z/OS® Communications Server は、RFC 3947、3948、および 5996 で定義されるように NAT トラバーサルをサポートします。それらの RFC では、IPSec を 1 つ以上の NAT デバイスでトラバース可能にするメカニズムを定義しています。 RFC 前のドラフトを使用して NAT トラバーサルを実装しているプラットフォームは、RFC 3947、3948、および 5996 に準拠した実装との相互運用性を備えていない場合があります。
- RFC 3947「Negotiation of NAT-Traversal in the IKE」には、1 つ以上の NAT をトラバース時に IKEv1 デーモンがそれを検出可能にする方法が示されています。
- RFC 3948「UDP Encapsulation of IPsec ESP Packets」では、2 つの IPSec カプセル化モード (UDP カプセル化トンネル・モードと UDP カプセル化トランスポート・モード) が定義されています。
これらのモードは、UDP パケット内の各 ESP パケットをカプセル化することにより、NAT 経由の IPSec トラフィックのトラバーサルを容易にします。
- RFC 5996「Internet Key Exchange (IKEv2) Protocol」では、IKEv2 ピアが 1 つ以上の NAT をトラバースしている場合を検出する方法を指定しています。
以下に示す RFC 前の実装については、z/OS Communications Server が提供するサポートは限定されます。
- draft-ietf-ipsec-nat-t-ike-02 (RFC 3947 の RFC 前ドラフト)、および draft-ietf-ipsec-udp-encaps-02 (RFC 3948 の RFC 前ドラフト)
- draft-ietf-ipsec-nat-t-ike-03 (RFC 3947 の RFC 前ドラフト)、および draft-ietf-ipsec-udp-encaps-03 (RFC 3948 の RFC 前ドラフト)