当前位置:文档之家 › IPSec与NAT协同工作的一种解决方案

IPSec与NAT协同工作的一种解决方案

  • 格式:pdf
  • 大小:181.84 KB
  • 文档页数:4

下载文档原格式

  / 4

合集下载

NAT_T实现IPSEC穿越NAT的全面分析

NAT_T实现IPSEC穿越NAT的全面分析

502005.8网络安全网络安全技术与应用0 引言IPSEC作为网络实时通信的安全协议,已经成为INTERNET的实际安全标准;而NAT也有效解决了目前IPV4地址的严重不足。

当IPSEC数据包穿越NAT设备时,会产生严重的兼容性问题。

NAT-T(NAT-Traversal)是目前较为流行的一种解决两者兼容性问题的方案,并越来越被广泛采用。

1 IPSEC、NAT工作原理1.1 IPSECIPSEC是IETF制定的保障INTERNET通信安全的标准。

该标准主要由安全协议AH(Authentication)和ESP(EncapsulatingSecurity Payload),密钥交换协议IKE(Internet Key Exchange)两大部份组成。

为在Internet上进行数据通讯的用户提供加密、数据完整性、认证IP报文及防止重放攻击等安全服务。

IPSEC规范定义了两种保护通信数据包的模式:传输模式(Transport Mode):在数据包的IP报头和其余部分之间插入IPSEC信息。

图1 传输模式隧道模式(Tunnel Mode):保留原有的IP数据包,然后在数据包外面封装新的IP报头和IPSEC信息。

图2 隧道模式1.2 NAT(Network Address Translation)NAT是为了缓解日益紧张的Internet公网地址匮乏的问题,而采用的一种将内部私有网络IP地址映射为外部公网IP地址的技术标准。

主要可以划分为静态NAT,动态NAT和网络地址端口转换NAPT三种类型。

其基本工作原理(以NAPT为例)为:NAT设备接受内部主机的数据包,将该包的内部IP地址和TCP/UDP端口号转换为自身的公网IP地址和特定的端口号,然后将数据包送往目标主机;同时,将此映射关系存表。

当NAT收到目标主机的应答后,查表,修改目标主机的IP地址和端口号并回送给相应的客户端。

2 IPSEC、NAT的兼容性问题IPSEC和NAT的设计思想存在矛盾。

基于TCP封装的IPSec和NAT协同方案

基于TCP封装的IPSec和NAT协同方案
广 泛 的 应 用 , 成 有 IS c 能 的设 备 则 被 称 为 安 全 网关 。 集 Pe功 网络 地 址 翻 译 (e okadest nlin NA )是 针 对 nt r drs r s t , T w a ao I 4地 址 短 缺 的 问题 提 出 的 一 种 解 决 方 案 。 通 过 维 护 N T P v 它 A 表 将 私 有 网络 地 址 空 间 的私 有 地 址 和 端 口号 转 换成 公有 网络 的 全 局 I 址 和 端 口号 , 而 隐 藏 了 内部 网络 地 址 信 息 。 P地 从
Ab ta t Co a b l y b t e P e n sr c: mp t i t e we n I S ca dNAT i t de , a d t ee it g s lt n ih a ema ea c mp rs n Ba e n t e i i su id n x s n o u i st wh c r d o a o 、 s h i o o i sdo h c s fUDP e c p u a i n a s c o ui n b e CP e c p u a i n i p tf r r d T e c s ih u e a y k n so ewo k aeo n a s lto , e  ̄e s l t a d T n a s lt s u o wa , h a e wh c s sm n i d f t r o s o n
(ol e f l t nc eh o g, P AIfr t n n ier g nvri, Z e gh u 50 4 C ia C l g e r i Tcn l y L oma o gne n iesy h n zo 0 0 , h ) e oE co o n i E i U t 4 n

IPSec及其NAT兼容解决方案

IPSec及其NAT兼容解决方案

行U P D 封装。为了定位安全关联,有必要将主机 自
安 参 索 I 全 数 引S) 序 号P 列(
初始化 量 (V 。 句 I)
TPUP C /D 头
’ 。 t


