当前位置:文档之家 › NAT穿越知识

NAT穿越知识

  • 格式:pptx
  • 大小:2.41 MB
  • 文档页数:32

下载文档原格式

  / 32

合集下载

IPSec与NAT穿越:解决地址转换对安全的影响(十)

IPSec与NAT穿越:解决地址转换对安全的影响(十)

IPSec与NAT穿越:解决地址转换对安全的影响引言:随着互联网的快速发展和普及,网络安全问题日益突出,其中地址转换(NAT)对网络安全的影响也越来越引人关注。

为了解决这个问题,IPSec技术逐渐崭露头角。

本文将探讨IPSec与NAT穿越,以及它们如何共同解决地址转换对安全的影响。

一、什么是NAT?网络地址转换(NAT)是一种广泛应用于互联网中的协议,用于将来自私有网络的数据包转换为可在公共网络上传输的数据包。

它通过修改数据包的源地址和目的地址来实现这一目的。

然而,这种地址转换对网络安全产生了一定的影响。

二、NAT对安全的影响1. 阻止入站连接NAT会改变源地址,从而导致外部网络无法直接连接到内部网络。

这使得黑客难以发起入侵,但同时也阻止了合法的入站连接。

2. 限制出站连接内部网络能够访问外部网络,但限制了外部网络对内部网络的回应。

这可能导致某些应用程序无法正常工作,或者让用户的网络体验变得糟糕。

3. 不可追踪的通信NAT删除了内部网络和外部网络之间的直接联系,使得通信无法被追踪。

这对于一些特殊行业来说可能是一个巨大的隐患,比如金融机构需要对交易进行追踪和审计。

三、什么是IPSec?IPSec(Internet Protocol Security)是一种用于保护网络通信的协议集合。

它通过提供加密、身份验证、数据完整性验证等功能来增强网络的安全性。

四、IPSec与NAT穿越1. IPSec的工作原理IPSec协议使用两个主要的协议:认证头(AH)和封装安全负载(ESP)。

AH提供身份验证和数据完整性验证,而ESP提供加密功能。

这使得IPSec能够在两个端点之间建立安全的通信链路。

2. NAT穿越技术由于NAT对IPSec通信的干扰,传统的IPSec无法直接穿越NAT设备。

为了解决这个问题,提出了一些NAT穿越技术,如NAT-T(NAT Traversal)和UDP封装。

3. NAT-T的实现NAT-T通过将IPSec通信封装在UDP包中,绕过NAT设备的地址转换功能。

IPsecNAT穿越协议

IPsecNAT穿越协议

IPsecNAT穿越协议IPsecNAT穿越协议是一种用于解决IPsec(Internet Protocol Security)协议在网络地址转换(Network Address Translation,NAT)环境下遇到的问题的技术。

在传统的网络环境中,NAT设备会修改IP数据包的源地址和目的地址,这会影响IPsec协议的功能和安全性。

为了克服这一问题,IPsecNAT穿越协议应运而生。

1. 协议概述IPsecNAT穿越协议是一种允许IPsec协议在NAT环境下正常运行的技术。

它通过在NAT设备上进行特殊处理,使得IPsec协议能够成功建立安全连接,并确保数据的机密性和完整性。

IPsecNAT穿越协议遵循IPsec协议的标准,但在NAT设备上增加了额外的功能来处理与NAT相关的问题。

2. 协议原理IPsecNAT穿越协议的原理是通过在NAT设备的出口和入口处进行地址转换和端口映射,使得经过NAT的IPsec数据包能够正确地传递到目标主机。

具体而言,IPsecNAT穿越协议使用一种称为IPsec封装(IPsec encapsulation)的技术,将原始的IPsec数据包封装在NAT设备的IP包中,并在目标主机上解封装还原,从而绕过了NAT设备对IPsec数据包的修改。

