1、IPSec的标准身份标识则是IP地址,由于Nat处理会改变IP地址,因此IPSec的身份确认机制必须适应IP地址变化,最好的办法是使用字符串作为身份标识;
3、通过数字证书方式确认身份,IKE身份确认通过数字证书体系检验对方身份真伪,由于数字证书中的身份信息并没有IP信息,所以可以穿透Nat;
5、IPSec通过UDP封装穿越Nat:ESP穿越Nat其实很简单,通过借用UDP的方式,巧妙地实现了NAT地址复用;响应方收到协议报文时发现发起菱诎逭幂方经过nat设备,源地址与通告地址不一致,则采用udp封堵,若没源地址就是公网地址则原生态封装模式;
6、如果要使用名字作为身份标识,那么IKE协商就必须要使用特殊方式野蛮模式。
