ＩＰＳｅｃ和ＮＡＴ協(xié)同工作的研究

摘要：網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）與網(wǎng)絡(luò)安全協(xié)議（IPSec）都是在因特網(wǎng)上得到廣泛應(yīng)用的優(yōu)秀技術(shù)，但由于目前IPSec和NAT技術(shù)的不兼容，使得這兩種優(yōu)秀的技術(shù)無(wú)法同時(shí)在網(wǎng)絡(luò)中并存。該文對(duì)IPSec和NAT協(xié)同工作的問題進(jìn)行了研究，指出NAT穿越方案的適用范圍，為合理構(gòu)建IPSec VPN提供了指導(dǎo)。

關(guān)鍵詞：IPSec；NAT；IKE；VPN；UDP封裝

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)33-1360-03

Research on Coordination Between IPSec and NAT

ZHANG Ai-ke

(Departmet of Information Engineering， Liuzhou VocationalTechnical College，Liuzhou 545006，China)

Abstract: Network Address Translation (NAT) and IP security protocol (IPSec) are outstanding technologies that are widely used in network. At present， because IPSec and NAT are incompatible， the technologies can not co-exist in network at the same time. This paper engages in the research upon the coordination between IPSec and NAT. points out the application scope of NAT-T so as to guide the optimum IPSec VPN implementation.

Key words: IPSec;NAT;IKE;VPN;UDP encapsulation

1 引言

IPSec與NAT是用來(lái)解決IPv4中網(wǎng)絡(luò)安全與IP地址短缺問題的兩項(xiàng)技術(shù)。IPSec是Internet工程任務(wù)組（IETF）制定的一系列安全標(biāo)準(zhǔn)[1]，已被確定為IPv6的必需組成部分，是下一代網(wǎng)絡(luò)的安全標(biāo)準(zhǔn)，它可以較好地解決目前Internet上面臨的安全威脅，有效地保證數(shù)據(jù)的安全傳輸。隨著Internet的不斷發(fā)展，采用IPSec技術(shù)實(shí)現(xiàn)利用互聯(lián)網(wǎng)建立VPN網(wǎng)絡(luò)，越來(lái)越被眾多大中型企業(yè)所青睞，IPSec已逐漸成為構(gòu)建VPN的主流技術(shù)。網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)[2] 在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部私有IP地址，通過(guò)NAT將每個(gè)從內(nèi)部網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包的私有地址翻譯成合法的公用IP地址在Internet上使用，支持多臺(tái)主機(jī)共享全局IP地址，常見于接入設(shè)備和防火墻中，能很好地解決IPv4網(wǎng)絡(luò)地址枯竭的問題，同時(shí)具有屏蔽內(nèi)部網(wǎng)絡(luò)的作用。

然而，在實(shí)際應(yīng)用中，IPSec技術(shù)和NAT技術(shù)存在嚴(yán)重的不兼容性，當(dāng)IPSec數(shù)據(jù)流穿越NAT設(shè)備時(shí)，兩者無(wú)法協(xié)同工作，已被廣泛使用的NAT設(shè)備制約著基于IPSec技術(shù)的VPN的發(fā)展。因此，IPSec和NAT兼容性方面的問題已成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)，尋求基于IPSec技術(shù)的VPN和現(xiàn)有的NAT設(shè)備和平共處，實(shí)現(xiàn)NAT透明穿越的解決方案已成為迫在眉睫的任務(wù)。

2 問題描述

由于IPSec對(duì)數(shù)據(jù)包進(jìn)行保護(hù)，對(duì)數(shù)據(jù)包的改動(dòng)會(huì)導(dǎo)致驗(yàn)證或解密過(guò)程的失敗。IPSec與NAT的兼容性沖突是多方面的，其中主要是由于IPSec數(shù)據(jù)包在穿越NAT時(shí)無(wú)法進(jìn)行正確轉(zhuǎn)換造成的。IPSec與NAT的不兼容性問題主要有以下幾個(gè)方面[3]：

