路由器的 VPN 穿透与 NAT-T

easy

现在的路由内，都具备了 VPN 穿透功能。该 VPN 穿透，不是说路由器创建了 VPN 隧道，而只是表示它允许其它终端所创建的 VPN 隧道通过它。

通过路由器的 VPN 隧道数目要视情况而定，如：

1. VPN 连接的目标网关不止一个，如下图所示：


上图中，是两个 VPN 连接通过了支持 VPN 穿透的路由器，再与各自的 VPN 网关建立 VPN 。

2. 所连接的 VPN 网关是否支持 NAT-T （即 NAT 穿越）穿透检测，即是否支持 NAT-T。比如下图这种情况：


在上图中，路由器后面有 3 台电脑同时向因特网中的一个 VPN 网关发起连接，而这些电脑在因特网中的公网 IP 是同一个，这是由于路由器的 NAT 功能将所有内网地址映射成为同一个公网 IP 地址。由此一来，因特网中的 VPN 网关就无法分辨这些电脑，会将所有来自他们的信息包都视为同一台电脑所发出。但如果 VPN 网关支持 NAT-T 的话，则可对来自同一网络的多台电脑进行识别，那么上述方案就可行了。


关于 NAT-T 的一段简介：

NAT穿越(NAT Traversal，NAT-T)
       Cisco IOS的版本在12.2(13)T以后，可以支持NAT-T技术。以前NAT和IPsec只能以1对1的形式共存，NAT-T打破了这种形式。而且NAT-T支持ESP的传输模式。NAT-T的基本思想：
    将ESP协议包封装到UDP包中（在原ESP协议的IP包头外添加新的IP头和UDP头）。使得NAT对待它就像对待一个普通的UDP包一样。而且支持ESP的传输模式。NAT-T的基本原理和执行步骤
1. 检测通信中是否存在NAT设备和对方是否支持NAT-TNC
2.检测对方是否支持NAT-T是通过交换vendor ID载荷来实现的，如果自身支持NAT-T，在IKE开始交互就要发送这种载荷，载荷内容是“RFC 3947”的MD5值，也就是十六进制的“4a131c81070358455c5728f20e95452f”