3. 协议实现IPsecNAT穿越协议的实现需要在NAT设备上进行特殊配置和设置。

首先,NAT设备需要支持IPsecNAT穿越协议,并具备相应的功能和算法。

其次,NAT设备需要在NAT表中维护与IPsec会话相关的信息,以便正确地进行地址转换和端口映射。

此外,NAT设备还需要对IPsec数据包进行检查和处理,确保其完整性和安全性。

综上所述,IPsecNAT穿越协议的实现需要NAT设备和IPsec协议栈共同配合。

4. 协议优势IPsecNAT穿越协议的出现,为在NAT环境下使用IPsec提供了便利和可行性。

它解决了IPsec协议无法穿越NAT设备的问题,允许用户在享受IPsec安全性的同时,无需考虑NAT对IPsec数据包的影响。

NAT穿透技术穿透原理和方法详解

NAT穿透技术穿透原理和方法详解

NAT穿透技术穿透原理和方法详解NAT(Network Address Translation)是一种将私有网络中的IP地址转换为公网IP地址的技术。

它的主要作用是解决了IPv4地址资源不足的问题,同时也提供了一定程度的网络安全保护。

然而,NAT也带来了一些问题,其中最显著的就是它在一些情况下会阻碍对私有网络中主机的远程访问。

为了解决NAT对远程访问的限制,出现了NAT穿透技术。

NAT穿透技术允许位于私有网络中的主机与公网上的主机建立直接的连接,从而使得私有网络中的主机可以被公网上的主机访问到。

下面详细介绍NAT穿透技术的实现原理和具体方法。

一、NAT穿透的原理:私有网络中的主机首先与穿透服务器建立连接,并将本地IP和端口号发送给穿透服务器。

穿透服务器将这些信息记录下来并分配一个公网IP和端口号。

对于公网上的主机来说,私有网络中的主机就像一个虚拟的公网主机一样可直接访问。

同时,私有网络中的主机也可以主动发起连接到公网上的主机。

私有网络中的主机相当于是通过穿透服务器将自己的通信请求“穿透”了NAT 防火墙,直接到达公网上的主机。

二、NAT穿透的方法:1.端口映射:端口映射是最常见和简单的NAT穿透方法之一、私有网络中的主机将本地的端口号映射到公网IP的一些端口上,然后通过穿透服务器将请求转发到该端口上,从而实现私有网络中主机的远程访问。

2.中继服务器:中继服务器是一种在公网上与私有网络中的主机建立连续连接的方法。

私有网络中的主机首先连接到中继服务器,然后公网上的主机也连接到中继服务器,中继服务器将两端的请求进行转发,从而实现私有网络中的主机和公网上的主机直接通信。

3.UDP打洞:UDP打洞是一种通过UDP协议来穿透NAT防火墙的方法。

私有网络中的主机先向公网主机发送一个UDP数据包,公网主机也向私有网络的主机发送UDP数据包,通过这两个数据包的发送和接收,NAT防火墙会记录下私有网络中主机的IP和端口号,从而实现两者之间的直接通信。

IPSec的NAT穿越详细介绍

IPSec的NAT穿越详细介绍

IPSec的NAT穿越详细介绍1. 前言IPSec提供了端到端的IP通信的安全性,但在NAT环境下对IPSec的支持有限,AH协议是肯定不能进行NAT的了,这和AH设计的理念是相违背的;ESP协议在NAT环境下最多只能有一个VPN主机能建立VPN通道,无法实现多台机器同时在NAT环境下进行ESP通信。

关于IPSec在NAT环境下的需求问题在RFC3715中进行了描述。

NAT穿越(NATTraversal,NAT-T)就是为解决这个问题而提出的,在RFC3947,3948中定义,在RFC4306中也加入了NAT-T的说明,但并没废除RFC3947,3948,只是不区分阶段1和阶段2。

该方法将ESP协议包封装到UDP包中(在原ESP协议的IP包头外添加新的IP头和UDP 头),使之可以在NAT环境下使用的一种方法,这样在NAT的内部网中可以有多个IPSec 主机建立VPN通道进行通信。

