ipsec nat 穿越的原理是什么？建立一个IPSec 隧道需要满足哪些条件？

IPSEC 英文全称 Internet Protocol Security。IPSEC有两种封装模式：传输模式和隧道模式，常用的是隧道模式。二种模式最根本的区别就是：传输模式没有对原始报文的IP包头进行加密，只对TCP和DATA部分加密，隧道模式生成新的IP包头作为封装后加密后报文的IP头部，这样完全地对原始IP数据报进行认证和加密，可以隐藏用户私有的IP地址。

建立一个IPSec 隧道需要满足哪些条件？

1、网络可达：例如A和B之间要建立隧道，那么A的IP地址和B的IP地址要相互可达。A能访问B，B也能访问A，因为隧道是单向的。

2、定义数据流：决定哪些数据流需要通过IPsec隧道传输

3、配置IPSec的proposal：配置数据流经过IPSec 隧道时候使用的安全协议、加密算法、封装模式等

4、将proposal应用到IPSec的安全策略里面

5、将IPSec安全策略应用到某个具体接口

电脑A和电脑B分别在两个不同的局域网内，而这两个局域网分别在两个不同的NAPT后面，这时A和B之间如果要进行连接、通讯或传送数据，就需要借助内网穿透技术进行连接。如我们常用的远程监控软件，就需要借助内网穿透技术进行两电脑的连接。但大部分远控软件并不支持内网穿透，只能借助端口映射实现内网穿透。

1、使用注册或已有的花生壳账号登录，即可进入主界面。

2、通过域名诊断功能，可以检测该域名记录的花生壳（内网穿透）服务、DNS服务器IP地址等，判断域名是否激活并指向正确。

3、在域名列表界面，右键点击域名，同样也可以进行域名诊断，此外还可以进行管理。

4、进入花生壳（内网映射）管理页面，点击按钮开启映射功能。

5、成功开启映射后，进行添加映射。

6、输入应用名称、内网主机IP、内网端口及是否开启外网HTTP80端口，点击确定，添加映射成功。

7、添加映射成功后，获取外网访问内网地址，可实现外网访问内网路由器、摄像头等。此外，在花生壳（内网穿透）管理界面，还可对映射进行编辑、删除等管理。

8、点击右上方的“设置”按钮，可进行相关设置，如开机启动、是否以服务方式运行、花生壳（内网穿透）离线提醒等。

内网穿透可以通过开放的第三方端口来实现。我们可以安装花生壳端口映射内网穿透软件，然后再添加映射，并且配置出映射端口的信息，外网的地址是映射之后访问的域名，同时也可以是自己或者是默认的域名。通过内网穿透，可以用域名进行对应的内网应用。如果是外网地址使用的是自己的域名，可以把域名的解析指向提示目标地址来进行使用。