身的I地址一同进行封装, P 因此封装格式如图4 所示。
要保护的数据

源端口 长度
J l
所示 。
置始包 Βιβλιοθήκη NT A技术是IT 组织制定的标准 , 目的是通过 EF 其
地址重用,以缓解 I地址枯竭,以及减小路由表大 P
小 。具体来 说就 是 :N T 一组 非法 的 内部地址 通过 A将
地址翻译,映射成为一组 ( 或一个) 合法的外部地址, 在It nt n r 上使用:N P 将一组网络地址映射成为一 ee AT 个I ent n re t 地址,并将原数据包的TP UP端 口号映 C /D 射为新数据包的T PU P C / D 端口号,来达到地址复用 的目的。从Iv 向Iv P4 P 6的过渡不是一朝一夕能够
有限的抗重播等安全服务 ,而通道方式下的E P将 S
维普资讯
电大理 工
总第 29期 2
整个 数据包封装在内部, 因而提供 了~定的流量保
密服务。E P S 头结构如图3 所示。
O 7 l 5 2 3 3 l
3 ISe A 兼容解决方案 P e的N T 通过分析N T A 的通讯方式 , Sc i e 的结构及标准, P 种可行的方案是按照数据封装的思想,对数据进
数据 机密 性 、完整性 、不 可否 认 、数据起 源认 证及
ISc P eui ) P e( cry协议是IT 提 出的一系列安 IS t EF 全标准,是在网络层对数据分组提供加密解密及安 全鉴别等服务 数据源鉴别,保证数据的发送者是 实际希望与之通信的对方;数据完整性 ,保证数据 没有在传输 的过程中被篡改;信息保密 ,保证数据 在传输过程 中不被偷看;不可否认服务,保证发送

IPSec与NAT穿越:解决地址转换对安全的影响

IPSec与NAT穿越:解决地址转换对安全的影响

IPSec与NAT穿越:解决地址转换对安全的影响导言随着互联网的不断发展,网络安全问题日益成为人们关注的焦点。

网络地址转换(Network Address Translation,NAT)作为一种常见的网络技术,用于解决IPv4地址不足的问题。

然而,传统的NAT技术却给网络安全带来了一定的影响。

本文将介绍IPSec与NAT的结合,以解决地址转换对安全性的潜在威胁。

一、IPSec基础知识IPSec是一种用于保护IP网络通信安全的协议套件。

它提供了认证、加密和完整性保护等机制,可以有效地保护数据的传输过程。

然而,当网络中存在NAT设备时,IPSec面临着一些挑战。

由于NAT会改变IP数据包的源地址和目的地址,IPSec的原始加密和认证机制会受到影响,造成通信失败或降低安全性。

二、传统NAT的问题传统NAT将私有IP地址转换为公共IP地址,以实现多个主机共享一个公网IP地址。

然而,这种地址转换会破坏IPSec协议的数据完整性和安全性,导致通信失败或被攻击者利用。

原因在于,传统NAT对IP数据包进行了修改,使得其在传输过程中被修改的部分无法通过IPSec的认证机制。

三、NAT穿越的原理为了解决IPSec与NAT的兼容性问题,研究人员提出了NAT穿越(NAT traversal)的方法。

NAT穿越利用各种技术手段,确保IPSec流量能够在经过NAT设备时保持其完整性和安全性。

其中,使用UDP封装(UDP encapsulation)是最常见的方法之一。

该方法通过将IPSec数据包封装在UDP数据包中,使其在经过NAT设备时能够正确识别和处理。

四、IPSec与NAT穿越的应用IPSec与NAT穿越的应用场景广泛。

例如,远程访问VPN(Virtual Private Network)是一种常见的应用。

在传统的VPN中,当用户位于私有网络内部时,若要访问公共网络,需要经过NAT设备。

IPSec与NAT穿越为VPN的使用提供了便利,使得用户可以安全地跨越NAT设备,实现远程访问。

NAT与IPSec协议兼容性问题及解决方案_祝芝梅

NAT与IPSec协议兼容性问题及解决方案_祝芝梅

收稿日期:2003-09-15作者简介:祝芝梅(1979-),女,浙江江山人,硕士研究生,主要研究方向:计算机信息网络安全; 李之棠(1951-),男,湖北监利人,教授,博士生导师,博士,主要研究方向:光互连并行计算机体系结构、计算机信息网络安全.文章编号:1001-9081(2004)03-0027-04NAT 与IPSec 协议兼容性问题及解决方案祝芝梅,李之棠(华中科技大学计算机学院,湖北武汉430074)(zzm connie@)摘 要:概要介绍了IPSec 协议和网络地址转换(NAT )协议的基本原理,着重介绍了IPSec 协议与NAT 协议所存在的矛盾,最后介绍了采用UDP 封装方式实现IPSec 报文穿越NAT 的完整方案。

