NAT无法更新上层校验和，TCP和UDP报头包含一个校验和，它整合了源和目标IP地址和端口号的值。当NAT改变了某个包的IP地址和(或)端口号时，它通常要更新TCP或UDP校验和。当TCP或UDP校验和使用了ESP来加密时，它就无法更新这个校验和。由于地址

admin2012-03-08 63

问题 NAT无法更新上层校验和，TCP和UDP报头包含一个校验和，它整合了源和目标IP地址和端口号的值。当NAT改变了某个包的IP地址和(或)端口号时，它通常要更新TCP或UDP校验和。当TCP或UDP校验和使用了ESP来加密时，它就无法更新这个校验和。由于地址或端口已经被 NAT更改，目的地的校验和检验就会失败。虽然UDP校验和是可选的，但是TCP校验和却是必需的。应该如何解决?
无法改变IKEUDP端口号。IPSec的某些实现同时使用UDP端口500来作为源和目标UDP端口号。然而，对于一个位于NAT之后的IPSec对话方，NAT会改变初始IKE主模式包的源地址。根据具体的实现方式，来自500之外的其他端口的IKE流量可能会被丢弃。应该如何解决?

选项

答案解决办法：IPSec NAT-T对话方能够接受来自500之外的端口的IKE消息。此外，为了防止 IKE敏感(IKE-aware)的NAT修改IKE包，IPSec NAT-T对话方在主模式协商期间把IKE UDP端口500改为UDP端口4500。为了允许IKE流量使用这个新的UDP端口，您可能必须配置防火墙以允许UDP端口4500。

解析

转载请注明原文地址:https://www.kaotiyun.com/show/8JJZ777K

本试题收录于：网络工程师上午基础知识考试题库软考中级分类

网络工程师上午基础知识考试

软考中级

相关试题推荐

随机试题

最新回复(0)

网络工程师上午基础知识考试

软考中级

下面关于EDI的描述，错误的是(20)。

供应链管理系统的作用是通过(49)之间的信息共享，来提高企业的预测能力及对市场的反应能力。

下面对决策支持系统DSS的说法错误的是哪一项?()

简述IP地址表示的点分十进制法。

网络营销中，常使用在线调查表进行市场调查。下面不属于在线调查表设计中应注意的问题是()。

完整性用来保持信息的()。

在面向对象技术中，多态有多种不同的形式，其中(1)和(2)称为通用多态，(3)和强制多态称为特定多态。

消息中间件______。

以下关于SET协议的叙述，正确的是()。

票据付款人在付款时应当审查()

A．7天B．4周C．6周D．7周胃溃疡治疗疗程至少

根据FIDIC施工合同条件，缺陷通知期的起算日期是()。

债券的发行人包括()。[2015年9月真题]I．中央政府；Ⅱ．地方政府；Ⅲ．金融机构；Ⅳ．公司；V．企业。

下列关于市场经济与商品经济相互关系的表述中，正确的是()。

苏格拉底的教育方法称为产婆术。()

简述教师的情绪对课堂气氛的影响。

有如下程序：#includeusingnamespacestd;classInstrument{public:virtualvoidDisplay()=0;};classPiano:publicInstrument{

富贵