2. IKE协商使用UDP封装RFC3947主要描述如何检测是否存在NAT设备,并如何在IKE中协商使用UDP来封装IPSec 数据包。

本帖隐藏的内容2.1 检测功能是检测通信中是否存在NAT设备和对方是否支持NAT-T。

正常的IKE协商使用的UDP包的源和目的端口都是500,如果存在NAT设备,大多数情况下该UDP包的源端口部分会改变,只有少数情况不改。

接收方如果发现UDP源端口不是500,那可以确定数据是经过了NAT设备。

另外,确定NAT的位置也是重要的,在检测对方失效(DPD)时,应该尽量由在NAT设备后面的一方主动进行DPD探测,而从另一方探测有可能会失败。

检测对方是否支持NAT-T是通过交换vendor ID载荷来实现的,如果自身支持NAT-T,在IKE 开始交互就要发送这种载荷,载荷内容是“RFC 3947”的MD5值,也就是十六进制的“4a131c81070358455c5728f20e95452f”。

判断是否在NAT设备后面是通过发送NAT-D(NAT-Discovery)载荷来实现的,载荷内容是IP 地址和UDP端口的HASH值,NAT-D载荷格式如下,载荷类型值是20:1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8+---------------+---------------+---------------+---------------+| Next Payload | RESERVED | Payload length |+---------------+---------------+---------------+---------------+~ HASH of the address and port ~+---------------+---------------+---------------+---------------+HASH值的计算方法如下,具体HASH是根据协商来确定的:HASH = HASH(CKY-I | CKY-R | IP | Port)CKY-I和CKY-R是协商发起方和响应方的cookie。

ipsec nat穿越原理

ipsec nat穿越原理

IPsec NAT穿越原理什么是IPsec?IPsec(Internet Protocol Security)是一种网络协议,用于在IP网络上提供安全的数据传输。

它通过加密和认证机制来保护数据的完整性、机密性和身份验证。

IPsec可以在两个主机之间或两个子网之间建立安全的通信链路。

它可以用于远程访问VPN(Virtual Private Network)连接、站点到站点VPN连接以及移动设备的安全通信。

为什么需要NAT穿越?NAT(Network Address Translation)是一种网络技术,用于将私有IP地址转换为公共IP地址,以实现多个设备共享同一个公网IP地址。

