CN105072213A - 一种IPSec NAT双向穿越方法、系统及VPN网关 - Google Patents

Abstract

本发明涉及网络技术。本发明解决了现有IPsec？NAT无法双向穿越的问题，提供了一种IPSec？NAT双向穿越方法、系统及VPN网关，其技术方案可概括为：本端VPN网关与对端VPN网关，分别在本地创建一个虚拟接口，并向服务器申请认证，在通过服务器的认证后，从服务器为本地虚拟接口获取虚拟IP地址，根据在认证过程中服务器探测到的与其连接的NAT设备的NAT类型，分别进行IPSec？VPN相关配置并向另一端发起IKE连接从而建立IPSec？VPN。本发明的有益效果是：方便用户，适用于网络构建。

Description

一种IPSec NAT双向穿越方法、系统及VPN网关

技术领域

本发明涉及网络技术，特别涉及基于IPSec(InternetProtocolSecurity，网络层安全)技术的NAT(NetworkAddressTranslation，网络地址转换)穿越技术。

背景技术

随着计算机网络的快速发展，IPv4面临地址耗尽的挑战，为了解决IPv4地址耗尽的问题，出现了一系列解决方案，例如IPv6、NAT等。而由于IPv6当前还未大面积普及，所以无疑NAT还需要扮演重要角色。正是由于IPv4地址紧缺，现在各大运营商已在ISP(InternetServiceProvider,网络服务提供商)网络里部署了NAT设备，客户从运营商获取的公网IP地址实际上是私网IP地址，而IPSecNAT穿越必须保证响应端具有真正的公网地址，现实中就会出现以下问题：某一大型集团公司要使用IPSec构建公司网络，若公司总部和分部获取的公网IP均是私网地址，则公司总部与分部就无法使用IPSecNAT穿越构建网络。目前NAT可以分为如下两大类型：

1、锥型NAT：只要是从相同内部IP地址和端口发出来的数据包，无论目的地址和端口是否相同，NAT都将它转换成1个外部地址和端口；

2、对称NAT：只有来自同一个内部地址和端口，且针对同一个目的地址和端口才会被转换成同一外部地址和端口，否则，NAT将重新分配一个新的端口；

其中锥形NAT又分为如下三类：

1)完全圆锥型(FullCone)NAT：所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口,而不管这些请求是否属于同一个应用或者是多个应用的，任意一个外部主机均可随时通过该映射发送数据包；

2)地址限制圆锥型(RestrictedCone)NAT：它是完全圆锥型NAT的受限版本，所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口。但是，与完全圆锥型NAT不同的是，只有当内部主机先给外部主机发送数据包(假设数据包中该外部主机IP地址为Z)，该外部主机才能以该映射中外部IP地址和端口为目标地址和目标端口向内部主机发送数据包，即NAT设备只向内转发那些来自于当前已知的外部主机(IP地址为Z)的数据包；

3)端口限制圆锥型(PortRestrictedCone)NAT：它是限制圆锥型NAT的进一步受限版，其只有当内部主机曾经发送过报文给外部主机(假设数据包中目的IP地址为z、端口为p)之后，外部主机才能以该映射中外部IP地址和端口为目标地址和目标端口向内部主机发送数据包(此时数据包的源端口必须为P、源IP地址必须为z)。

NAT使用范围越来越广，而IPSecNAT穿越却只能实现单向穿越，目前有一种STUN(SimpleTraversalofUDPoverNATs，NAT的UDP简单穿越)技术，是一种网络协议，它允许位于NAT(或多重NAT)后的客户端找出自己的公网地址，查出自己位于哪种类型的NAT之后以及NAT为某一个本地端口所绑定的Internet端端口。STUN旨在找到开放的对应公网地址和端口，从而其他用户可以通过与该公网地址和端口与真正的内网用户通信，但STUN无法解决IPSecNAT双向穿越的问题，且其存在以下不足：1、若公网地址变化，则STUN会导致网络中断；2、若私网地址变化，则STUN会导致网络中断；3、不同NAT类型，STUN无法实现开放公网NAT设备固定的TCP端口号。现有技术中STUN可以解决的问题仅是找出客户端对应的公网地址和NAT类型，无法实现IPSecNAT双向穿越。

