当IPSEC配置NAT遍历时,接收方是否计算两次校验和(即首先是外部UDP报头,然后是ESP封装的数据包(TCP或UDP)?如果是,它在哪里得到&#34 ;原始"源ip和端口来自?
答案 0 :(得分:0)
是。具有其原始源IP头的明文分组被加密/封装在ESP分组中。此加密数据包封装在UDP(启用了NAT遍历的端口4500)数据报中。内部'原创'数据包未被篡改,因此需要在到达目的地时重新进行评估。外部数据包的数据部分对于加密设备也可能是无意义的(这是加密点),因此在解密之前不可能对其进行评估。
更准确地说,假设接收器'是原始数据包的目标,仅验证数据包的校验和一次。执行enc(ryption / apsulation)的端点设备(路由器/防火墙)将检查外部数据包一次。