1) IPSec AH和NAT：AH利用消息摘要算法對(duì)整個(gè)IP數(shù)據(jù)包產(chǎn)生一個(gè)散列值，該散列值的作用范圍是整個(gè)IP包，包括源IP地址和目的IP地址，接收方利用該散列值認(rèn)證收到的IP數(shù)據(jù)包。如果在發(fā)送過(guò)程中原始IP包的任何字段發(fā)生變化，都將會(huì)導(dǎo)致接收方的認(rèn)證失敗，接收方將丟棄該包。但NAT會(huì)對(duì)外出包的源地址和進(jìn)入包的目的地址進(jìn)行修改，AH認(rèn)為IP包被非法修改，從而導(dǎo)致認(rèn)證失效。ESP的完整性檢查不包括IP頭（傳輸模式），或者檢查的是不為NAT所修改的內(nèi)嵌IP協(xié)議頭（隧道模式），因此在ESP中不存在這樣的問題。

2) 校驗(yàn)和與NAT：TCP和UDP在計(jì)算校驗(yàn)和時(shí)使用了偽頭部，因而校驗(yàn)和與IP源和目的地址有依賴關(guān)系。因此，當(dāng)NAT設(shè)備改變IP地址后需要重新計(jì)算并修改TCP/UDP校驗(yàn)和。當(dāng)應(yīng)用了ESP傳輸模式的IP包經(jīng)過(guò)NAT設(shè)備時(shí)，由于TCP/UDP校驗(yàn)和處于加密負(fù)載之中，該值在在修改了外層IP包頭后無(wú)法被NAT進(jìn)行更新，這樣，雖然IPSec不會(huì)丟棄這個(gè)包，但是當(dāng)它被送往上層協(xié)議處理，在進(jìn)行校驗(yàn)和校驗(yàn)時(shí)會(huì)出錯(cuò)，這個(gè)包還是會(huì)被丟棄。ESP隧道模式可以和靜態(tài)或動(dòng)態(tài)NAT相兼容，因?yàn)門CP/UDP校驗(yàn)和只與內(nèi)層“原始”IP包頭有關(guān)，對(duì)于外層IP包頭的的修改并不對(duì)其造成影響。然而，在NAPT存在的情況下，AH和ESP都無(wú)法通過(guò)NAPT，NAPT需要TCP/UDP端口來(lái)匹配出入信包，上層端口信息對(duì)于NAT網(wǎng)關(guān)是不可知的，所以NAT網(wǎng)關(guān)無(wú)法完成多個(gè)私網(wǎng)地址映射到一個(gè)公網(wǎng)地址的變換。

3) IKE地址標(biāo)識(shí)符和NAT：在IKE協(xié)商中，通信雙方使用IP地址作為身份標(biāo)識(shí)符，而NAT設(shè)備對(duì)IP地址的修改會(huì)引起IP頭中的地址和標(biāo)識(shí)符不符，IKE會(huì)將這樣的包丟掉。

4) IKE固定的目標(biāo)端口和NAPT：IKE協(xié)商時(shí)的UDP通信端口號(hào)一般固定是500，而當(dāng)NAPT后面的多方主機(jī)向同一響應(yīng)者發(fā)起IKE SA時(shí)，NAPT需要通過(guò)不同的端口號(hào)區(qū)分不同的連接，因此，響應(yīng)者必須能夠接受非500UDP端口的IKE流量。

5) 重疊的SPD項(xiàng)和NAT：在IKE協(xié)商的第二階段中，NAT后的多個(gè)主機(jī)和相同響應(yīng)者協(xié)商SPD時(shí)會(huì)出現(xiàn)重疊，這樣，響應(yīng)者可能在錯(cuò)誤的IPSec SA下發(fā)送數(shù)據(jù)包。

6) IPSec SPI選擇符和NAT：IPSec ESP流量受加密保護(hù)，對(duì)NAT是透明的，NAT必須使用IP頭和IPSec頭來(lái)多路分解到來(lái)的IPSec信包，目的IP地址、安全協(xié)議（AH/ESP）、和SPI共同惟一標(biāo)識(shí)一個(gè)安全聯(lián)盟來(lái)達(dá)到這個(gè)目的。由于SA是單向的，外出和進(jìn)入包的SPI選取是獨(dú)立的，因此，僅通過(guò)監(jiān)測(cè)外出的流量，NAT無(wú)法決定哪個(gè)進(jìn)入的SPI和哪個(gè)目標(biāo)主機(jī)相對(duì)應(yīng)。