发明内容

本发明的目的就是克服目前IPsecNAT无法双向穿越的缺点，提供一种IPSecNAT双向穿越方法、系统及VPN网关。

本发明解决其技术问题，采用的技术方案是，一种IPSecNAT双向穿越方法，应用于包括本端VPN网关、本端NAT设备、对端VPN网关、对端NAT设备以及服务器的系统中，其特征在于，包括以下步骤：

A、在本端VPN网关与对端VPN网关中，分别创建一个虚拟接口；

B、本端VPN网关和对端VPN网关分别向所述服务器申请认证，在认证过程中所述服务器探测本端NAT设备和对端NAT设备的NAT类型；

C、在本端VPN网关和对端VPN网关通过所述服务器的认证后，所述服务器分别为所述本端VPN网关和对端VPN网关的虚拟接口分配虚拟IP地址；

D、所述本端VPN网关和对端VPN网关进行IPSecVPN相关配置，根据所述本端NAT设备和对端NAT设备的NAT类型，所述本端VPN网关和对端VPN网关之间发起IKE连接，建立IPSecVPN；

E、与本端VPN网关连接的主机通过所述IPSecVPN与连接到所述对端VPN网关的主机建立通信。

具体的，步骤B中，所述本端VPN网关和对端VPN网关分别向所述服务器申请认证，在认证过程中所述服务器探测所述本端NAT设备和对端NAT设备的NAT类型，具体包括：

B1、所述本端VPN网关和对端VPN网关分别通过所连接的NAT设备向所述服务器申请认证；

B2、所述本端NAT设备和对端NAT设备分别建立到所述服务器的NAT转发表项；

B3、所述服务器通过分别向所述本端NAT设备和对端NAT设备发起请求，探测所述本端NAT设备和对端NAT设备的NAT类型。

进一步的，步骤D中，所述本端VPN网关和对端VPN网关进行IPSecVPN相关配置的方法，具体包括：

本端VPN网关将其IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为any；所述对端VPN网关的IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为所述本端VPN网关的虚拟IP地址；或者

本端VPN网关将其IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为所述对端VPN网关的虚拟IP地址；所述对端VPN网关的IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为any。

具体的，步骤D中，所述根据所述本端NAT设备和对端NAT设备的NAT类型，所述本端VPN网关和对端VPN网关之间发起IKE连接，具体包括：

当所连接的NAT设备的NAT类型为完全圆锥型FullConeNAT时，发起IKE连接的VPN网关直接利用自身的虚拟接口将IKE报文封装后发送到与目的VPN网关连接的NAT设备上，所述NAT设备直接将IKE报文发送给目的VPN网关；当NAT设备的NAT类型为非FullConeNAT时，发起IKE连接的VPN网关利用自身的虚拟接口将IKE报文封装后发送到服务器，服务器将所述IKE报文重新封装后发到与目的VPN网关连接的NAT设备上，所述NAT设备直接将所述重新封装后的IKE报文发送给目的VPN网关。

一种IPSecNAT双向穿越系统，包括本端VPN网关、本端NAT设备、对端VPN网关、对端NAT设备以及服务器，所述本端VPN网关通过本端NAT设备与所述服务器连接，所述对端VPN网关通过对端NAT设备与所述服务器连接，其特征在于，

所述本端VPN网关与对端VPN网关，分别用于在本地创建一个虚拟接口，并向所述服务器申请认证，在通过所述服务器的认证后，从所述服务器为本地虚拟接口获取虚拟IP地址，根据在认证过程中所述服务器探测到的与其连接的NAT设备的NAT类型，分别进行IPSecVPN相关配置并向另一端发起IKE连接从而建立IPSecVPN；

所述服务器，用于对所述本端VPN网关与对端VPN网关进行认证，在认证通过后为所述本端VPN网关与对端VPN网关的虚拟接口分配虚拟IP地址，并在认证过程中探测所述本端NAT设备和对端NAT设备的NAT类型。

进一步的，所述本端NAT设备和对端NAT设备分别用于：在所述本端VPN网关与对端VPN网关向所述服务器申请认证过程中建立到所述服务器的NAT转发表项；并与另一端NAT设备进行通信。

具体的，所述本端VPN网关和对端VPN网关，具体用于：

本端VPN网关将其IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为any时；所述对端VPN网关的IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为所述本端VPN网关的虚拟IP地址；或者