关键词:IPSec;网络地址转换(NAT);IKE;RSIP;U DP 封装;NAT 穿越中图分类号:TP393 文献标识码:ANAT and IPSec Protocol Compatibility Problem and SolutionZHU Zh-i mei,LI Zh-i tang(School of Comp uter Science and T echnology ,H uaz hong Univer sity of Science and T echnology ,W uhan H ubei 430074,China)Abstract:T his art icle introduces the basic theory of IPSec and network address transform (NA T )pr otocol at first,then introduces the conflict betw een IPSec and NA T protocol;at last,ex plains the way to solve this conflict IP Sec N AT -traversal by U DP encapsulation.Key words:IPSec;NA T ;I KE;RSIP ;U DP encapsulation;NA T -traversal IPSec 作为IP 层的安全协议,为I P 包提供了身份验证和机密性保护,加上安全的Internet 密钥交换协议(IKE),就构成了整个IP 层次上的安全体系。

IPSec和NAT工作模式的冲突和解决办法

IPSec和NAT工作模式的冲突和解决办法

不错的。

如何将两个好技术共用但又使它们相安无事,是很多人正在思考的问题。

网络安全IPsec(IP Security)和网络地址转换NAT(Net Address Translation)应用已经十分广泛了,但是要使它们运行在一起,却不是一件容易的事。

从IP的角度来看,NAT对IP的低层进行了修改,对IP是一种背叛;而从应用的角度来看,网络管理人员必须要处理网络地址的问题,NAT使用户可以采取多种方式把自己的网络和主机对外部公共网络隐藏起来,是一种好的工具,现在,无论是大企业还是中小企业都在使用它。

与NAT类似,IPsec也是一种好工具,它使用户可以安全地通过Internet联接到远程终端。

然而,由于IPsec协议架构本身以及缺乏支持IPsec的NAT设备,当IPsec和NAT在一起运行时就会出现很多问题。

解决这些问题最简单的办法,就是再增加一个路由器来运行NAT和虚拟专用网VPN。

可是,对于多数情况来说并没有多余的路由器来执行这一功能,因此,要解决两者共存的问题,就必须对IPsec和NAT 有一定的了解。

NAT的基本原理和类型NAT能解决令人头痛的IP地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。

它解决问题的办法是:在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址在Internet上使用,其具体的做法是把IP包内的地址域用合法的IP地址来替换。

NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。

NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去。

每个包在NAT设备中都被翻译成正确的IP地址,发往下一级,这意味着给处理器带来了一定的负担。

但对于一般的网络来说,这种负担是微不足道的。

NAT有三种类型:静态NAT、动态地址NAT、网络地址端口转换NAPT。

其中静态NAT 设置起来最为简单,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。

通过 NAT 使用 IPSec

与通过NAT 使用IPSec 相关的问题与通过NAT 使用IPSec 相关的问题如下:•N AT 无法更新上层校验和。

TCP 和UDP 报头包含一个校验和,它整合了源和目标IP 地址和端口号的值。

当NAT 改变了某个包的IP 地址和(或)端口号时,它通常要更新TCP 或UDP 校验和。

当TCP 或UDP 校验和使用了ESP 来加密时,它就无法更新这个校验和。

由于地址或端口已经被NAT 更改,目的地的校验和检验就会失败。

虽然UDP 校验和是可选的,但是TCP 校验和却是必需的。

•N AT 无法多路传输IPSec 数据流。

ESP 保护的IPSec 流量没有包含可见的TCP 或UDP 报头。

ESP 报头位于IP 报头和加密的TCP 或UDP 报头之间,并且使用IP 协议号50。

因此,TCP 或UDP 端口号就无法将流量多路传输到不同的专用网主机。

ESP 报头包含一个名为Security Parameters Index(安全参数索引,SPI)的字段。

SPI 与明文(plaintext)IP报头中的目标IP 地址和IPSec 安全协议(ESP 或AH)结合起来用于识别IPSec 安全关联(SA)。

对于到NAT 的传入流量,目标IP 地址必须映射到一个专用IP 地址。

对于NAT 专用端的多个IPSec 对话方,多个IPSec ESP 数据流的传入流量的目标IP 地址是同一个地址。

为了将一个IPSec ESP 数据流与另一个区分开,目标IP 地址和SPI 必须得到跟踪并映射到某个专用目标IP 地址和SPI。

由于SPI 是一个32 位的数字,多个专用网客户端使用相同SPI 值的概率很低。

问题在于,您很难确定哪个传出SPI 值对应于哪个传入SPI 值。

NAT 无法映射SPI,因为ESP尾部包含一个消息验证散列码(hashed message authentication code,HMAC),它检验ESP 协议数据单元(PDU)的完整性(ESP PDU 包含ESP 报头、ESP 有效载荷和ESP 尾部),SPI 无法在HMAC 值失效之前改变。

在局域网中IPSec与NAT冲突的解决方法

维普资讯
饭 是技 术
20 年( 07 第 簋) 期j 第3
ቤተ መጻሕፍቲ ባይዱ
在 局 域 网 中 I S c与 NAT 冲 突 的 解 凑 聱 P e
霍 静
( 天水师范学院 数理与信 息科 学学院, 甘肃 天水
攮耍 : Sc I e 主要是 通过对整个 I 文进行加密和认证 , P P报 防止 外部对 I P头信息的访问来提供安 全服务 , NA 而 T要 访 问或者修 改 I 文 的 头 信 息 。 局 域 网 内 用 户如 何 让 IScNA 协 调 工 P报 P e、 T 作 , 文提 出了一种解 决方案 , 本 该方案主要 是在数据报 文应 用完 ISc 议 之 后 增加 一 个 外 部 头 , 个 外部 头 可 以 方便 NA 处 理 P e协 这 T 又不与 ISc P e 产生冲突, 实现 了两者的协调工作。 关键调 : S c N T A E P I e A H P S
N T 为了适应 I 地址越 来越紧缺而产生 的一种协议 , A 是 P 它 可 以让多个使用 内部地址的主机共 同使用一个外部地址与外界 交互 , 也就是数 据包 中的私有 地址修改 可路 由的全局 地址 后发送出去 , 这样可以隐蔽 内部地址信息 , 内网的一种f ̄o 是对 i , t NT A 有两种基本 的工作方式 , 第一种方式是把一个私有地址转换 成一个全局地址 , 这种转换可以事先设定好私有地址和全 局地址 的一一对应关 系 , 也可 以在需要 的时候 , 根据调度规则从存有 全 局地址的地址池 中临时分配 , 进行动态转换 。第二种方式 是将私 有地址和 T PU P 口 C /D 端 号转换 成一 个全 局地址 , 中 T P D 其 CF P O 端 口号就可用于主机的唯一标识符号 , 这种方式允许多个私有地 址对应一个全局地址 。 是一对多 的关系。 从上所述 可知 , A N T工作 的时候不仅要 改动数 据包 中的 地址 , 还要修改 传输层 的端 口号 , 除此 之外 , 还要重 新计算校验

IPSec与NAT穿越:解决地址转换对安全的影响(六)

