NAT无法更新上层校验和，TCP和UDP报头包含一个校验和，它整合了源和目标IP地址和端口号的值。当NAT改变了某个包的IP地址和(或)端口号时，它通常要更新TCP或UDP校验和。当TCP或UDP校验和使用了ESP来加密时，它就无法更新这个校验和。由于地址

admin2012-03-08 56

问题 NAT无法更新上层校验和，TCP和UDP报头包含一个校验和，它整合了源和目标IP地址和端口号的值。当NAT改变了某个包的IP地址和(或)端口号时，它通常要更新TCP或UDP校验和。当TCP或UDP校验和使用了ESP来加密时，它就无法更新这个校验和。由于地址或端口已经被 NAT更改，目的地的校验和检验就会失败。虽然UDP校验和是可选的，但是TCP校验和却是必需的。应该如何解决?
无法改变IKEUDP端口号。IPSec的某些实现同时使用UDP端口500来作为源和目标UDP端口号。然而，对于一个位于NAT之后的IPSec对话方，NAT会改变初始IKE主模式包的源地址。根据具体的实现方式，来自500之外的其他端口的IKE流量可能会被丢弃。应该如何解决?

选项

答案解决办法：IPSec NAT-T对话方能够接受来自500之外的端口的IKE消息。此外，为了防止 IKE敏感(IKE-aware)的NAT修改IKE包，IPSec NAT-T对话方在主模式协商期间把IKE UDP端口500改为UDP端口4500。为了允许IKE流量使用这个新的UDP端口，您可能必须配置防火墙以允许UDP端口4500。

解析

转载请注明原文地址:https://kaotiyun.com/show/8JJZ777K

本试题收录于：网络工程师上午基础知识考试题库软考中级分类

网络工程师上午基础知识考试

软考中级

相关试题推荐

随机试题

最新回复(0)

网络工程师上午基础知识考试

软考中级

ASP内置对象中，(28)获取客户端通过浏览器向服务器发送的信息。

若文件系统允许不同用户的文件可以具有相同的文件名，则操作系统应采用(4)来实现。

目前，网络安全攻击事件主要来自(36)。

一台PC通过调制解调器与另一台PC进行数据通信，其中PC属于(1)，调制解调器属于(2)。调制解调器的数据传送方式为(3)。

关于SSL协议与SET协议的叙述，正确的是______。

Https是以安全为目标的Http通道，它通过在Http下加入______来实现安全传输。

SET电子支付模型中，采用(34)公钥算法，生成的数字摘要长度是(34)。(34)

WWWisalargenetworkofInternetserversproviding()andotherservicestoterminalsrunningclientapplicationssucha

FTP协议属于TCP／IP模型中的()。

管理心理学形成的理论准备包括()

一黄疸患者肝内胆管扩张，肝外胆管未显示，胆囊未充盈，其梗阻部位最可能为

根据会计法律制度的规定，下列各项中，单位出纳人员不得兼任的工作有()。

申请独立董事的任职资格，应当具备的条件有()。

关于筹建中的公司的法律地位表述正确的是()。

窗体中有图片框(Picture1)和计时器(Timer1)两个控件。程序运行时，将图片加载到图片框中，然后图片框以每秒一次的速度向窗体的右下角移动，每次向左、向右移动300twip。请在程序空白处填入适当内容使程序完整。PrivateSub

Manystudentsdonotliketostudyhistory(历史).Theysaythatthereare【41】manynamesanddatesto【42】.Butifwedonotkno