NAT穿越（NAT-T）

• NAT-T技術在IKE協商階段通過探測報文來發現是否有NAT的存在；
• 如果建立ipsec v*n的兩端，其中發起端（撥號端）位於NAT後面（例如：二級運營商、出差人員位於賓館內網、防火牆前面有其他安全裝置、防火牆或者專業v*n裝置放置於出口路由器後面且路由器配置了NAT）時，由於資料在傳輸過程中IP地址和埠發生了轉換，導致ipsec資料完整性校驗失敗。此時可以採用NAT穿越技術（一般預設開啟，不用做額外配置）增加新的UDP埠包頭，是的ipsec資料校驗正常，進而是的v*n執行正常；
• AH封裝模式（不常用）：校驗IP和埠，無法支援NAT穿越；
• ESP封裝模式：僅僅校驗埠和data，支援NAT穿越
  • IPSec NAT穿越原理：NAT-T技術在ESP封裝和外層IP包頭之間插入8個位元組的UDP報文頭，埠號為4500；
  •