لا ينصح تي NAT IPSec لأجهزة الكمبيوتر Windows Server 2003 التي يتم من خلال مترجمي عنوان الشبكة

مقدمة

لا ننصح "بروتوكول إنترنت" شبكة الأمان (IPSec) عنوان ترجمة (NAT) اجتياز (NAT-T) لتوزيع Windows التي تتضمن خوادم VPN والتي تعمل من خلال مترجمي عنوان الشبكة. عندما يكون خادم مترجم عنوان شبكة، ويستخدم الملقم IPSec NAT-T، قد تحدث آثاراً جانبية غير مقصودة بسبب الطريقة التي تترجم مترجمي عنوان الشبكة حركة مرور شبكة الاتصال.


بالإضافة إلى ذلك، تم تغيير السلوك الافتراضي لنظام التشغيل Windows XP مع حزمة الخدمة service Pack 2 (SP2). لا يوصي باستخدام اقترانات أمان IPSec NAT-T للخوادم التي تعمل من خلال مترجمي عنوان الشبكة لأجهزة الكمبيوتر المستندة إلى Windows XP SP2. وهذا التغيير يعني أنه لا يمكن نشر خادم يستند إلى نظام التشغيل Microsoft Windows Server 2003 شبكة خاصة ظاهرية (VPN) التي تستخدم "بروتوكول أنفاق الطبقة الثانية" مع IPSec (L2TP/IPSec) مترجم عنوان شبكة دون تكوين إضافية لعملاء VPN المستندة إلى Windows XP SP2.

إذا تطلب IPSec للاتصالات، نوصي باستخدام عناوين IP عامة لكافة الملقمات التي يمكن أن تتصل بها مباشرة من الإنترنت. يمكن تحديد موقع أجهزة الكمبيوتر العميلة المستندة إلى Windows التي تعتمد IPSec NAT-T مترجم عنوان شبكة.

مزيد من المعلومات

NAT هي تكنولوجيا مستخدمة على نطاق واسع الذي يمكن الكمبيوتر أكثر من مشاركة عنوان IP عمومي واحد. تعيين مترجمي عنوان الشبكة عناوين الخاصة المستخدمة في الشبكات الخاصة التالية لعناوين IP عامة المستخدمة على الإنترنت:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
إذا قمت بوضع ملقم مترجم عنوان شبكة، قد تواجهك مشكلات الاتصال للعملاء الاتصال بالخادم عبر الإنترنت تتطلب عنوان IP عمومي. للوصول إلى الخوادم التي تعمل من خلال مترجمي عنوان الشبكة من الإنترنت، يجب تكوين تعيينات ثابتة على ترجمة عناوين الشبكة. على سبيل المثال، للوصول إلى جهاز كمبيوتر يستند إلى Windows Server 2003 مترجم عنوان شبكة اتصال من الإنترنت، تكوين ترجمة عنوان الشبكة بتعيينات مترجم عنوان الشبكة الثابتة التالية:
  • العام IP عنوان/منفذ UDP 500 إلى الملقم الخاص IP عنوان/المنفذ UDP 500.
  • العام IP عنوان/منفذ UDP 4500 إلى الملقم الخاص IP عنوان/المنفذ UDP 4500.
هذه التعيينات مطلوبة تلقائياً ترجمة كافة تبادل مفتاح إنترنت (IKE) و IPSec NAT-T حركة المرور التي يتم إرسالها إلى عنوان العمومي لترجمة عنوان الشبكة وإعادة توجيهها لكمبيوتر يستند إلى Windows Server 2003.

ومع ذلك، إذا كان لديك ملقم VPN المستندة إلى Windows Server 2003، نوصي بتعيين عنوان IP عمومي إلى ملقم VPN. بتعيين عنوان IP عمومي إلى ملقم VPN، يمكن تجنب المواقف حيث حركة مرور IP يتم فقدان أو دون قصد توجيه الموقع غير صحيح بسبب سلوك مترجم عنوان الشبكة النموذجية.

لا يعتمد Windows XP SP2 تأسيس اقترانات أمان IPSec NAT-T إلى ملقمات أجهزة NAT

تم تغيير السلوك الافتراضي من IPSec NAT تي في Windows XP Service Pack 2 (SP2). لا يعتمد Windows XP SP2 اقتران أمان IPSec NAT-T إلى ملقم موجود خلف جهاز أو مكون يقوم بترجمة عنوان شبكة الاتصال. تم إجراء هذا التغيير لتجنب مخاطرة أمنية متصورة في الحالة التالية:
  1. تكوين جهاز ترجمة عناوين شبكة لتعيين حركة مرور IKE و IPSec NAT-T لخادم على شبكة تكوين NAT. (هذا الملقم هو ملقم 1). تعيينات مترجم عنوان شبكة الاتصال هي تلك التي نوصي بها في هذه المقالة.
  2. يستخدم عميل من خارج الشبكة تكوين NAT IPSec NAT-T لتأسيس اقترانات أمان ثنائي الاتجاه مع الخادم 1. (هذا العميل هو عميل 1).
  3. يستخدم عميل على الشبكة تكوين NAT IPSec NAT-T لإنشاء اقترانات أمان ثنائي الاتجاه مع العميل 1. (هذا العميل هو العميل 2.)
  4. يحدث شرط تؤدي 1 عميل لإعادة تأسيس اقترانات أمان مع العميل 2 بسبب تعيينات مترجم عنوان الشبكة الثابتة تعيين حركة مرور IKE و IPSec NAT-T للخادم 1. قد يؤدي هذا الشرط أمان اقتران تفاوض حركة مرور IPSec التي تم إرسالها من قبل العميل 1 ومتجهة إلى العميل 2 ليكون misrouted إلى الخادم 1.
على الرغم من أن هذا وضع غير المألوف، منع السلوك الافتراضي على أجهزة الكمبيوتر المستندة إلى Windows XP SP2 أي اقترانات أمان IPSec NAT T بناء بالملقمات الموجودة خلف جهاز ترجمة عناوين شبكة للتأكد من أن هذه الحالة لا تحدث.

يمكن تغيير السلوك الافتراضي ل Windows XP SP2 لتمكين اقترانات أمان IPSec NAT-T للخوادم التي تعمل من خلال مترجم عنوان شبكة. لا نوصي بتغيير السلوك الافتراضي.

مزيد من المعلومات

لمزيد من المعلومات حول حزمة الخدمة Windows XP SP2 واقترانات أمان IPSec NAT T المستندة إلى، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

885407 تغيير السلوك الافتراضي لاجتياز IPSec NAT (NAT-T) في Windows XP Service Pack 2

خصائص

رقم الموضوع: 885348 - آخر مراجعة: 15‏/01‏/2017 - المراجعة: 1

تعليقات