IPsec与NAT和平共处的解决之道

　　 现在，网络安全和网络地址转换的应用已经十分广泛。单就其中任何一种技术来说，都是很不错的。如何将两个好技术共用但又使它们相安无事,是很多人正在思考的问题。

　　网络安全IPsec(IP Security)和网络地址转换NAT（Net Address Translation）应用已经十分广泛了，但是要使它们运行在一起，却不是一件容易的事。从IP的角度来看，NAT对IP的低层进行了修改，对IP是一种背叛；而从应用的角度来看，网络管理人员必须要处理网络地址的问题，NAT使用户可以采取多种方式把自己的网络和主机对外部公共网络隐藏起来，是一种好的工具，现在，无论是大企业还是中小企业都在使用它。与NAT类似，IPsec也是一种好工具，它使用户可以安全地通过Internet联接到远程终端。然而，由于IPsec协议架构本身以及缺乏支持IPsec的NAT设备，当IPsec和NAT在一起运行时就会出现很多问题。解决这些问题最简单的办法，就是再增加一个路由器来运行NAT和虚拟专用网VPN。可是，对于多数情况来说并没有多余的路由器来执行这一功能，因此，要解决两者共存的问题，就必须对IPsec和NAT有一定的了解。

　　■NAT的基本原理和类型

　　NAT能解决令人头痛的IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的IP地址来替换。

　　NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这意味着给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微不足道的。