国际互联网的快速发展导致了IPSEC技术和NAT技术的广泛应用.IPSEC技术能够为IP报文提供数据源身份验证,数据完整性检查和数据保密功能.NAT技术能有效的缓解目前国际互联网地址资源紧缺问题.它们都是很有用的技术,但由于NAT需要修改IP报文,而IPSEC则要保护IP报文,防止它受到修改,因此它们不能一起友好工作,这将会影响国际互联网的发展,必须设计一个能让它们一起友好工作的解决方案.目前主要有两种思路能让它们一起友好工作:RSIP和NAT-TRAVERSAL.RSIP是通过对NAT进行更改来解决它们之间的不兼容问题,而NAT-TRAVERSAL是对IPSEC进行扩展来解决这个问题.通过对它们进行比较,NAT-TRAVERSAL具有实施代价低和与普通IPSEC系统互操作性好等优点.通过对NAT-TRAVERSAL的分析与改进提出了一种基于NAT-TRAVERSAL的解决方案.在该方案中采用名字标识位于内部网络中的主机,并在IKE协商过程中建立名字和IP地址与端口号的对应关系,解决了内部主机的标识问题.通过对标准IKE的扩展实现了探测对方是否支持NAT-TRAVERSAL,探测IPSEC保护通路上是否存在NAT以及探测NAT位置的功能.采用UDP封装技术使得NAT网关把UDP封装的IPSEC包当成普通的UDP包,这样能让IPSEC包穿越NAT网关.并利用内建NAT技术解决了NAT-TRAVERSAL的传输模式下端口冲突问题.最后应用NAT-KEEPLIVE技术保证了IPSEC保护的通讯连接在通讯过程中,NAT网关不会更改该通讯连接在该NAT网关中对应的地址映射关系.