本端VPN网关将其IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为所述对端VPN网关的虚拟IP地址时；所述对端VPN网关的IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为any。

再进一步的，所述本端VPN网关和对端VPN网关，具体用于：

当其所连接的NAT设备的NAT类型为完全圆锥型FullConeNAT时，发起IKE连接时直接利用其自身的虚拟接口将IKE报文封装后发送到与目的VPN网关连接的NAT设备上，由所述NAT设备直接将IKE报文发送给目的VPN网关；当其所连接NAT设备的NAT类型为非FullConeNAT时利用其自身的虚拟接口将IKE报文封装后发送到服务器，服务器将所述IKE报文重新封装后发到与目的VPN网关连接的NAT设备上，由所述NAT设备直接将所述重新封装后的IKE报文发送给目的VPN网关。

一种VPN网关，其特征在于，包括：

虚拟接口创建模块，用于在本地创建一个虚拟接口；

认证申请模块，用于向服务器申请认证，在认证通过后从服务器获取为其虚拟接口分配的虚拟IP地址；

IPSecVPN创建模块，用于进行IPsecVPN相关配置，根据在认证过程中所述服务器探测的与其连接的本端NAT设备和与目的VPN网关连接的目的NAT设备的NAT类型，与目的VPN网关发起IKE连接，建立IPSecVPN。

具体的，IPSecVPN创建模块还用于：

当其所连接的NAT设备的NAT类型为完全圆锥型FullConeNAT时，发起IKE连接时直接利用其所在VPN网关自身的虚拟接口将IKE报文封装后发送到与目的VPN网关连接的目的NAT设备上，由所述目的NAT设备直接将IKE报文发送给目的VPN网关；当其所连接NAT设备的NAT类型为非FullConeNAT时，利用其所在VPN网关自身的虚拟接口将IKE报文封装后发送到服务器。

本发明的有益效果是，通过上述一种IPSecNAT双向穿越方法、系统及VPN网关，实现了IPSecNAT的双向穿越，能够通过IPSec构建网络，另外，常规的IPSec虽然也能鉴别身份，但需要开销部分VPN设备的CPU资源和网络资源，而通过用户密码登录注册服务器的方式，保证接入网络设备的可靠性，节约了VPN设备的CPU和网络资源，且统一管理，由服务器统一管控所有VPN设备，实现地址统一分配，且由于报文长度有所增加，所以转发性能会有所降低，但重新封装后的报文是单纯的UDP报文，转发不会收到CPU的影响，使得转发性能高效，另外，不管运营商NAT设备的公网地址变化，还是用户VPN网关的公网地址(实际为私网)变化，使用虚拟IP地址实现动态切换，业务不会受到影响，方便用户。

附图说明

图1是本发明实施例的一种IPSecNAT双向穿越方法流程图；

图2是本发明实施例中IPsecNAT双向穿越系统的系统框图；

图3是本发明实施例中IPsecNAT双向穿越系统的网络拓扑示意图。

具体实施方式

下面结合实施例及附图，详细描述本发明的技术方案。

本发明实施例提供一种IPSecNAT双向穿越方法，参见图1，应用于包括本端VPN网关、本端NAT设备、对端VPN网关、对端NAT设备以及服务器的系统中，具体包括如下步骤：

101，在本端VPN网关与对端VPN网关中，分别创建一个虚拟接口。

102，本端VPN网关和对端VPN网关分别向所述服务器申请认证，在认证过程中所述服务器探测本端NAT设备和对端NAT设备的NAT类型。本步骤可以具体包括：

所述本端VPN网关和对端VPN网关分别通过所连接的NAT设备向所述服务器申请认证；

所述本端NAT设备和对端NAT设备分别建立到所述服务器的NAT转发表项；

所述服务器通过分别向所述本端NAT设备和对端NAT设备发起请求，探测所述本端NAT设备和对端NAT设备的NAT类型。

103，在本端VPN网关和对端VPN网关通过所述服务器的认证后，所述服务器分别为所述本端VPN网关和对端VPN网关的虚拟接口分配虚拟IP地址。

104，所述本端VPN网关和对端VPN网关进行IPSecVPN相关配置，根据所述本端NAT设备和对端NAT设备的NAT类型，所述本端VPN网关和对端VPN网关之间发起IKE连接，建立IPSecVPN。本步骤中，所述本端VPN网关和对端VPN网关进行IPSecVPN相关配置的方法，具体包括：

