部署IPSec VPN網(wǎng)絡(luò)時,，如果發(fā)起者位于一個私網(wǎng)內(nèi)部（也就是IPSec的一個端點(diǎn)接口的IP地址是私網(wǎng)IP地址,，如圖1中的Router A）,，遠(yuǎn)端位于公網(wǎng)側(cè)（如圖1中的Router B）,，而它希望與遠(yuǎn)端響應(yīng)者直接建立一條IPSec隧道。為保證存在NAT設(shè)備的IPSec隧道能夠正常建立,，就需要配置IPSec的NAT穿越功能,。

　　圖1  IPSec的NAT穿越示意

　　因?yàn)锳H協(xié)議會對整個封裝后的IP報文（包括IP報頭）進(jìn)行認(rèn)證保護(hù)，如果AH報文經(jīng)過NAT網(wǎng)關(guān),，則報頭部分的IP地址肯定會發(fā)生變化,，這時傳輸?shù)竭_(dá)IPSec隧道對端時，肯定不能通過AH認(rèn)證,，所以IPSec采用AH作為安全協(xié)議時是不支持NAT的,。但是ESP協(xié)議與AH協(xié)議不同，它無論是對IP報文進(jìn)行認(rèn)證保護(hù),，還是進(jìn)行加密保護(hù)都不會包括最外層IP報頭,，所以ESP報文經(jīng)過NAT網(wǎng)關(guān)時IP報頭部分發(fā)生IP地址改變不會導(dǎo)致在對端進(jìn)行ESP認(rèn)證、數(shù)據(jù)解密時失敗,，所以理論上來說采用ESP作為安全協(xié)議時是支持NAT的。

　　但是這里又涉及到一個非?，F(xiàn)實(shí)的問題,，無論是AH（IP協(xié)議號為51），還是ESP（IP協(xié)議號為50）協(xié)議其都是網(wǎng)絡(luò)層的協(xié)議,，它們發(fā)送的報文不會經(jīng)過上面的傳輸層協(xié)議封裝,。因此當(dāng)NAT網(wǎng)關(guān)背后存在多個ESP應(yīng)用端時（即實(shí)現(xiàn)多對一的地址映射時），也無法只根據(jù)IP地址進(jìn)行反向映射,，必須依靠傳輸層的UDP或TCP端口號,。此處通過借用UDP的方式，巧妙地實(shí)現(xiàn)了NAT地址復(fù)用,。此時要使用UDP 500端口（IKE協(xié)商協(xié)議ISAKMP所使用端口）來插入一個新的UDP報頭,。

　　IPSec NAT穿越簡單來說就是在原報文的IP報頭和ESP報頭間增加一個標(biāo)準(zhǔn)的UDP報頭。這樣,，當(dāng)ESP報文穿越NAT網(wǎng)關(guān)時,，NAT對該報文的外層IP報頭和增加的UDP報頭同時進(jìn)行地址和端口號轉(zhuǎn)換（把私網(wǎng)IP地址、端口號都轉(zhuǎn)換成公網(wǎng)）,；轉(zhuǎn)換后的報文到達(dá)IPSec隧道對端后,，與普通IPSec報文處理方式相同。

　　在IPSec NAT穿越應(yīng)用中，如果采用的是預(yù)共享密鑰或數(shù)字證書認(rèn)證方法,，則要同時在部署了NAT網(wǎng)關(guān)設(shè)備的這端IKE對等體配置中采用名稱類型標(biāo)識ID（即配置local-id-type fqdn命令）,，在發(fā)起方的IKE對等體配置中采用IP地址方式標(biāo)識對端ID。