为什么不能在NAT64中使用IPSec的传输模式ESP，尽管ESP没有签署新的IP报头？

Question

在RFC6146中指出：

任何保护IP报头的协议都与NAT64不兼容。这意味着当使用验证头(AH)时(传输和隧道模式)和在传输模式中使用ESP时，端到端IPsec验证将失败。

为什么传输模式ESP不能在NAT64中使用，即使ESP传输模式和隧道模式都没有签署新的IP报头？

Answer 1

传输模式加密验证IP地址。NAT必须操纵IP地址以提供连接。这就是它们不兼容的原因。

隧道模式通过NAT工作。运输方式没有。

Answer 2

当使用涉及NAT64的连接时，您的拓扑如下所示：

+-----+   +-------+   +-----+
| IP6 |===| NAT64 |---| IP4 |
+-----+   +-------+   +-----+

一个对等点使用IPv6地址，一个对等点使用IPv4地址，NAT64网关在这些地址之间进行转换。

现在让我们来看看TCP连接。RFC793在3.1.标头格式中提到了关于the中校验和字段的如下内容：

The checksum also covers a 96 bit pseudo header conceptually
prefixed to the TCP header.  This pseudo header contains the Source
Address, the Destination Address, the Protocol, and TCP length.
This gives the TCP protection against misrouted segments.  This
information is carried in the Internet Protocol and is transferred
across the TCP/Network interface in the arguments or results of
calls by the TCP on the IP.

对于正常的TCP流，NAT64网关能够重新计算校验和，并向任意方向发送有效的TCP数据报。

但在ESP数据报中，TCP报头是加密的，因此无法重新计算。因此，由于每个对等点有不同的地址，解密后的TCP数据报将变得无效。

UDP也是如此。虽然对于IPv4来说，UDP校验和不是强制性的，但是如果不使用，它必须设置为0，并且它需要用于IPv6，所以在UDP数据报上会有一个校验和。

编辑:根据Ron的评论，改变了有关UDP的文本。