本端VPN网关将其IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为any；所述对端VPN网关的IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为所述本端VPN网关的虚拟IP地址；或者

本端VPN网关将其IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为所述对端VPN网关的虚拟IP地址；所述对端VPN网关的IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为any。

而根据所述本端NAT设备和对端NAT设备的NAT类型，所述本端VPN网关和对端VPN网关之间发起IKE连接，具体包括：当所连接的NAT设备的NAT类型为完全圆锥型FullConeNAT时，发起IKE连接的VPN网关直接利用自身的虚拟接口将IKE报文封装后发送到与目的VPN网关连接的NAT设备上，所述NAT设备直接将IKE报文发送给目的VPN网关；当NAT设备的NAT类型为非FullConeNAT时，发起IKE连接的VPN网关利用自身的虚拟接口将IKE报文封装后发送到服务器，服务器将所述IKE报文重新封装后发到与目的VPN网关连接的NAT设备上，所述NAT设备直接将所述重新封装后的IKE报文发送给目的VPN网关。

105、与本端VPN网关连接的主机通过所述IPSecVPN与连接到所述对端VPN网关的主机建立通信。本步骤属于现有技术，不再赘述。

参见图2，为本发明实施例实施上述IPSecNAT双向穿越方法的系统结构框图，包括本端VPN网关、本端NAT设备、对端VPN网关、对端NAT设备以及服务器，本端VPN网关通过本端NAT设备与服务器连接，对端VPN网关通过对端NAT设备与服务器连接，其中，本端VPN网关与对端VPN网关分别用于在本地创建一个虚拟接口，并向所述服务器申请认证，在通过所述服务器的认证后，从服务器为本地虚拟接口获取虚拟IP地址，根据在认证过程中所述服务器探测到的与其连接的NAT设备的NAT类型，分别进行IPSecVPN相关配置并向另一端发起IKE连接从而建立IPSecVPN；与本端VPN网关连接的主机通过所述IPSecVPN与连接到所述对端VPN网关的主机建立通信；服务器用于对本端VPN网关与对端VPN网关进行认证，在认证通过后为本端VPN网关与对端VPN网关的虚拟接口分配虚拟IP地址，并在认证过程中探测本端NAT设备和对端NAT设备的NAT类型。

这里，本端NAT设备和对端NAT设备分别用于：在本端VPN网关与对端VPN网关向服务器申请认证过程中建立到服务器的NAT转发表项；并与另一端NAT设备进行通信。本端VPN网关和对端VPN网关，还具体用于：本端VPN网关将其IPSecVPN的本地地址配置为服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为any时；所述对端VPN网关的IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为所述本端VPN网关的虚拟IP地址；或者

本端VPN网关将其IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为所述对端VPN网关的虚拟IP地址时；所述对端VPN网关的IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为any。本端VPN网关和对端VPN网关，还具体用于：当其所连接的NAT设备的NAT类型为完全圆锥型FullConeNAT时，发起IKE连接时直接利用其自身的虚拟接口将IKE报文封装后发送到与目的VPN网关连接的NAT设备上，由NAT设备直接将IKE报文发送给目的VPN网关；当其所连接NAT设备的NAT类型为非FullConeNAT时利用其自身的虚拟接口将IKE报文封装后发送到服务器，服务器将该IKE报文重新封装后发到与目的VPN网关连接的NAT设备上，由该NAT设备直接将重新封装后的IKE报文发送给目的VPN网关。其中，向服务器获取虚拟IP地址是指：VPN网关登录服务器，采用简单用户/密码方式认证，认证成功后，服务器给VPN网关分配一个虚拟IP地址。NAT设备类型包括FullConeNAT、RestrictedConeNAT、PortRestrictedConeNAT及对称NAT。

本实施例中，所使用的VPN网关，包括：虚拟接口创建模块，用于在本地创建一个虚拟接口；认证申请模块，用于向服务器申请认证，在认证通过后从服务器获取为其虚拟接口分配的虚拟IP地址；IPSecVPN创建模块，用于进行IPsecVPN相关配置，根据在认证过程中所述服务器探测的与其连接的本端NAT设备和与目的VPN网关连接的目的NAT设备的NAT类型，与目的VPN网关发起IKE连接，建立IPSecVPN。

