使用 NAT 交换时的限制

NAT 设备后面的端点必须使用 ESP 协议保护它们的流量。

ESP 是为 IP 安全性选择的主要的报头，且将可用于多数客户应用程序。 ESP 包括用户数据的散列，但不包括用户数据的 IP 报头。在关键字消息完整性检查中，AH 报头中的完整性检查合并了 IP 源和目标地址。对地址字段进行更改的 NAT 或反转 NAT 设备使消息完整性检查无效。因此，如果为隧道在阶段 2 策略中仅定义了 AH 协议，且在阶段 1 交换中检测了 NAT，那么发送显示 NO_PROPOSAL_CHOSEN 的“通知有效负载”。

另外，使用 NAT 的连接必须选择隧道方式，以便将原始 IP 地址包括在包中。传输方式和使用 NAT 的地址不兼容。如果在阶段 2 中检测了 NAT 且仅建议传输方式，那么发送显示 NO_PROPOSAL_CHOSEN 的“通知有效负载”。