7) 內(nèi)嵌IP地址和NAT：當(dāng)內(nèi)嵌IP地址時(shí)，由于載荷受到完整性保護(hù)，IPSec包中的任何IP地址不能被NAT轉(zhuǎn)換。內(nèi)嵌IP地址的協(xié)議包括FTP、IRC、SNMP、LPAP、H.232、SIP和許多游戲協(xié)議。

除上述外，有些NAT的具體實(shí)現(xiàn)也存在不利于IPSec穿越的特點(diǎn)，例如：某些NAT供應(yīng)商的NAPT不能處理非UDP/TCP報(bào)文，拒絕通過(guò)ESP、AH報(bào)文；有些幫助解決兼容性問題的方法會(huì)引起新的不兼容性，如對(duì)端口500的特殊處理、對(duì)ISAKMP有效載荷進(jìn)行解析及ISAKMP頭部檢查等。

3 協(xié)同工作的方法

IPSec和NAT的兼容性方案的目的是擴(kuò)大IPSec的適用范圍。根據(jù)前面分析的IPSec與NAT之間存在的兼容性問題，以及評(píng)估一個(gè)解決方案的可配置性、可擴(kuò)展性、多模式支持能力、與防火墻的兼容性、遠(yuǎn)程通信能力、互操作性和安全性等原則[4]，下面來(lái)探討一些方法來(lái)解決IPSec和NAT協(xié)同工作的問題。

3.1 RSIP方法

RSIP是指在不同地址域通信的主機(jī)自己能處理跨越不同地址域的地址變換問題。它的工作機(jī)制[5]是：當(dāng)RSIP客戶機(jī)要聯(lián)系互聯(lián)網(wǎng)上主機(jī)的時(shí)候，它查詢RSIP服務(wù)器以便獲得一個(gè)端口號(hào)和公網(wǎng)IP地址。接著客戶機(jī)通過(guò)隧道將包發(fā)往RSIP服務(wù)器，RSIP服務(wù)器將隧道頭剝掉，然后將包發(fā)向互聯(lián)網(wǎng)。對(duì)于到達(dá)的包，RSIP服務(wù)器基于端口號(hào)查找客戶機(jī)IP地址，加入隧道頭，然后將它們發(fā)往RSIP客戶機(jī)。

RSIP網(wǎng)關(guān)是跨越在多個(gè)編址域的多宿主設(shè)備，允許主機(jī)直接參與到多個(gè)編址域中，并不對(duì)地址進(jìn)行翻譯，這樣盡管主機(jī)需要知道RSIP網(wǎng)關(guān)，但是卻沒有破壞Internet端到端的通信，應(yīng)用RSIP不需要修改源到目的地的IP載荷流，也就避免了對(duì)AH、ESP等協(xié)議的損傷。

RSIP技術(shù)的完全實(shí)現(xiàn)需要用新的RSIP網(wǎng)關(guān)代替現(xiàn)有的NAT路由設(shè)備，同時(shí)涉及對(duì)客戶機(jī)的修改、服務(wù)器的重新部署等問題，因此實(shí)施費(fèi)用相對(duì)較大，部署時(shí)間較長(zhǎng)，降低了該方案的可行性。

3.2 “6to4”方法

這種方法的基本原理[6]是：各個(gè)局部網(wǎng)絡(luò)運(yùn)行在IPv6上，在IPv6網(wǎng)絡(luò)邊界安裝NAT，NAT給主機(jī)提供IPv6地址前綴，這個(gè)地址前綴是NAT設(shè)備的IPv4 IP地址，當(dāng)IPv6的數(shù)據(jù)報(bào)到達(dá)NAT時(shí)，NAT提取IPv6的地址前綴作為IPv6數(shù)據(jù)報(bào)的IPv4隧道地址，NAT把IPv6數(shù)據(jù)包封裝在IPv4數(shù)據(jù)包中發(fā)送出去；在響應(yīng)方，相應(yīng)的NAT作IPv4隧道的解封，解封后的數(shù)據(jù)包在局部網(wǎng)絡(luò)中用IPv6協(xié)議進(jìn)行路由。在各個(gè)VPN保護(hù)的子網(wǎng)中是基于IPv6協(xié)議通信的。