其中，IPSecVPN创建模块还用于：

当其所连接的NAT设备的NAT类型为完全圆锥型FullConeNAT时，发起IKE连接时直接利用其所在VPN网关自身的虚拟接口将IKE报文封装后发送到与目的VPN网关连接的目的NAT设备上，由所述目的NAT设备直接将IKE报文发送给目的VPN网关；当其所连接NAT设备的NAT类型为非FullConeNAT时，利用其所在VPN网关自身的虚拟接口将IKE报文封装后发送到服务器。

参见图3，为是本发明实施例中IPsecNAT双向穿越系统的网络拓扑示意图；图中，整个系统由VPN网关-A、VPN网关-B、NAT设备-A、NAT设备-B及服务器组成，其中VPN网关-A连接公司总部内网主机，VPN网关-B连接公司分部内网。设VPN网关-A和VPN网关-B与NAT设备连接的接口IP地址分别为192.168.1.2及192.168.2.2，而对应NAT设备-A及NAT设备-B的接口IP地址分别为192.168.1.1及192.168.2.1。NAT设备-A及NAT设备-B的公网IP地址分别是2.1.1.1和2.1.1.2，对应的服务器公网IP地址分别为2.1.1.3。

VPN网关-A和VPN网关-B分别登录服务器进行认证申请，服务器对网关采用如用户名/密码方式认证，认证成功后，服务器分别给VPN网关-A和VPN网关-B分配一个虚拟IP地址，如VPN网关-A的虚拟IP为1.1.1.1；VPN网关-B的虚拟IP为1.1.1.2，这个虚拟IP地址被配置到网关各自的虚拟接口，这样VPN网关-A和VPN网关-B形成了一个虚拟网络；

通过VPN网关-A和VPN网关-B分别登录服务器进行认证申请，可以探测运营商NAT设备的类型(如FullConeNAT、RestrictedConeNAT、PortRestrictedConeNAT或对称NAT)，具体过程如下：

VPN网关-A和VPN网关-B首先与服务器通信，此时NAT设备-A和NAT设备-B会建立NAT会话表项，假设表项是：

192.168.1.2:3000→2.1.1.3:3000，NAT设备-A转换后2.1.1.1:4000→2.1.1.3:3000

192.168.2.2:5000→2.1.1.3:5000，NAT设备-B转换后2.1.1.2:6000→2.1.1.3:5000

探测方法如下：

下面以探测NAT设备-A类型举例，NAT设备-B探测方式一样。

步骤1、服务器反向主动向NAT设备-A发起请求，使用2.1.1.3:3000、2.1.1.3:3001、2.1.1.4:3002、2.1.1.4:3000分别与2.1.1.1:3000通信。

步骤2、若2.1.1.4:3002可以通过2.1.1.1:3000将报文发送到VPN网关-A，则NAT为FullConeNAT；

步骤3、当前一种方式无法通信，若2.1.1.3:3001可以通过2.1.1.1:3000将报文发送到VPN网关-A，则NAT为RestrictedConeNAT；

步骤4、当前两种方式无法通信，若2.1.1.3:3000可以通过2.1.1.1:3000将报文发送到VPN网关-A，则NAT为PortRestrictedConeNAT；

步骤5、若2.1.1.3:3000可以通过2.1.1.1:3000将报文发送到VPN网关-A，2.1.1.4:3000不能通过2.1.1.1:3000将报文发送到VPN网关-A，则NAT为对称NAT。

在VPN网关-A和VPN网关-B分别配置IPsecVPN的相关配置，VPN网关-A的本地地址(localaddress)写成自己设备的虚拟IP地址1.1.1.1，对端地址(peeraddress)写成any，分部VPN网关-B的localaddress写成自己设备的虚拟IP地址1.1.1.2，peeraddress写成对端设备的虚拟IP地址1.1.1.1。这里是为了节省VPN的配置才这样做的，与总部内网连接的VPN网关在配置IPsecVPN时将peeraddress)写成any；实际上叶可以写为对端设备的虚拟IP地址1.1.1.2。

