Depois de o pacote estar encapsulado, o sistema envia o pacote para o respectivo parceiro da VPN através da porta 4500 UDP. Normalmente, os parceiros da VPN executam negociações IKE através da porta 500 UDP. No entanto, quando IKE detecta NAT durante a negociação de chaves, os pacotes de IKE subsequentes são enviados através da porta 4500, porta de destino 4500. Isto também significa que a porta 4500 não pode ter restrições a nenhumas regras de filtro aplicáveis. A parte destinatária da ligação pode determinar se o pacote é o pacote IKE ou um pacote encapsulado UDP porque os primeiros 4 bytes da carga útil UDP foram definidos como zero num pacote IKE. Para que funcione devidamente, ambas os extremos da ligação têm de suportar encapsulamento UDP.
Fonte: https://www.ibm.com/support/knowledgecenter/pt/ssw_ibm_i_71/rzaja/rzajaudpencap.htm