VLAN
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。每个VLAN是一个广播域,VLAN内的主机间可以直接通信,而VLAN间则不能直接互通。SP670支持VLAN数据包的自动解析,并寻找正确需要加密的IP头位置。
VXLAN
VXLAN(Virtual eXtensible LocalAreaNetwork)即虚拟扩展局域网,是对传统VLAN协议的一种扩展。VXLAN为解决虚拟机动态迁移保留IP地址和MAC地址问题,海量服务器租户间隔离问题提供了技术支持。
VXLAN采用MAC in UDP(User Datagram Protocol)封装方式,即将虚拟机发出的原始以太报文完整的封装在UDP报文中,然后在外层使用物理网络的IP报文头和以太报文头封装。IPsec在外层的物理网络IP报文头之后插入ESP头部,对其后的数据进行封装加解密。
NAT-T
NAT(Network Address Translation)即网络地址转换协议,其目的为解决IPV4地址短缺问题,通过将内部网络的IP地址替换为出口的IP地址,提供公网可达性和上层协议的连接能力。
NAT-T(NAT Traversal)即NAT穿越。IPsec提供了数据包的加密功能,但ESP协议无法提供转换端口,导致在NAT环境中,加密后数据包无法通过NAT网关进行子网IP地址到公网IP地址的转换。
NAT-T技术从本质上解决该问题,通过编辑数据包、添加UDP头部的方式传递端口号,用于NAT网关处理中的地址转换。NAT-T会将IKE流量使用的500端口切换为4500端口,并在通信过程中,将4500设置为NAT-T头部的目的端口。