当VPN网关-B发起IKE连接请求时：

1、若运营商NAT设备-A类型为FullConeNAT，则VPN网关-B直接将报文进行封装发送到NAT设备-A，封装报文格式如下：

新目的IP

新源IP

UDP目的端口

UDP源端口

原目的IP

原源IP

UDP

data

2.1.1.1

192.168.2.2

3000

任意

1.1.1.1

1.1.1.2

当报文到达NAT设备-A，NAT设备-A直接将报文送到VPN网关-A，VPN网关-A再对报文进行解封装，还原原始IKE报文，发送到自身虚拟接口。同理，VPN网关-A发出的报文经过相同操作，发送到VPN网关-B，最终IKE连接及IPSec采用虚拟IP地址建立成功；

2、若运营商NAT设备-A类型为RestrictedConeNAT、PortRestrictedConeNAT、对称NAT的其中一种，则VPN网关-B不能将报文进行封装发送到NAT设备-A，需要使用注册服务器进行中继转发。VPN网关-B发出报文到注册服务器，封装报文格式如下：

新目的IP	新源IP	UDP目的端口	UDP源端口	原目的IP	原源IP	UDP	data
								2.1.1.3	192.168.2.2	3000	5000	1.1.1.1	1.1.1.2

经过注册服务器处理后，封装报文格式如下：

新目的IP	新源IP	UDP目的端口	UDP源端口	原目的IP	原源IP	UDP	data
								2.1.1.1	2.1.1.3	3000	3000	1.1.1.1	1.1.1.2

此时NAT设备-A将报文转发给VPN网关-A，VPN网关-A收到报文后进行解封装，还原原始IKE报文，发送到虚拟接口。同理，VPN网关-A发出的报文经过相同操作，发送到VPN网关-B，最终IKE连接及IPSec采用虚拟IP地址建立成功；从而与VPN网关-A连接的公司总部内网主机可以与VPN网关-B连接的公司分部内网主机通信。

Claims (10)

1.一种IPSecNAT双向穿越方法，应用于包括本端VPN网关、本端NAT设备、对端VPN网关、对端NAT设备以及服务器的系统中，其特征在于，包括以下步骤：

A、在本端VPN网关与对端VPN网关中，分别创建一个虚拟接口；

B、本端VPN网关和对端VPN网关分别向所述服务器申请认证，在认证过程中所述服务器探测本端NAT设备和对端NAT设备的NAT类型；

C、在本端VPN网关和对端VPN网关通过所述服务器的认证后，所述服务器分别为所述本端VPN网关和对端VPN网关的虚拟接口分配虚拟IP地址；

D、所述本端VPN网关和对端VPN网关进行IPSecVPN相关配置，根据所述本端NAT设备和对端NAT设备的NAT类型，所述本端VPN网关和对端VPN网关之间发起IKE连接，建立IPSecVPN；

E、与本端VPN网关连接的主机通过所述IPSecVPN与连接到所述对端VPN网关的主机建立通信。

2.如权利要求1所述的IPSecNAT双向穿越方法，其特征在于，步骤B中，所述本端VPN网关和对端VPN网关分别向所述服务器申请认证，在认证过程中所述服务器探测所述本端NAT设备和对端NAT设备的NAT类型，具体包括：

B1、所述本端VPN网关和对端VPN网关分别通过所连接的NAT设备向所述服务器申请认证；

B2、所述本端NAT设备和对端NAT设备分别建立到所述服务器的NAT转发表项；

B3、所述服务器通过分别向所述本端NAT设备和对端NAT设备发起请求，探测所述本端NAT设备和对端NAT设备的NAT类型。

3.如权利要求1或2所述的IPSecNAT双向穿越方法，其特征在于，步骤D中，所述本端VPN网关和对端VPN网关进行IPSecVPN相关配置的方法，具体包括：

本端VPN网关将其IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为any；所述对端VPN网关的IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为所述本端VPN网关的虚拟IP地址；或者

本端VPN网关将其IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为所述对端VPN网关的虚拟IP地址；所述对端VPN网关的IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为any。

4.如权利要求1或2所述的IPSecNAT双向穿越方法，其特征在于，步骤D中，所述根据所述本端NAT设备和对端NAT设备的NAT类型，所述本端VPN网关和对端VPN网关之间发起IKE连接，具体包括：

