D-Link DFL-800 Manual De Instrucciones página 224

Ocultar thumbs Ver también para DFL-800:
Tabla de contenido
22.1. IPsec
219
y puerto de fuente de cada par que utiliza es la misma que el otro par ve.
Si la dirección de fuente y puerto no se ha modificado, el tráfico no ha sido NaTed en el
camino, y NAT transversal no es necesario. Si la dirección de fuente y/o puerto ha cambiado,
el tráfico ha sido NATed, y el NAT transversal es utilizado.
Una vez que el par IPsec ha decidido que NAT transversal es necesario, la negociación IKE
es movida fuera del Puerto UDP 500 a Puerto 4500. Esto es necesario ya que ciertos
dispositivos NAT tratan paquetes UDP al Puerto 500 de manera diferente desde otros paquetes
UDP en un esfuerzo por trabajar alrededor de los problemas NAT con IKE. El problema
es que este manejo especial de paquetes IKE puede en efecto romper las negociaciones
IKE, lo cual es el por qué el Puerto UDP utilizado por IKE ha sido modificado.
Otro problema que resuelve NAT transversal es con respecto al protocolo ESP.
El protocolo ESP es un protocolo IP y no hay información de puerto como en TCP y
UDP, lo cual hace imposible tener más de un cliente NATed conectado a la misma
puerta de enlace remota al mismo tiempo. Para resolver este problema, los paquetes ESP
son encapsulados en UDP. El tráfico ESP-UDP es enviado al puerto 4500, el mismo puerto
que IKE cuando es utilizado NAT transversal. Una vez que el puerto ha sido modificado,
todas las comunicaciones IKE siguientes son realizadas sobre el Puerto 4500. Los paquetes
mantenidos con vida son además enviados periódicamente para mantener el mapeo NAT
con vida.
22.1.4
Integridad & Autentificación IKE
En la fase de negociación IKE, la Autentificación a los extremos comunicativos es
llevada a cabo antes de cualquier transferencia actual de datos, y la integridad del mensaje
negociado debe ser asegurada por algoritmos matemáticos. Los VPNs D-Link incluyen
varios métodos para lograr estas tareas críticas, ej., funciones hash para integridad de
mensaje, claves pre-compartidas y certificados X.509 basado en algoritmos de
encriptación asimétrica (ej. RSA, DSA ) para verificar identidades.
Guía de Usuario de los Firewalls D-Link
Tabla de contenido
loading

Este manual también es adecuado para:

Dfl-1600Dfl-2500

Tabla de contenido