笔者第一次在客户那里做支持时遇到需要使IPSec 加密数据通过NAT 设备的情况，感觉这种配置非常的奇怪，也很难解决。后来在支持使用IPSec VPN 客户的过程中，不断遇到这种情况，才意识到其实这种情况不但非常常见，而且也有其合理性，所以决定总结一些这方面的问题，希望能够让读者得到一些帮助。

    NAT 网络地址翻译(Network Address Translation )技术主要是用来解决IPv4地址紧张的问题。它通过将用户网络内部的网络地址映射成公网地址来达到目的，因为这种方法隐藏了内部地址，因此一个内部网络的机器需要访问外部Internet 网络，这个内部网络只需要少量的外部公网地址就可以了，而不必每台内部机器一个公网地址。

    当然因为内网地址信息对外隐藏，形成内外网的隔离，使得外网无法访问内部主机，所以NAT 技术还在一定程度上保证了内部网络的安全。

    IPSec作为IPv4技术的一部分是使用最为普遍的VPN标准。现在随着企业信息化的快速发展，越来越多的用户都在部署基于IPSec的VPN设备，以达到通过Internet上进行多个企业内网安全通信和远程访问内网的需求。

    但是很不幸的是，这两种非常重要且应用广泛的技术在一起工作的时候却有许多问题，以致无法使用。如何让NAT与IPSec 正常地同时工作一直是各个VPN厂商致力解决的问题，现在国际上也有相应的标准和技术出台，一种称为NAT-T(NAT穿越)的技术就是其中典型代表。

    好端端的NAT

    NAT技术完成的基本功能就是IP数据包网络地址的转换 ......