아 네. 먼저 esp가 훼손 된다는 뜻은. esp헤더가 tcp/udp와 같이 port정보를 가지고 있지 않는 별도의 프로토콜 헤더라서 건드릴수도 없고. 만약에 건드린다해도 그 정보안에 양쪽ipsec 호스트간의 보안채널 설정을 위한 값들이 들어 있기에 보안 채널도 깨진다는 개념 입니다. 그리고 다음 질문은 nat traversal 동작 방식을 여쭤보신거 같은데 ipsec연결시 esp로 실제 호스트간에 데이터를 보내기 전에. 상호 호스트간에 먼저 udp500을 이용해서 키교환을 위한 isa sa라는 보안채널을 만드는 과정을 거칩니다. 이때 상호 udp상에 nat된 내용이 확인이 되서 nat traversal이 동작 되어. 그 다음 실제 ipsec sa상에서 esp헤더 앞에 udp로 wrapping하는 nat traversal이 동작 하게 된다고 이해 하시면 될거 같습니다.

@@NetworkingClass 설명 감사드립니다. 그럼 앞단에 nat 장비가 있을경우에 해당되겠군요. 만약에 ipsec vpn터널을 수행하는 장비 자체가 nat를 병행할 경우에는 이슈가 없을 것으로 생각되는데 맞는걸까요? 그리고 앞단에 nat 장비가 있을경우 sa이후의 esp 패킷앞에 udp 4500으로 wrapping해서 전달되는게 nat traversal이라고 생각되는데 맞나요?