当所连接的NAT设备的NAT类型为完全圆锥型FullConeNAT时，发起IKE连接的VPN网关直接利用自身的虚拟接口将IKE报文封装后发送到与目的VPN网关连接的NAT设备上，所述NAT设备直接将IKE报文发送给目的VPN网关；当NAT设备的NAT类型为非FullConeNAT时，发起IKE连接的VPN网关利用自身的虚拟接口将IKE报文封装后发送到服务器，服务器将所述IKE报文重新封装后发到与目的VPN网关连接的NAT设备上，所述NAT设备直接将所述重新封装后的IKE报文发送给目的VPN网关。

5.一种IPSecNAT双向穿越系统，包括本端VPN网关、本端NAT设备、对端VPN网关、对端NAT设备以及服务器，所述本端VPN网关通过本端NAT设备与所述服务器连接，所述对端VPN网关通过对端NAT设备与所述服务器连接，其特征在于，

所述本端VPN网关与对端VPN网关，分别用于在本地创建一个虚拟接口，并向所述服务器申请认证，在通过所述服务器的认证后，从所述服务器为本地虚拟接口获取虚拟IP地址，根据在认证过程中所述服务器探测到的与其连接的NAT设备的NAT类型，分别进行IPSecVPN相关配置并向另一端发起IKE连接从而建立IPSecVPN；

所述服务器，用于对所述本端VPN网关与对端VPN网关进行认证，在认证通过后为所述本端VPN网关与对端VPN网关的虚拟接口分配虚拟IP地址，并在认证过程中探测所述本端NAT设备和对端NAT设备的NAT类型。

6.如权利要求5所述的IPSecNAT双向穿越系统，其特征在于，所述本端NAT设备和对端NAT设备分别用于：在所述本端VPN网关与对端VPN网关向所述服务器申请认证过程中建立到所述服务器的NAT转发表项；并与另一端NAT设备进行通信。

7.如权利要求5或6所述的IPSecNAT双向穿越系统，其特征在于，所述本端VPN网关和对端VPN网关，具体用于：

本端VPN网关将其IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为any时；所述对端VPN网关的IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为所述本端VPN网关的虚拟IP地址；或者

本端VPN网关将其IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为所述对端VPN网关的虚拟IP地址时；所述对端VPN网关的IPSecVPN的本地地址配置为所述服务器为其虚拟接口分配的虚拟IP地址，对端地址配置为any。

8.如权利要求5或6所述的IPSecNAT双向穿越系统，其特征在于，所述本端VPN网关和对端VPN网关，具体用于：

当其所连接的NAT设备的NAT类型为完全圆锥型FullConeNAT时，发起IKE连接时直接利用其自身的虚拟接口将IKE报文封装后发送到与目的VPN网关连接的NAT设备上，由所述NAT设备直接将IKE报文发送给目的VPN网关；当其所连接NAT设备的NAT类型为非FullConeNAT时利用其自身的虚拟接口将IKE报文封装后发送到服务器，服务器将所述IKE报文重新封装后发到与目的VPN网关连接的NAT设备上，由所述NAT设备直接将所述重新封装后的IKE报文发送给目的VPN网关。

9.一种VPN网关，其特征在于，包括：

虚拟接口创建模块，用于在本地创建一个虚拟接口；

认证申请模块，用于向服务器申请认证，在认证通过后从服务器获取为其虚拟接口分配的虚拟IP地址；

IPSecVPN创建模块，用于进行IPsecVPN相关配置，根据在认证过程中所述服务器探测的与其连接的本端NAT设备和与目的VPN网关连接的目的NAT设备的NAT类型，与目的VPN网关发起IKE连接，建立IPSecVPN。

10.如权利要求9所述的VPN网关，其特征在于，IPSecVPN创建模块还用于：

当其所连接的NAT设备的NAT类型为完全圆锥型FullConeNAT时，发起IKE连接时直接利用其所在VPN网关自身的虚拟接口将IKE报文封装后发送到与目的VPN网关连接的目的NAT设备上，由所述目的NAT设备直接将IKE报文发送给目的VPN网关；当其所连接NAT设备的NAT类型为非FullConeNAT时，利用其所在VPN网关自身的虚拟接口将IKE报文封装后发送到服务器。