Когда IPSEC настроен с обходом NAT, приемник дважды вычисляет контрольные суммы (т.е. сначала для внешнего UDP-заголовка, а затем для инкапсулированного пакета ESP (TCP или UDP)? да, откуда он получает «исходный» источник ip и порт?Проверка NAT, контрольная сумма заголовка IPSEC и TCP/UDP
Да. Пакет cleartext со своим исходным IP-адресом источника зашифрован/инкапсулирован в пакет ESP. Этот зашифрованный пакет инкапсулирован в UDP (порт 4500 с включенным NAT-трафиком) датаграмма. Внутренний «исходный» пакет не подвергается вмешательству и поэтому нуждается в переоценке, когда он добирается до места назначения. Часть данных внешнего пакета может также быть вздорным для устройства шифрования (это точка шифрования), поэтому было бы невозможно оценить его до того, как он был dec rypted.
Так что, более точно, если «приемник» является пунктом назначения исходного пакета, только один раз проверяет контрольную сумму для пакета. Устройство конечной точки (маршрутизатор/брандмауэр), выполняющее enc (ryption/apsulation), будет проверять внешний пакет один раз.
спасибо ... как насчет маршрутизатора/межсетевого экрана, где туннель IPSEC завершается. Означает ли это, что контрольная сумма дважды или только для внешнего пакета? – user2896215