然而,由于NAT会改变IP头部信息,导致加密后的数据包无法正确解析。

这就给使用IPsec进行加密通信的应用程序带来了困扰。

因此,需要一种方法来克服NAT 对IPsec的限制,实现安全的通信。

IPsec NAT穿越原理1. NAT Traversal为了解决NAT对IPsec的限制问题,提出了NAT Traversal技术。

NAT Traversal 允许在经过NAT设备时建立和维护安全通道。

a. UDP封装NAT Traversal使用UDP封装技术将原始的IPsec数据包封装在UDP数据包中。

由于UDP是一种无连接的协议,它可以通过NAT设备传输到目标主机。

在发送IPsec数据包之前,发送方会将IPsec数据包封装在UDP数据包中,并将目的端口设置为特定的值(通常是4500)。

这样,NAT设备就会将整个UDP数据包转发到目标主机。

b. NAT检测NAT Traversal还引入了一种称为”keepalive”的机制来检测是否经过了NAT设备。

当IPsec设备与对等方建立连接时,它会周期性地向对等方发送keepalive消息。

如果对等方收到了keepalive消息,则说明没有经过NAT设备。

如果对等方未收到keepalive消息,则说明可能经过了NAT设备,并且需要使用UDP封装技术。

NAT穿越

NAT穿越

NAT分类
NAPT分类
NAT穿透
在现实Internet网络环境中,大多数计算机主 机都位于防火墙或NAT之后,只有少部分主机能 够直接接入Internet。很多时候,我们希望网络中 的两台主机能够直接进行通信,即所谓的P2P通信 ,而不需要其他公共服务器的中转。
由于主机可能位于防火墙或NAT之后,在进 行P2P通信之前,我们需要进行检测以确认它们之 间能否进行P2P通信以及如何通信。这种技术通常 称为NAT穿透(NAT Traversal)。
STUN协议
STUN,首先在RFC3489中定义,作为一个完 整的NAT穿透解决方案,英文全称是Simple Traversal of UDP Through NATs,即简单的用UDP穿 透NAT。
在新的RFC5389修订中把STUN协议定位于为 穿透NAT提供工具,而不是一个完整的解决方案 ,英文全称是Session Traversal Utilities for NAT,即 NAT会话穿透效用。RFC5389与RFC3489除了名称 变化外,最大的区别是支持TCP穿透。
NAT穿透
什么是NAT
NAT(Network Address Translation,网络地址 转换)是1994年提出的。当在专用网内部的一些 主机本来已经分配到了本地IP地址(即仅在本专 用网内使用的专用地址),但现在又想和因特网 上的主机通信(并不需要加密)时,可使用NAT 方法。
什么是NATຫໍສະໝຸດ NAT穿透穿透技术看起来是一项近似乎蛮干的技术, 却不失为一种有效的技术手段。在集中服务器的 帮助下,P2P的双方利用端口预测的技术在NAT网 关上打出通道,从而实现NAT穿透,解决了NAT对 于P2P的阻隔,为P2P技术在网络中更广泛的推广 作出了非常大的贡献

NAT穿越


TURN方式解决NAT问题的思路与STUN相似,也是私中的VOIP终端通过某种机制预先得公上的服务(STUN方式 得到的为出口NAT上外部,TURN方式得到为TURN Server上的公),然后在报文净载中所要求的信息就直接填写 该公。[Page]
TURN的全称为Traversal Using Relay NAT,即通过Relay方式穿越NAT.TURN应用模型通过分配TURN Server的和端口作为私中VOIP终端对外的接受和端口,即私终端发出的报文都要经过TURN Server进行Relay转 发,这种方式除了具有STUN方式的优点外,还解决了STUN应用无法穿透对称NAT(Symmetric NAT)以及类似的 Firewall设备的缺陷,同时TURN支持基于TCP的应用,如H323协议。此外TURN Server控制分配和端口,能分配 RTP/RTCP对(RTCP端口号为RTP端口号加1)作为私终端用户的接受,避免了STUN方式中出口NAT对RTP/RTCP端口 号的任意分配,使得客户端无法收到对端发来的RTCP报文(对端发RTCP报文时,目的端口号缺省按RTP端口号加 1发送)。
STUN协议最大的优点是无需现有NAT/FW设备做任何改动。由于实际应用中,已有大量的NAT/FW,并且这些 NAT/FW并不支持VoIP的应用,如果用MIDCOM或NAT/ALG方式来解决此问题,需要替换现有的NAT/FW,这是不太容 易的。而采用STUN方式无需改动NAT/FW,这是其最大优势,同时STUN方式可在多个NAT串联的络环境中使用,但 MIDCOM方式则无法实现对多级NAT的有效控制。
STUN的全称是Simple Traversal of UDP Through Network Address Translators,即UDP对NAT的简单 穿越方式。应用程序(即STUN CLIENT)向NAT外的STUN SERVER通过UDP发送请求STUN消息,STUN SERVER收到 请求消息,产生响应消息,响应消息中携带请求消息的源端口,即STUN CLIENT在NAT上对应的外部端口。然后响 应消息通过NAT发送给STUN CLIENT,STUN CLIENT通过响应消息体中的内容得知其NAT上的外部,并将其填入以 后呼叫协议的UDP负载中,告知对端,本端的RTP接收和端口号为NAT外部的和端口号。由于通过STUN协议已在NAT 上预先建立媒体流的NAT映射表项,故媒体流可顺利穿越NAT.

