决这个问题,RFC 3715 IPsec-Network Address Translation (NAT) Compatibility Requirements对这个问题进行了解决。解决方法就是在ESP上面在加一层UDP封装。   在RFC rfc 4306 Internet Key Exchange (IKEv2) Protocol中了做了如下阐述:   Port 4500 is reserved for UDP-encapsulated ESP and IKE. When working through a NAT, it is generally better to pass IKE packets over port 4500 because some older NATs handle IKE traffic on port 500 cleverly in an attempt to transparently establish IPsec connections between endpoints that don’t handle NAT traversal themselves.   从上面标黄色的描述可以看出,只有当IKE在阶段一进行NAT监测时候,发现网络中存在NAT,IKE会把端口从500改到4500,后续的ESP流量前面加一个UDP的头,端口4500   下面我找了一个详细的图来描述在NAT环境下IPSEC的过程,   
ipsec所涉及的端口号_ipsec服务器   从上图中,可以看到刚开始用500,后面对方监测到有NAT,马上就把端口改到4500,同时追加UDP封装到IKE和ESP上面。   如何监测到到NAT存在,用抓包举例,下图是从抓包找到的IKE_SA_Init消息里面的带的字段,这两个字段里面的data内容是对源地址和源端口的digest,对方收到这个digest后,跟收到的地址和端口进行同样的digest比较,如果不一致,就说明网络中存在NAT。 
ipsec所涉及的端口号_ipsec服务器   现在拿抓包来解释UDP 4500的由来。 
ipsec所涉及的端口号_ipsec服务器   56769的报文的端口还是500,56770是EPDGsigusoft过了的,56771是再次发起重新请求,端口已经改为4500,所以后续的都是4500   最后总结一下,在vowifi场景下,NAT是肯定存在的,所以500端口只有第一个请求才会用到,后面都是4500,(而且4500这个 UDP-encapsulated ESP and IKE是不可以配置和更改的,是RFC规定死的 )。   但是回到标准IPSEC建立过程中,只有500,没有4500(因为正常IPSEC是不需要考虑NAT的存在),所以4500这个端口的引入,并不是IPSEC协议本身规定的,而是NAT的存在,引入的一个UDP封装 for ESP 和IKE。   几个问题:   1.如果网络中封堵了4500和500,IPSEC如何work?   【答】:封堵500,IPSEC请求都发不出去;如果只封堵4500,在没有NAT或者1:1映射的NAT情况下,IPSEC可以工作。   2. NAT的存在会对IPSEC有其它影响吗?   [答】:有,某些网关或者设备的NAT做的不是非常标准,会有问题。比如 有些的NAT设备具有端口固定的功能,也就是进行NAT转换后只改变地址而不改变端口,后续IKE协商如果继续用500端口协商就会出现问题

2024最新激活全家桶教程,稳定运行到2099年,请移步至置顶文章:https://sigusoft.com/99576.html

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。 文章由激活谷谷主-小谷整理,转载请注明出处:https://sigusoft.com/59469.html

(0)
上一篇 2024年 8月 30日 上午11:02
下一篇 2024年 8月 30日 上午11:06

相关推荐

关注微信