基于Dynamips平台的IPSEC与NAT技术合成研究.pdf

基于Dynamips平台的IPSEC与NAT技术合成研究 1 1 1 1 1 1,2 1 李 旸 ，张斌 ，周全 ，黄标 ，刘建中 ，严小燕 ，汪泉 1) 安徽农业大学计算机系，安徽 合肥 230036 2) 巢湖学院计算机系 ，安徽 巢湖 238000 E-mail （lyand@ ） 摘要：网络安全协议(IPSec)和网络地址转换(NAT)是当前的热点网络技术。然而由于二者功 能上的矛盾，IPSec和NAT之间的冲突一直存在。本研究分析了IETF提出的UDP封装方案， 并在基于Dynamips仿真平台上，利用Cisco高级路由交换镜像设计方案，实现了IPsec报文对 NAT设备的透明穿越。该方案有效地支持了IPSec数据流传输路径中的NAT 转换，从而促使 IPSec和NAT合成，为进一步的IPSec与NAT 的协议合成一体化研究提供了实验依据。 关键字：NAT ；IPSec；Dynamips仿真；技术合成 1. 引言 供保护和密钥管理(IKE)两个部分．对数据 包提供保护功能的协议包括为IP头进行保 1.1 NAT 及 IPSec 产生背景及原理 护的认证头协议(AH)和对载荷提供保护的 许多局域网的 IP 地址分配不符合 封装载荷协议(ESP) ．IPSec 的工作模式分为 Internet 的国际标准，而且随着Internet 的膨胀 传输模式和隧道模式两种，分别对载荷部分 式发展，其可用的 IP 地址越来越少。 和整个IP包进行保护． NAT(network address translate)——网络地 1.2 Dynamips 仿真软件平台说明 【 】 址转换 1 ，是针对地址短缺和隐藏网络拓 Dynamips 是一款基于硬件的思科路由 扑问题而将一块地址映射到另一个或另一 【 】【 】 模拟器 3 4 ，通过加载真实的Cisco IOS， 块地址或端口的解决方案，将内部私有地址 实验效果和真实的环境几乎一样。所以通过 转换为全球公有地址。NAT功能通常被集成 对Dynamips 的熟练使用，可以方便的对路由 到路由器、防火墙、ISDN路由器或者单独 实验进行练习，也可以对工程进行测试。 的NAT设备中。NAT设备维护一个状态表， Dynamips不仅可以模拟出Cisco 7200系列路 用来把非法的IP地址映射到合法的IP地址 由器，还可以模拟Cisco 3600系列交换机， 上去，每个包在NAT设备中都被翻译成正确 防火墙PIX等。 【 】 的IP地址发往下一级 2 。 IPSec是一组开放网络安全协议，提供 2、IPSec 与 NAT 冲突 包括访问控制、无连接的完整性、数据源认 IPSec协