這種方法很好地考慮了將來(lái)整個(gè)網(wǎng)絡(luò)升級(jí)到IPv6的情況，同時(shí)它需要的支持也很少。

但這種方式要求對(duì)NAT進(jìn)行修改，現(xiàn)在NAT的分布已非常廣泛，而且很多NAT設(shè)備部署在公司、機(jī)構(gòu)無(wú)法控制的地方，例如：ISP部署NAT在它的接入服務(wù)器上。因此，實(shí)施這種方式的費(fèi)用較高，短期內(nèi)難以實(shí)現(xiàn)。

3.3 專用NAT方法

其基本思想是：在VPN網(wǎng)關(guān)接收到數(shù)據(jù)包時(shí)作一次該網(wǎng)關(guān)專用的NAT，將通信鏈路中作了NAT的數(shù)據(jù)包根據(jù)策略配置恢復(fù)沒有NAT時(shí)的IP地址或端口，當(dāng)數(shù)據(jù)包通過(guò)網(wǎng)關(guān)到達(dá)目的地時(shí)，與通信鏈路中沒有NAT時(shí)的數(shù)據(jù)包一樣。通過(guò)這種方式來(lái)解決IPSec與NAT兼容性問題的關(guān)鍵是：在雙方初始通信時(shí)確定NAT的存在，把經(jīng)過(guò)NAT的數(shù)據(jù)包和系統(tǒng)策略配置中的連接相聯(lián)系起來(lái)，為通信雙方的后續(xù)通信建立地址、策略綁定，維持這個(gè)連接的狀態(tài)，后續(xù)的通信根據(jù)連接狀態(tài)作NAT。

這種處理方式將內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)暴露給了通信對(duì)方的網(wǎng)關(guān)，通信鏈路中的竊聽者也能得到這部分信息，并且每個(gè)客戶端都必須安裝有這個(gè)解決方案的實(shí)現(xiàn)。專用NAT沒有正式文檔描述，在已有的幾個(gè)產(chǎn)品中可以見到，如e-Border Solution provided by Permeo Technologies，Inc。目前沒有提供也沒有實(shí)現(xiàn)這種方案的系統(tǒng)之間的兼容性。

3.4 UDP封裝方法

UDP封裝法[7]是IETF提出的一種用于IPSec穿越NAT的解決方案，基本思想是：由發(fā)送主機(jī)在發(fā)送前將IPSec數(shù)據(jù)包封裝在UDP中，到達(dá)接收方后再去掉外面的IP頭以及UDP封裝，從而使其中的IPSec數(shù)據(jù)包不受影響。ESP協(xié)議在傳輸模式和隧道模式下UDP封裝格式分別如圖1、圖2所示。

圖1 ESP傳輸模式UDP封裝數(shù)據(jù)格式變化圖

圖2 ESP隧道模式UDP封裝數(shù)據(jù)格式變化圖

UDP封裝法的實(shí)現(xiàn)需要對(duì)IKE協(xié)商進(jìn)行改進(jìn)來(lái)配合。

1) IKE協(xié)商第一階段

在這一階段中需要完成兩種探測(cè)：探測(cè)對(duì)方是否支持NAT穿越（NAT-T）；探測(cè)在通信路徑中是否存在NAT設(shè)備。在IKE第一階段的前兩條交換消息中，發(fā)送“廠商ID載荷”，如果對(duì)方支持NAT，那么它就能識(shí)別此載荷，因?yàn)樗敿?xì)描述了對(duì)NAT穿越的支持。然后在主模式的第三個(gè)和第四個(gè)交換消息或者野蠻模式的第二個(gè)和第三個(gè)交換消息中，增加載荷NAT-D（NAT-Discovery），載荷的值是源或者目的地址和端口號(hào)的HASH值，計(jì)算如下：

HASH=HASH（CK-I│CK-R│IP│Port）

其中CK-I，CK-R分別是發(fā)送方和接收方的Cookie值。當(dāng)對(duì)方收到NAT-D載荷后，計(jì)算地址和端口的HASH值，如果與收到的相同，則表示它們之間沒有NAT，否則表明鏈路中有NAT設(shè)備對(duì)它做了改變。如果發(fā)送者不能確定自己的IP地址，它可以在報(bào)文中包含多個(gè)本地IP地址的HASH值，僅當(dāng)所有的HASH值均不匹配時(shí)，才表明有NA設(shè)備存在。

