NAT无法更新上层校验和，TCP和UDP报头包含一个校验和，它整合了源和目标IP地址和端口号的值。当NAT改变了某个包的IP地址和(或)端口号时，它通常要更新TCP或UDP校验和。当TCP或UDP校验和使用了ESP来加密时，它就无法更新这个校验和。由于地址

admin2012-03-08 33

问题 NAT无法更新上层校验和，TCP和UDP报头包含一个校验和，它整合了源和目标IP地址和端口号的值。当NAT改变了某个包的IP地址和(或)端口号时，它通常要更新TCP或UDP校验和。当TCP或UDP校验和使用了ESP来加密时，它就无法更新这个校验和。由于地址或端口已经被 NAT更改，目的地的校验和检验就会失败。虽然UDP校验和是可选的，但是TCP校验和却是必需的。应该如何解决?
无法改变IKEUDP端口号。IPSec的某些实现同时使用UDP端口500来作为源和目标UDP端口号。然而，对于一个位于NAT之后的IPSec对话方，NAT会改变初始IKE主模式包的源地址。根据具体的实现方式，来自500之外的其他端口的IKE流量可能会被丢弃。应该如何解决?

选项

答案解决办法：IPSec NAT-T对话方能够接受来自500之外的端口的IKE消息。此外，为了防止 IKE敏感(IKE-aware)的NAT修改IKE包，IPSec NAT-T对话方在主模式协商期间把IKE UDP端口500改为UDP端口4500。为了允许IKE流量使用这个新的UDP端口，您可能必须配置防火墙以允许UDP端口4500。

解析

转载请注明原文地址:https://kaotiyun.com/show/8JJZ777K

本试题收录于：网络工程师上午基础知识考试题库软考中级分类

网络工程师上午基础知识考试

软考中级

相关试题推荐

随机试题

最新回复(0)

网络工程师上午基础知识考试

软考中级

应用系统的安全风险涉及很多方面，以下属于数据库服务器安全风险的是(38)。

以下关于数据仓库的描述，正确的是(20)。

黑盒测试工具主要包括()。

简述两种安全协议：SSL与SET。

试述软件配置管理的任务。

简述电子商务系统日常维护工作。

阐述数据挖掘的功能。

在数字签名的使用过程中，发送者使用()对数字摘要进行加密，即生成了数字签名。

一个B类IP地址的子网掩码是255．255．224．0，则该IP的网络可以划分的子网数为(54)________。

RS-232C是(46)之间的接口标准，它规定的电平的表示方式为(47)。当使用RS-232C连接相关设备时，电缆的长度不应超过(48)m。当用RS-232C直接连接两台计算机时，采用零调制解调器方式，其连接方式为(49)。当计算机需要通过相连的M

“风水恶风，一身悉肿，脉浮不渴，续自汗出，无大热”者，当用()

What’smoreimportanttoyou,money,acomfortablelife,orself-respect?Manypeoplebelievethatwearelivinginanagewher

Haveagoodrest,youneedto______yourenergyforthetennismatchthisafternoon.

有关外周静脉法DSA图像的描述，错误的是

A．新的药品不良反应B．药品严重不良反应C．可疑药品不良反应D．药品不良反应E．罕见药品不良反应药品说明书中未载明的不良反应是

通过创设情境使学生提出假设，然后验证假设并做出结论的教学策略是()

以下属于扁平苔藓的病理表现的有()。

国家垄断资本主义的产生，是垄断资本主义生产关系在自身范围内的部分质变，标志着资本主义发展进入新的阶段。国家垄断资本主义发展的基础是

IttookUS.alongtimetomendthehouse.

【B1】【B11】