编者按：如今，IPsec VPN和NAT网络地址转换的应用已经十分广泛了，不过，这两者之间却冲突不断，如何解决这个冲突问题呢？
　　
　　
　　IPsec VPN和NAT网络地址转换的应用非常广泛，但是要使它们运行在一起，却不是一件容易的事。从IP的角度来看，NAT对IP的低层进行了修改，对IP是一种背叛；而从应用的角度来看，网络管理人员必须要处理网络地址的问题，NAT使用户可以采取多种方式把自己的网络和主机对外部公共网络隐藏起来，是一种好的工具，现在，无论是大企业还是中小企业都在使用它。
　　
　　与NAT类似，IPsec也是一种好工具，它使用户可以安全地通过Internet联接到远程终端。然而，由于IPsec协议架构本身以及缺乏支持IPsec的NAT设备，当IPsec和NAT在一起运行时就会出现很多问题。因此，要解决两者共存的问题，就必须对IPsec和NAT有一定的了解。
　　
一. IPsec与NAT的基本环境介绍

　　NAT(network address translate)，是针对地址短缺和隐藏网络拓扑问题而将一块地址映射到另一个或另一块地址或端口的解决方案，通常是将内部私有地址转换为全球公有地址，一般位于网络边缘的路由器和防火墙设备都支持这种功能．它有两种映射方式，一种是私有地址对公有地址间的一对一或多对一映射，另一种是多个私有地址到一个公有地址和其端口间的映射，叫做NAPT。
　　
　　IPSec(IP Security Protocol)是保证企业网资源安全的一种技术。使用IPSec技术，可透过公共网络搭建企业Intranet 和Extranet，有效地降低了网络建设和运营的成本，具有广泛的应用前景。IPSec通过在IP层上实现了加密、认证等多种安全技术，极大地提高了TCP/IP协议的安全性。相比于其他技术，由于IPSec整个协议在IP层上实现，上层应用可不必进行任何修改，加上IPSec在实现安全策略上的灵活性，使得IPSec的通用性更好，实施效率更高，后期维护工作量和成本更低，从而广泛应用于路由器以及安全网关上。
　　
　　IPSec提供了两种安全机制：认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被窃听。IPSec 协议组包含Authentication Header（AH）协议、Encapsulating Security Payload（ESP）协议和Internet Key Exchange（IKE）协议。
● Authentication Header（AH）协议结构：

AH协议为IP通信提供数据源认证、数据完整性和反重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报头。AH报头位置在IP报头和传输层协议报头之间，见下图：
    
● Encapsulating Security Payload（ESP）协议结构：ESP为IP数据包提供完整性检查、认证和加密，可以看作是"超级 AH"， 因为它提供机密性并可防止篡改。ESP可以单独使用，也可以和AH结合使用。一般ESP不对整个数据包加密，而是只加密IP包的有效载荷部分，不包括IP头。但在端对端的隧道通信中，ESP需要对整个数据包加密。ESP报头如下所示：
　　
●Internet Key Exchange Protocol（IKE）协议结构：Internet 密钥交换 (IKE) 协议是 IPsec 安全关联（SA）在协商它们的保护套件和交换签名或加密密钥时所遵循的机制。IKE 定义了双方交流策略信息的方式和构建并交换身份验证消息的方式。IKE 是由另外三种协议（ISAKMP：Internet安全关联和密钥管理协议、Oakley 和 SKEME）混合而成的一种协议。IKE使用了两个阶段的ISAKMP：第一阶段，协商创建一个通信信道（IKE SA），并对该信道进行验证，为双方进一步的IKE通信提供机密性、消息完整性以及消息源验证服务；第二阶段，使用已建立的IKE SA建立IPsec SA。