IPSec与NAT穿越:解决地址转换对安全的影响概述:在当前网络环境下,网络地址转换(NAT)在实现地址共享和节省IPv4地址资源方面具有重要作用。

然而,NAT也带来了安全方面的隐患,尤其是对于建立虚拟专用网络(VPN)的安全通信。

为了解决这一问题,IPSec协议被用于在穿越NAT的情况下确保VPN的安全性。

1. NAT的背景和安全风险NAT是一种通过替换网络数据包中的源IP地址和/或目的IP地址来实现多个主机共享单个公网IP地址的技术。

然而,NAT也带来了一些安全风险。

其中之一是与传输协议相关的问题,特别是在使用VPN进行远程访问和通信时。

2. IPSec的介绍IPSec(Internet Protocol Security)是一种网络安全协议套件,用于确保Internet上数据的安全性和完整性。

IPSec提供了数据机密性、身份验证和完整性保护。

它可以在IP层对数据进行加密和解密,同时使用密钥交换协议(IKE)进行认证和建立虚拟专用网络隧道。

3. IPSec与NAT的挑战由于NAT修改了IP包中的源IP地址和/或目的IP地址,传统的IPSec协议在穿越NAT时无法正常工作。

这是因为IPSec中使用的IP地址信息和端口信息与NAT所修改的不一致,导致IPSec认证失败或通信中断。

4. NAT穿越技术和解决方案为了解决NAT对IPSec的影响,一些穿越NAT的技术和解决方案被提出。

这些方案包括:- NAT Traversal (NAT-T):通过使用UDP封装IPSec报文,使其能够穿越NAT,并在NAT后面建立VPN隧道。

- IKEv2的MOBIKE(IKEv2 Mobility and Multihoming Protocol):允许IPSec VPN客户端在动态地址情况下自动更新和切换传输地址。

- STUN(Simple Traversal of UDP over NATs):通过使用中间服务器解决NAT穿越问题,并通过STUN协议传输UDP流量。

IPSec和NAT兼容性研究及解决方案

A sr c :N t r d rs t n l o ( T tc n lg n S c e h oo yae d l u e eit n to a . H w v r te b ta t e wo ka d e s r s tr NA ) e h oo ya d P e c n lg r wie sdi t e e td y o e e, h a a I t y nh n r
i it d c da rt te eic mp t i t e e nte i a ay e eal T e lu il ou in ,RSP a dUDP e c p s nr u e t s, h nt o ai l b t e m n ls di d ti o i f h n bi y w h s n . h nt pa sbes lt s wo o I n n a —
s l in a ei to u e . Af rc mp i g t e et op o o a s t e lt rp o o  ̄ i a fa i l d p o s g c d d t o r s l et e u a o n d c d t r r t o a n s e r h w r p s l, h at r p s s e sb ea r mii a i a et e o v e n n n h
I S ca dNAT c mp t i t r b e a d s l t n P e n o ai l yp o lm n ou i b i o
W A Ya —i ZHAN G n — i g N n l , Yo gp n , LI n Da
(co l f o ue S i c n eh oo y hn iesyo nn dT cn lg,X z o 0 , hn ) Sh o o mp t ce e dTc n lg ,C ia v r t f iga eh ooy u h u 2 8 C ia C r n a Un i Mi n 21 0
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
摘 要 :n re 网络 层 安 全协 议 IS C和 网 络 地 址 协 议 N T不 兼 容 , 严 重 限 制 了 IS C 的应 用 范 围 。 解 决 It n t e PE A 这 PE 的 方 法 必 须是 既 能 使 IS C数 据 流 穿 越 N T, 不 必 修 改 路 由器 和 N T 部 署 方 便 。 本 文 分 析 了现 有 解 决 方 PE A 又 A ,
关键 词 : 因特 网安全协议 ; 网络地址转换 ; 用户数据 ; 据传输 数
中 图 分 类 号 :P 9 .8 T 3 30 文 献 标 识 码 : A
0 前 言
目前 , 因特 网安全 协议 (P e ) 和 网络 地 址 转换 ( A 在全 球 范 围 的互 联 网环 境 中已经 得 到 IS c N T)
址 被 更 改 为 原 始T设 备 的 透 明 穿 越 。该 方 案 通 过 P地 保 P地 了 Pe A 对 IS c 议 的扩 展 , 效 地 支 持 了 ISc数 据 流 传 输 路 径 中 的 N T转 换 。 Pe协 有 Pe A
了广 泛 的应用 。
ISc 为 一种通 用 、 准 、 Pe 作 标 完整 的网络 层 安全体 系 结构 , 互联 网提 供 了 一个 很 好 的 安全 机 制 。 为 ISc 用强 的密码 认证 和加 密算 法 向 Itre上 的数 据通 信提供 安 全保证 , I 以上 所 有的高 层协 Pe 使 ne t n 为 P层
1 I S c与 NA 的 冲 突分 析 P e T
IS c P e 协议 的 目的是保 证数 据传 输 的安 全性 , 防止信 息泄露 , 样导 致 N T无法 访 问到所 需 要 的 地 这 A 址和 端 口信 息 。IS c P e 协议 要求 对数 据包 进 行认 证 , 止在传输 中被篡 改 , N T对 包 头 的地址 和 端 口 防 而 A
号字 段 的修 改将 视 为非法 , 终导 致数 据包 被 丢弃 。N T和 IS c 间 的兼容 性 问题 主要表 现在 : 最 A Pe 之
( )P e H 与 N T的不 兼 容 。 由于 A 1 IS cA A H头 部 将 I P源地 址 和 目标 地址 包 含在 完整 性 校 验 中 , 则 N T或 反 向 N T设备 对地 址域 的 改变会 使 消 息 的完 整 性校验 失败 , A A 导致 IS c 认证 失败 的包 丢弃 ; Pe 将
() 2 校验 和 与 N T的不 兼容 性 。T P U P在 计 算 校验 和 时 使用 了伪 头 部 , A C/ D 因而 与 I 址 有 依 赖 P地
关 系 , 据包 经 过 N T后 , 数 A 需要 重新 计算 并 修 改校验 和 。但 是 ISc封 装 的 I 据包 被 加 密 以保 证 其 Pe P数
口号进 行 修 改 , 种修 改使 得 N T和 IS c 这 A P e 在诸 多 方面 都不 能兼 容 , 二者 无 法 良好 地 协 同工 作 , 已经
严重 地 限制 了 N T和 IS c的应 用 。 A Pe
本 文详 细讨 论 了 IS e N T之 间 的 冲突 表 现 , 当前 流 行 的两 种 解 决 思 想 : SP代 替 N T和 Pe 和 A 对 RI A U P封装 进 行探 讨 分析 , 出其局 限性 ; 基 于 U P的封装 方案 进行 改进 , D 指 对 D 即对包 含 I P的整个 IS c数 Pe 据包 进行 封 装 , 有效 地解决 了 IS c和 N T的兼容 。 Pe A
案 的 局 限 性 , IT ( 特 网 工 程 任 务 组 ) 出 的 基 于 U P封 装 的 IS c 越 N T方 案 进 行 了改 进 , 出 了 对 EF 因 提 D Pe 穿 A 提

