ipsec nat穿越數據包nat的是哪個ip？

ipsec nat穿越場景下

NAT設備不做ipsec封裝呀

nat設備僅做正常ip路由和nat轉換

配置ipsec設備才做ipsec封裝呀

建議多看看原理資料結合實驗等在梳理吸收下吧

nat設備例如192.168.1.100 udp500映射成公網出口202.1.1.1的udp500？那跟ipsec有什麼關係呢？可以畫個圖不？

理解 NAT 設備在 IPsec 流量中的封裝確實有些複雜，但我可以幫您簡化一下這個過程。

NAT 和 IPsec 流量封裝
當 NAT 設備（例如 192.168.1.100）將內部私有 IP 地址映射到公網 IP 地址（例如 202.1.1.1）時，IPsec 流量的封裝過程如下：

1. IPsec NAT 穿越（NATT）：
NATT 是一種技術，用於確保 IPsec 流量能夠穿越 NAT 設備。它通過在 IPsec 數據包中嵌入一個 UDP 頭部，使得數據包看起來像普通的 UDP 流量，從而能夠通過 NAT 設備。

2. 封裝過程：
原始數據包：內部網絡設備生成的原始數據包。
IPsec 封裝：數據包首先被 IPsec 協議（通常是 ESP 協議）封裝，加密並添加 IPsec 頭部。
UDP 封裝：為了穿越 NAT 設備，IPsec 數據包會被進一步封裝在一個 UDP 數據包中。這個 UDP 數據包的源端口和目的端口通常是 4500。
NAT 處理：NAT 設備將私有 IP 地址（192.168.1.100）轉換為公網 IP 地址（202.1.1.1），並修改 UDP 頭部中的端口號（例如，UDP 500）。

3. 解封裝過程：
NAT 設備：對端的 NAT 設備接收到封裝的 UDP 數據包後，會將其解封裝，恢複成 IPsec 數據包。
IPsec 解封裝：IPsec 網關對數據包進行解密和解封裝，恢複成原始數據包。

具體示例
假設您有一個 NAT 設備和一個 IPsec 網關，以下是數據包的封裝和解封裝過程：

內部設備：生成原始數據包。
IPsec 網關：對數據包進行 IPsec 封裝，加密並添加 ESP 頭部。
NAT 設備：對封裝後的 IPsec 數據包進行 UDP 封裝，並將私有 IP 地址轉換為公網 IP 地址。
對端 NAT 設備：接收到封裝的 UDP 數據包後，進行解封裝，恢複成 IPsec 數據包。
對端 IPsec 網關：對 IPsec 數據包進行解密和解封裝，恢複成原始數據包。