NAT穿透技术穿透原理和方法详解

NAT穿透技术穿透原理和方法详解NAT穿透技术是指在网络地址转换(NAT)环境下,通过一系列方法和技术,使内部设备能够与外部设备进行通信和访问。

NAT穿透技术的出现,解决了NAT所带来的通信限制和访问障碍问题,提供了更便捷的网络连接方式。

1. UPnP(Universal Plug and Play):UPnP是一种网络协议,用于自动配置设备和服务的网络通信。

UPnP可以帮助设备自动在NAT设备上创建端口映射,使内部设备能够直接被外部设备访问。

2. STUN(Simple Traversal of UDP through NAT):STUN是一种基于UDP的NAT穿透技术。

通过STUN服务器的中转,可以获取NAT设备的地址信息,进而建立内外设备的连接。

STUN可以通过多种方式获取地址信息,包括使用UDP报文中的IP地址和端口号等。

3. TURN(Traversal Using Relays around NAT):TURN是一种通过中继服务器实现NAT穿透的技术。

当无法直接建立连接时,内部设备可以通过TURN服务器作为中继,通过中继服务器与外部设备进行通信和交换数据。

4. ICE(Interactive Connectivity Establishment):ICE是一种综合利用STUN和TURN的NAT穿透技术。

ICE通过候选地址收集、比较和优选等步骤,选择最优的传输路径,确保内外设备之间的通信畅通。

以上方法中,UPnP是最简单且常用的NAT穿透技术,可以自动配置和映射端口,让内部设备能够被外部设备直接访问。

但是UPnP需要设备和路由器支持,而且由于安全性问题,有些网络中禁用了UPnP。

而STUN、TURN和ICE等技术则依赖于中继服务器和地址信息的获取,相对更加复杂一些,但是可以在更广泛的网络环境中使用。

总结来说,NAT穿透技术通过各种方法和技术,使得内部设备能够与外部设备进行通信和访问。

不同的NAT穿透方法适用于不同的网络环境,选择合适的方法能够提高网络连接和通信的效率。

NAT穿越技术研究及实现

NAT穿越技术研究及实现NAT(Network Address Translation,网络地址转换)是一种网络技术,通常用于将私有网络中的IP地址转换为公共网络的IP地址,以便实现与公共网络的通信。

然而,在一些情况下,需要在私有网络中的主机之间直接通信,而不经过NAT设备的转换。

这就需要使用NAT穿越技术。

在实现NAT穿越技术时,主要有以下几种方法:1.反向连接:这种方法是在私有网络中的主机主动向公共网络中的主机发送连接请求,然后公共网络中的主机再发起一个反向的连接请求来建立连接。