种新 的封装格式 , 即封 装 整 个 ISc数 据 报 , 主 机 自身 的 I 址 一 同进 行 封 装 , 过 U P封 装 后 , 源 地 Pe 将 P地 经 D 其
议 和 应用 提供 一致 的安 全保 护 , 网络安 全 特别 是虚 拟专 用 网( P 领 域 中起 着 重要 作用 。而 N T通 在 V N) A 过将 局 域 网上 的主机 地址 映射 为 It n t 的合法 I ne e 上 r P地址 , 而实 现 网络地 址复 用 , 从 有效 地解决 了 Iv P4 地址 匮 乏 的 问题 ; 还可 以通过 I 它 P隐藏 (P m surd ) 保 护 内网 的网络 结构 等 信息 。 I aq ea e 来
维普资讯
第2 9卷 第 4期
20 0 8年 8月
河 南 科 技 大 学 学 报 :自 然 科 学 版
J u n lo n n Un v ri fS in e a d T c n lg : t r lS in e o r a fHe a ie st o c e c n e h oo y Na u a ce c y
Vo . 9 NO 4 12 . Aug . 2 8 00
文章 编号 :6 2—6 7 ( 0 8 0 0 6 0 17 8 1 2 0 )4— 0 5— 4
IS c与 N T协 同工作 的一 种 解 决 方 案 e P A
刘 庆 华 , 邓 伟 林
( 作 大 学 信 息 工 程 学 院 , 南 焦 作 4 40 ) 焦 河 5 0 3
但 在 ISc通 信实 体之 间存 在 N T设 备 的情况 下 , Sc通 信 将不 可 能 正 常 进 行 。这是 由于 N T Pe A I e P A 技术 改 变 I 的源端 地址 , 网络 地址 端 口转换 ( A T 更 是要 对 T P或用 户 数据报 协议 ( D ) P包 而 N P) C U P 源端