一些NAT設(shè)備不改變?cè)炊丝?00，即使NAT后面有多個(gè)客戶機(jī)。這些NAT設(shè)備通過(guò)Cookie值而不是端口來(lái)完成與后面多個(gè)客戶機(jī)的映射，這樣，IKE很難發(fā)現(xiàn)NAT設(shè)備的兼容性能力。最好的方法是發(fā)現(xiàn)存在NAT設(shè)備后，把IKE傳輸從端口500上移走。一般在NAT設(shè)備被探測(cè)到后，發(fā)起者必須立刻將UDP的源端口和目的端口都設(shè)置為4500。這樣會(huì)出現(xiàn)一個(gè)問題：IKE協(xié)商數(shù)據(jù)包（UDP數(shù)據(jù)包）和協(xié)商完成后的UDP封裝ESP數(shù)據(jù)包使用相同的端口4500進(jìn)行發(fā)送，為了區(qū)分出這兩種數(shù)據(jù)包，在IKE數(shù)據(jù)包的UDP頭和IKE頭之間添加四字節(jié)的Non-ESP標(biāo)志，與UDP封裝的ESP包中的SPI域?qū)R，且值為全零。封裝后的IKE包和ESP包的格式[8]如圖3所示。

圖3UDP封裝后IKE包和ESP包的區(qū)別

2) IKE協(xié)商第二階段

如果在第一階段發(fā)現(xiàn)有NAT設(shè)備存在，IKE的第二階段協(xié)商SA時(shí)就作相應(yīng)的變化：添加兩種新的模式：UDP封裝隧道模式和UDP封裝傳輸模式；增加NAT-OA以發(fā)送發(fā)起者的原始IP地址，以修正因NAT變換后的TCP/UDP校驗(yàn)和；位于NAT后面的IPSec發(fā)起方定期發(fā)送保持激活報(bào)文（keep alive），用以保持所建立的NAT映射不變。

該方案不需要對(duì)IKE或IPSec協(xié)議本身做任何的改動(dòng)，只需要對(duì)IKE的實(shí)現(xiàn)做一些小的改進(jìn)，該方法只依賴于NAT對(duì)UDP的支持，所以可以與絕大多數(shù)的NAT設(shè)備一起協(xié)同工作，具有簡(jiǎn)單且易于實(shí)現(xiàn)的優(yōu)點(diǎn)，在總體上對(duì)NAT穿越問題有了較好的解決。但是，該方案的缺點(diǎn)也很明顯：不支持AH協(xié)議，增加了載荷長(zhǎng)度，延長(zhǎng)了IKE協(xié)商SA的時(shí)間，無(wú)法實(shí)現(xiàn)NAT后多主機(jī)發(fā)起通信，泄漏了內(nèi)網(wǎng)地址信息等。盡管如此，IETF提出的UDP封裝法及在它基礎(chǔ)上進(jìn)行的各種改進(jìn)，仍然是目前解決IPSec與NAT兼容性問題的主流技術(shù)。

3.5 TCP封裝方法

使用UDP協(xié)議的好處在于傳輸數(shù)據(jù)比較快，UDP協(xié)議在傳輸小數(shù)據(jù)量時(shí)確實(shí)比TCP協(xié)議有更好的效率。但是，當(dāng)需要傳輸?shù)臄?shù)據(jù)量比較大（如使用數(shù)字證書進(jìn)行身份認(rèn)證和密鑰協(xié)商）時(shí)，UDP協(xié)議數(shù)據(jù)容易失序和丟失；在一個(gè)噪音比較大，數(shù)據(jù)失真比較多，容易受干擾的網(wǎng)絡(luò)環(huán)境（如無(wú)線網(wǎng)絡(luò)）中，往往造成數(shù)據(jù)的大量失真。出現(xiàn)這些情況時(shí)，需要上層協(xié)議對(duì)UDP數(shù)據(jù)包進(jìn)行重新排序或重傳等操作，由此造成的效率損失往往比較大，在此我們可以考慮使用TCP協(xié)議進(jìn)行密鑰協(xié)商。TCP協(xié)議能夠很好地處理數(shù)據(jù)報(bào)的失序和丟失問題，在大數(shù)據(jù)量傳輸時(shí)也有很好的表現(xiàn)。TCP協(xié)議在建立過(guò)程和拆除過(guò)程中的數(shù)據(jù)交換所造成的效率損失并不比UDP協(xié)議處理時(shí)的損失大。