这种方法可以绕过NAT设备的转换,但需要公共网络中的主机能够接受外部连接。

2.中继服务器:这种方法是在公共网络中设置一个中继服务器,私有网络中的主机通过中继服务器进行通信。

中继服务器充当了一个桥梁的角色,可以帮助私有网络中的主机建立直接的点对点连接。

这种方法需要有一个可信赖的中继服务器,并增加了网络延迟。

3.UDP打洞:这种方法是利用UDP协议的一些特性,通过在NAT设备上生成映射规则,使私有网络中的主机能够直接与公共网络中的主机通信。

具体步骤是,私有网络中的主机发送一个UDP包给公共网络中的主机,此时NAT设备会生成一条映射规则,将公共网络中的数据包转发到私有网络中的主机。

1.NAT设备的类型:不同的NAT设备采用不同的转换规则,因此在实现NAT穿越技术时,需要针对特定类型的NAT设备设计相应的解决方案。

2.端口映射:NAT设备通常会对IP地址和端口进行映射转换。

在实现NAT穿越技术时,需要确定私有网络中的主机的公共网络端口是如何映射到私有网络中的端口的。

3.安全性:NAT穿越技术涉及到跨越网络边界的通信,因此需要考虑安全性的问题。

在设计和实现NAT穿越技术时,需要采取相应的安全措施,以确保通信的安全性和可靠性。

总之,NAT穿越技术是一种允许私有网络中的主机直接通信的技术。

它可以通过反向连接、中继服务器、UDP打洞等方法实现。

NAT穿透技术-1


1
NAT工作原理
2 3
NAT分类
NAT类型探测 NAT穿越方法
4 5
Q&A
4.1 NAT常见穿越方案
• 应用层网关(ALG)方式。 • MIDCOM(Middle-Box Communications)代 理方式。 • STUN(Simple Traversal of UDP Through NAT),即UDP对NAT的简单穿越 • TRUN(Traversal Using Relay NAT),即采用 中继的NAT穿越 • ICE(Interactive Connectivity Establishment), 互动式连接
Restricted Port NAT
3.3 NAT检测步骤
• 第一步:检测客户端是否有能力进行UDP通信以及 客户端是否位于NAT后?
客户端建立UDP socket然后向服务器S1发送数据包,要 求服务器返回客户端的IP和Port; 客户端发送请求后立即开始接受数据包,要设定socket Timeout 300ms,防止无限堵塞,重复这个过程若干次; 如果每次都超时,无法接受到服务器的回应,则说明 客户端无法进行UDP通信(检测停止); 当接收到服务器的回应时,需要把服务器返回的客户 端(IP, Port)和客户端socket的 (Local IP,Local Port) 比较。如果完全相同则客户端不在NAT后,且具有公网 IP,可以直接监听UDP端口接收数据进行通信(检 测停 止); 否则客户端在NAT后要做进一步的NAT类型检测
• 第三步:检测客户端NAT是否是Symmetric NAT?
客户端记下在第一步时服务器S1返回客户端的IP和Port 。 用同样的方法用一个socket向服务器S2的(IP-2,Port-2)发 送数据包要求服务器返回客户端的IP和Port。 比 较上面两个过程从服务器返回的客户端(IP,Port),如果 两个过程返回的(IP, Port)有一对不同,则说明客户端为 Symmetric NAT,这样的客户端无法进行UDP-P2P通信 (检测停止)。 否则是Restricted Cone NAT,是否为Port Restricted Cone NAT有待检测(继续)。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

