NAT无法更新上层校验和，TCP和UDP报头包含一个校验和，它整合了源和目标IP地址和端口号的值。当NAT改变了某个包的IP地址和(或)端口号时，它通常要更新TCP或UDP校验和。当TCP或UDP校验和使用了ESP来加密时，它就无法更新这个校验和。由于地址

admin2012-03-08 54

问题 NAT无法更新上层校验和，TCP和UDP报头包含一个校验和，它整合了源和目标IP地址和端口号的值。当NAT改变了某个包的IP地址和(或)端口号时，它通常要更新TCP或UDP校验和。当TCP或UDP校验和使用了ESP来加密时，它就无法更新这个校验和。由于地址或端口已经被 NAT更改，目的地的校验和检验就会失败。虽然UDP校验和是可选的，但是TCP校验和却是必需的。应该如何解决?
NAT无法多路传输IPSec数据流。ESP保护的IPSec流量没有包含可见的TCP或UDP报头。 ESP报头位于IP报头和加密的TCP或UDP报头之间，并且使用IP协议号50。因此，TCP或UDP端口号就无法将流量多路传输到不同的专用网主机。ESP报头包含一个名为Security Parameters Index(安全参数索引，SPI)的字段。SPI与明文(plaintext)IP报头中的目标IP地址和IPSec安全协议(ESP或AH)结合起来用于识别IPSec安全关联(SA)。应该如何解决?

选项

答案解决办法：通过使用UDP报头封装ESPPDU，NAT能够使用UDP端口来多路传输IPSec数据流。跟踪ESP报头中的SPI就不再必要了。

解析

转载请注明原文地址:https://kaotiyun.com/show/yJJZ777K

本试题收录于：网络工程师上午基础知识考试题库软考中级分类

网络工程师上午基础知识考试

软考中级

相关试题推荐

随机试题

最新回复(0)

网络工程师上午基础知识考试

软考中级

网络营销的方法有多种，其中(44)是基于用户自愿加入、自由退出的原则，通过为用户提供有价值的信息获取用户的信任，从而实现营销的目的。

ASP内置对象中，(28)获取客户端通过浏览器向服务器发送的信息。

(31)屏蔽各种平台及协议之间的特性，实现分布式系统中跨平台数据传输。

关于在I/O设备与主机间交换数据的叙述，(4)是错误的。

简述加密支付系统模型。

()防火墙对用户完全透明。

Fordatatransmissiontobesuccessful，sendingandreceivingdevicesmustfollowasetofcommunicationrulesfortheexchangeo

某公司原有一个C类IP的局域网，现单位组织机构调整，分为5个部门，要求采用子网划分的方式将原有网络分为5个子网，则每个子网中最多可容纳主机数量为_____________。

分配给某公司网络的地址块是220．17．192．0／20，该网络被划分为(1)个C类子网，不属于该公司网络的子网地址是(2)。(2)

对于Excel工作表间的单元引用，下面叙述中正确的是_______。

关于正常人肺动脉压(PAP)值，正确的是

关于化生的叙述，下列错误的是

患者，女，60岁。诊断为“有机磷农药中毒”，已经给予洗胃等处理，遵医嘱给予阿托品药物治疗。当患者出现下列哪种情况时应及时通知医师给予停药

根据Arrhenius指数定律设计和计算镝灯是实验常用光源

()负责受理短期融资券的发行注册。

-1，0，4，22，()

Theyearwhichprecededmyfather’sdeathmadegreatchangeinmylife.IhadbeenlivinginNewJersey,workingindefenseplan

In2009,Pfizerpaid$301millionsettleallegationsbytheJustice1.______DepartmentthatcompanyrepresentativesmarketedGe