NAT Traversal
NAT Traversalを使用すると、同一のNAT装置配下の複数のIPsec通信を区別して扱うことができます。
概要
NAT Traversalは、装置間の通信にNATが介在する環境においてIPsecを不自由なく使用するための拡張機能です。
NAT装置配下からIPsec通信を行う装置が1つのみであれば、静的NAT(IPsecパススルー)によりIPsec通信が可能な場合があります(NATの実装に依存)が、 同一のNAT装置配下に複数のIPsec通信を行う装置がある場合には、NAT Traversal機能の適用が必要です。
IPsecのESPパケットをさらにUDPでカプセル化することでNAT環境下でのセッションの識別・維持を実現するのが基本原理です。 そのために、セキュリティアソシエーションの始点及び終点を、IPアドレスのみでなく、カプセル化する際のUDPポート番号を含めた、 アドレス及びポート番号のペアとして扱うよう拡張されています。(show statusコマンドによる参照結果にも反映されます)
想定する用途
- スター型のIPsec-VPN構成において、子拠点側がNAT装置配下に設置される構成(ポリシーベースIPsecのトンネルモード)
- L2TP/IPsecによるリモートアクセスサーバとして動作する際に、クライアント端末がNAT装置配下から接続する構成(PPPACのL2TP/IPsec)
注:制約
- イニシエータ側(クライアント側)がNAT装置配下となる構成を想定
- レスポンダー側(サーバ側)がNAT装置配下となる場合、静的NAT等の設定が必要となり、その実装に依存することになります。
- イニシエータとレスポンダーの両方がNAT配下となる構成には対応していません。
- NAT TraversalはIKEの使用が必須
- IKEの拡張により実装しており、接続先のNAT Traversal対応の有無やNAT装置の存在確認を行い、必要な場合のみNAT Traversalを適用します。
- AHは使用できない
- NATによりIPヘッダが書き換えられることが前提となるため、IPヘッダの改ざんを検知する仕組みであるAHとの併用はできません。
- ルーティングベースIPsec利用時は、IPv4かつフロートリンク併用時のみ適用可能
- ポリシーベースIPsec利用時はトンネルモードのみ適用可能
- トランスポートモードを使用すると、同一NAT配下の複数のIPsec装置のそれぞれのセッションを区別できません。
- L2TP/IPsecではトランスポートモードを使用しますが、本制約には該当しません。