IPSec作为IP层的安全协议,为IP包提供了身份验证、数据完整性和机密性的保护,在网络安全特别是虚拟专用网(VPN)领域中起着重要作用。而网络地址转换(NAT)是将子网内的私网地址映射为一个或者几个Internet上的公网地址,它有效地解决了IPv4地址短缺问题。对IPSec与NAT协议深入分析后发现,它们之间存在严重的不兼容:当通过IPSec保护的数据包在经过有NAT的链路时,NAT将修改数据包的IP地址或传输标识符,这样会引起数据包不能通过IPSec的安全性检查,从而使通信双方不能进行正常通信。这些不兼容性严重限制了NAT和IPSec的协同工作。然而,在网络安全应用领域,往往需要NAT网关和IPSec VPN网关能够协同工作。为此,我们提出采用UDP封装技术,对现有的VPN系统进行修改以实现VPN穿越NAT。在IKE协商SA的过程中增加载荷以探测网关之间的VPN是否支持NAT穿越以及网关之间是否存在NAT。增加了对ESP和AH报文进行UDP封装和解封装的模块。对IPSec的处理流程也作了相应的修改。最后对实现过程中遇到的IP分片、ICMP和PMTU问题提出了一套有效的解决方案。对于两边都有NAT的情况下,发起通讯的VPN设备由于无法确定被连接的VPN设备的IP地址和协商端口号等多种原因,导致无法建立加密通讯隧道。为此,我们提出采用“VPN转发网关”技术。同时也分析了采用UDP封装穿越NAT存在的有待解决的问题。