在實(shí)際的應(yīng)用環(huán)境中，使用UDP封裝會(huì)遇到以下的復(fù)雜情況：UDP數(shù)據(jù)屬于上層數(shù)據(jù)，如果長(zhǎng)度比較大，IP層會(huì)對(duì)此數(shù)據(jù)進(jìn)行分片，先由IPSec協(xié)議對(duì)此分片數(shù)據(jù)進(jìn)行封裝，再由UDP協(xié)議進(jìn)行二次封裝以穿越NAT；到達(dá)目的地后拆除UDP的二次封裝，需要再由IP層對(duì)分片數(shù)據(jù)進(jìn)行重組。假如其中UDP二次封裝的一個(gè)數(shù)據(jù)報(bào)丟失，那么整個(gè)UDP數(shù)據(jù)報(bào)都需要重新發(fā)送而不是只發(fā)送丟失的數(shù)據(jù)分片。這將造成整個(gè)通信效率明顯下降。在此我們可以考慮使用TCP協(xié)議對(duì)IPSec數(shù)據(jù)包進(jìn)行二次封裝。TCP協(xié)議不會(huì)造成數(shù)據(jù)的失序和丟失，TCP協(xié)議會(huì)自動(dòng)重新發(fā)送丟失的數(shù)據(jù)報(bào)而不是全部業(yè)務(wù)數(shù)據(jù)重新發(fā)送。此時(shí)使用TCP不會(huì)造成明顯的效率降低，而是更好地提供了數(shù)據(jù)的傳輸服務(wù)。

以上分析的雖然是復(fù)雜的情形，但VPN通信是面向廣域網(wǎng)的安全傳輸需求，它相比局域網(wǎng)環(huán)境中的通信要復(fù)雜得多，在實(shí)際應(yīng)用中各種情況都可能出現(xiàn)，所以用TCP代替UDP對(duì)IPSec數(shù)據(jù)包進(jìn)行封裝以穿越NAT設(shè)備的考慮是具有現(xiàn)實(shí)意義的。

4 結(jié)束語(yǔ)

基于IPSec的VPN技術(shù)和NAT技術(shù)都是充滿前途和廣泛被使用的網(wǎng)絡(luò)技術(shù)，解決IPSec和NAT的協(xié)同工作問題，對(duì)于部署VPN具有重要的意義。該文在詳細(xì)分析了影響IPSec和NAT無(wú)法兼容的原因后，提出了實(shí)現(xiàn)NAT穿越幾種方法，其中詳細(xì)介紹了比較適用于目前網(wǎng)絡(luò)環(huán)境的UDP封裝法，并提出了用TCP封裝IPSec數(shù)據(jù)包的設(shè)想，下一步的研究工作就是在此基礎(chǔ)上進(jìn)一步深入加以完善。

參考文獻(xiàn)：

[1] Naganand Doraswamy.IPSec新一代因特網(wǎng)安全標(biāo)準(zhǔn)[M].北京:機(jī)械工業(yè)出版社，1998.

[2] RFC-1631-1994.The IP Network Address Translator (NAT) [S].

[3] 譚興烈，張世雄.IPSec和NAT協(xié)同工作技術(shù)研究[J].計(jì)算機(jī)工程與應(yīng)用，2003(12):I64-165.

[4] 李孝展，潘金貴.IPSec與NAT兼容性問題及其解決方案剖析[J].計(jì)算機(jī)應(yīng)用與軟件，2007，24(2):161-163.

[5] RFC-3103-2001.M.Borella， D.Grabelsky ，J Lo，K.Taniguchi. Ream Specific IP:Protocol Specification( RSIP)[S].

[6] RFC-3056-2001.B.Carpente and K.Moore.Connection of IPv6 Domains via IPv4 Clouds[S].

[7] RFC-3984-2005. A. Huttunen， W. Dixon， V. Volpe. UDPEncapsulation of IPsec Packets[S].

[8] 肖玲，周軍，肖慶.IPSec與NAT不兼容性討論與改進(jìn)[J].信息技術(shù)與信息化，2007(2):66-68.