IPSec穿越NAT IPSec ×××有两种封装格式，一种是AH，一种是ESP，AH由于包含对数据包源目IP进行完整性校验，Nat是绝对不能部署的，否则，目的端在收到数据包由于完整性校验失败，而丢弃该数据包，而ESP可以部署Nat，却不能部署PAT，因为该数据包没有传输层报头，无法进行端口转化 ...

子标题：ipsec rekey是否会导致丢包 author: classic_tong 前言 什么叫rekey。 rekey是指ipsec的通信两端定期更换加密信道秘钥的机制。 为了安全性考虑，随着秘钥使用时间的延迟，对称秘钥被破解的可能性会逐渐增大。所以，定期更换 对称秘钥，是保证 ...

前言 接上篇：[ipsec][crypto] 有点不同的数字证书到底是什么 本篇内容主要是上一篇内容的延伸。抽象的从概念上理解了证书是什么之后，我们接下来 从实践的角度出发，以IKEv2和TLS两个协议为例子，熟悉一下数字证书认证在协议上的实现。 author: classic_tong ...

6.1.1、Ikev1协商 6.1.2、IPSec加密协商 6.2、野蛮模式 7、IPsec穿越NAT ...

　　刚接触IPSec的时候，一直很奇怪，为什么要做两阶段的协商？先协商出来一个IKE SA，然后再IKE SA的基础上协商出来一个IPSec SA。直接一步到位协商出IPSec SA不是很好吗？但是在实际应用中，直接协商IPSec SA就显得不是那么有效率了。打个比方，某公司A有个子公司B ...

IKE/IPSec 属于网络层安全协议，保护 IP 及上层的协议安全。自上个世纪末面世以来，关于这两个协议的研究、应用，已经非常成熟。协议本身，也在不断地进化。仅以 IKE 为例，其对应的 RFC 编号从 RFC 2407/2408/2409 演化成 RFC 4306，再演化为 RFC 5996 ...

早在2005年，为解决国内办公室访问香港邮件服务器时连接被随机中断而产生大量重复邮件的问题，我们在香港IDC机房的NetScreen防火墙上部署了IPsec VPN服务器，国内员工电脑上安装VPN客户端软件，在发送邮件前先VPN拨号，虽然麻烦，但成功解决了问题。到了2007年，公司在Nasdaq ...

英语：Internet Protocol Security，缩写为IPsec），是一个协议包，通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族 IPsec主要由以下 协议组成： 一、认证头（AH），为 IP数据报提供无连接 数据完整性、 消息认证以及防 ...