IPsec

如果两个网络设备(例如,客户端和服务器)之间的通信使用IPsec协议,艾克通信(通过UDP)使用端口字段,但封装安全有效负载(ESP)通信不使用端口字段。如果路径上的NAT设备将相同的NAT IP地址(但不同的端口)分配给同一目标的两个或多个客户端,则NAT设备无法区分和正确路由返回的ESP流量不包含端口信息。因此,在NAT设备上IPsec ESP通信失败。

支持NAT遍历(NAT-T)的IPsec端点检测艾克阶段1期间是否存在中间NAT设备,并切换到UDP端口4500,用于所有后续艾克和ESP流量(在UDP中封装ESP)。如果没有对等IPsec端点上的NAT-T支持,IPsec受保护的ESP流量在不进行任何UDP封装的情况下进行传输。因此,在NAT设备上IPsec ESP通信失败。

Citrix ADC设备支持用于大型NAT配置的IPsec应用程序层网关(ALG)功能。IPsec ALG处理IPsec ESP流量并维护会话信息,以便当IPsec端点不支持NAT-T (ESP流量的UDP封装)时,流量不会失败。

IPsec

IPsec ALG监视客户端和服务器之间的艾克流量,并且在任何给定时间只允许客户端和服务器之间进行一次艾克第2阶段消息交换。

一旦收到特定流的双向ESP数据包,IPsec ALG会为此特定流创建NAT会话,以便后续ESP流量能够顺利流动。(spi)、(spi)、(spi)、(spi)。IPsec ALG、ESP、SPI等。

如果一个门没有接到任何交通，它会超时。【中文】、【中文】、【中文】、【中文】

IPsec ALG

Citrix ADC:

• 尤指。如果客户端与服务器之间没有交换双向ESP通信、Citrix ADC设备在给定服务器的特定NAT IP地址上阻止特定客户端的IPsec ALG门的最长时间。
• 很好。如果该会话没有艾克流量,Citrix ADC设备在删除艾克会话信息之前保留该会话信息的最长时间。
• (尤指。如果该会话没有ESP流量,Citrix ADC设备在删除ESP会话信息之前保留ESP会话信息的最长时间。

【翻译

【翻译】:

• 【翻译】
• IPsec ALG。
• 【翻译】
• IPsec ALG, RNAT, RNAT。
• Citrix ADC

配置步骤

http://www.citrix ADC: http://www.citrix ADC: http://www.citrix ADC: http://www.citrix

• ◆◆◆◆◆◆◆◆配置应用程序配置文件时设置以下参数：
  • udp
  • 【翻译
  • 端口= 500

LSN LSN【中文翻译LSN。

• gb / t1686.7 - 1994。IPsec配置文件包括各种IPsec超时,例如艾克会话超时,特别是会话超时和ESP门超时。【中文翻译】IPsec ALG
  • 60分
  • = 60分
  • = 30 μ g
• 将IPsec ALG、LSN、LSN。当您将IPsec ALG配置文件绑定到LSN配置时,为LSN配置启用IPsec ALG。通过将IPsec ALG配置文件设置为LSN组中创建的配置文件的名称,将IPsec ALG配置文件绑定到LSN配置。IPsec ALG配置文件可以绑定到多个LSN组,但一个LSN组只能有一个IPsec ALG配置文件。

中文:http://www.lsn.cn/cn/

在命令提示符下，键入：

add lsn appsprofile  UDP -ippooling PAIRED show lsn appsprofile 

http://www.qqqq.com http://www.qqqq.com

在命令提示符下，键入：

绑定LSN appsprofile   show LSN appsprofile 

【中文译文】:LSN

在命令提示符下，键入：

绑定LSN组 -appsprofilename  show LSN组

CLI、gi、gi、gi

在命令提示符下，键入：

add ipsecalg profile  [-ikeSessionTimeout ] [-espSessionTimeout ] [-espGateTimeout ] [-connfailover (ENABLED | DISABLED) show ipsecalg profile  

http://www.lsn http://www.lsn http://www.lsn http://www.lsn http://www.lsn http://www.lsn http://www.lsn

在命令提示符下，键入：

bind lsn group  -poolname  - ipsecAlgProfile  show lsn group  

GUI、GUI、GUI、GUI、GUI、GUI

导航到“系统“>”微博”>“配置文件”，单击“应用程序“LSN”，“LSN”。

GUI**

导航到“系统“>”微博“>”配置文件”，单击“IPSEC ALG【中文翻译】

GUI**

1. 导航到系统>微博>LSN组【翻译】
2. 在高级设置中，单击+ IPsec ALG【中文翻译】

示例配置

在以下示例大型NAT44配置中,为192.0.2.0/24网络中的订阅者启用IPsec ALG。IPsec ALG配置文件IPSEALGProfile-1具有各种IPsec超时设置,并绑定到LSN组LSN-1。

示例配置：

添加lsn客户机LSN-CLIENT-1做绑定lsn客户机LSN-CLIENT-1网络192.0.2.0子网掩码255.255.255.0完成添加lsn池LSN-POOL-1做绑定lsn池LSN-POOL-1 203.0.113.3-203.0.113.9完成添加lsn appsprofile LSN-APPSPROFILE-1 UDP -ippooling配对完成绑定lsn appsprofile LSN-APPSPROFILE-1 500完成添加ipsecalg概要IPSECALGPROFILE-1 -ikeSessionTimeout 45 -espSessionTimeout 40 -espGateTimeout 20 -connfailover启用完成绑定lsn集团LSN-GROUP-1 -appsprofilename LSN-APPSPROFILE-1完成bind lsn group LSN-GROUP-1 -poolname LSN-POOL-1 Done bind lsn group LSN-GROUP-1 - ipsecAlgProfile IPSECALGPROFILE-1 Done