③INVITE消息中SDP部分 c参数指定公网向内网发 送RTP数据包时的地址。
*
* ①公网响应私网的请求信息发送200OK消息时,
目的地址192.0.101.1是私网地址,而私网地址 无法在公网上路由
Q:私网地址为何无法在公网上路由? A:把小明定义成银行行长(公众身份,公网),拥 有银行保险库的钥匙(NAT技术),从而利用职位 之便,把小三小花(私人身份,私网)、小四小红 (私人身份,私网)等装扮成内部人员(地址映射) 带到保险库,瞧瞧他的金山。
*
*
首先:用户注册
*
然后,STUN绑定 映射
映射地址
*
接着:呼叫连接 请求
修改SDP中的m字段, 端口号为63166
*
* 分析中发现的问题:
在最新的STUN绑定获得映射地址之后,INVITE请 求中的所携带的SDP的m字段并非最新获取的端口
*
* RFC5766/TURN:
全称为:Traversal Using Relays around NAT. 还有一种 称为:Relay Extensions to Session Traversal Utilities for NAT,即STUN的一种扩展。
{X,y}|{A,b}{P,q},NAT只接收来自{P,q}的包,并转给{X,y}. 当客户端请求一个不同的公网地址和端口,就会新分配一个 端口号{C,d}
*
* SIP介绍:
SIP(Session Initiation Protocol):称为会话初始协议。 SIP协议位于IP网络的应用层,在各个传输层(UDP、 TCP、TLS等)之上
*
* RFC3489下的端口类型检测:
在Test ||中Stun 服务器使用另外 一个IP和端口对
在test |中,STUN服 务器用收到的请求和 地址端口对发送响应
*
*
*
* 过程:
(1):A向STUN服务器发送连接B请求 (2):STUN服务器向A和B发送对方的映射地址 (3):B将A的对外地址作为目的地址发送一个Hole Punching UDP包。并使得B中的NAT网络开了一个 洞,允许后续请求迚入该洞 (4):A以B的外部地址为探测地址发送一个探测数据 报,同样,该数据报也在A中的NAT网络中建立了 一个映射 (5):由于第3步的洞开了,第4步的连接能迚入了, 所以B受到A的探测数据报之后发回给A一个ACK
*
* SIP几个功能实体:
①用户代理:将接受到的请求或响应消息进行代理, 发到SIP网络中。分为客户端代理(UAC)和服务端 代理(UAS) ②代理服务器:负责转发SIP信息,添加用于路由 的信息。 ③重定向服务器:接受SIP请求,把请求中的源地 址映射成零个或多个地址,返回给给客户机,从而 使主叫可以通过新的被叫地址直接联系被叫。 ④注册服务器:接受用户代理的请求,完成用户的 注册信息,只充当UAS功能。
①Via字段指定客户端的 地址为192.168.0.101 (私网)
* * * * * * * *
v=0 o=- 3592783354 3592783354 IN IP4 58.60.1.112 s=pjmedia c=IN IP4 58.60.1.112 t=0 0 m=audio 40551 RTP/AVP 99 0 8 101 c=IN IP4 58.60.1.112 a=rtcp:40552 IN IP4 58.60.1.112
* ICE原则:
尽可能实现直接链接,迫不得已情况才使用中继形 式
*
* 迚行ICE扩展的原因:
在对称NAT类型之间的传输时,需要用到中继服务 器。负载要求高,延时等影响
* 如何实现扩展:
迚行对称NAT类型的端口预测,实现直接连接
*
* 端口预测:
准备三个端口
*
*
*
只有外网为{P,q}的包才可以通过{A,b}访问私网中的{X,y}。
*
* 对称NAT(Sysmetric NAT)
私网
C,d A,b
公网
M,n P,q P,r S
一定为一个形如 {X,y}|{A,b}{P,q}
X,y
X X
* 特点:私网地址{X,y}对外网的映射地址对为{A,b},并绑定为
Port Restricted Cone NAT
——HIT ZZP
2014-1-6
1. 2. 3. 4. 5. 6.
背景知识 NAT分类 SIP会话开始协议 STUN TURN ICE以及ICE扩展
* IPV4地址短缺无法一一分配地址NAT提出 * NAT:Network Adrress Translation,可将局部范
围的多个私有地址(保留地址)转化为合法的IP 地址。
*
* 端口限制圆锥形NAT(Port Restricted Cone NAT)
私网 公网
W,c P,q
X,y
A,b
Port Restricted Cone NAT
X X
P,r S
这里{P,q}可以迚入, 而{P,r}因为端口不 同则不行,另外, 只要{X,y},则映射 地址就为{A,b}
* 特点:私网地址{X,y}对外网的映射地址对为{A,b}(绑定),
*
* 地址限制圆锥形NAT(Address Restricted
私网 公网
NAT)
只要地址相同,都 为P,端口可以不 同
W
P,q P,r
X
X,y
A,b
Restricted Cone NAT
X
S
* 特点:私网地址{X,y}对外网的映射地址对为{A,b}(绑定),
只有外网P的包才可以通过{A,b}访问私网中的{X,y}。
* TURN和STUN的联系:
共同点:都是通过修改应用层中的私有地址达到NAT穿 透的效果。 异同点:TURN通过通讯的“中间人”方式实现穿透, TURN用于对称NAT比较多,STUN用于非对称NAT
*
*
* RFC5245/ICE
ICE全称“Interactive Connectivity Establishment” 利用了STUN及STUN的扩展TURN。ICE可以被任何 请求/问答模式的协议使用。
*
*
*
* * * * * * * * * * *
INVITE sip:feng@220.231.193.226 SIP/2.0 Via: SIP/2.0/TCP 192.168.0.101:53166; Max-Forwards: 70 From: <sip:wc@220.231.193.226>;tag=maw4ERN5HCs.-zt-vyOxss.Knrnj7Gv9 To: <sip:feng@220.231.193.226> ②Contact字段指定的地 Contact: <sip:wc@58.60.1.112:27045;transport=TCP;ob>;+sip.ice 址用于后续的请求。 Call-ID: 3m-y5mKxc8ligLANWcTS1MOKah6loyHH CSeq: 9482 INVITE User-Agent: CSipSimple_endeavoru-15/r2272 Content-Type: application/sdp Content-Length: 714
* NAT作用:1)解决IP地址不足问题
2)避免网络外部攻击,隐藏并保护内
部的计算机
*
* 私有地址有哪些地址块?
RFC 1918 为私有网络预留出了三个IP 地址块,如 下:
A 类:10.0.0.0~10.255.255.255
B 类:172.16.0.0~172.31.255.255 C 类:192.168.0.0~192.168.255.255
址,在发送RTP数据包时,指定的地址无法在公 网上路由
*
* RFC3489和RFC5389的区别:
①RFC3489中,STUN全称为:"Simple Traversal of UDP through NAT“ RFC5389中,STUN全称为:"Session Traversal Utilities for NAT“ ②RFC3489下的STUN称为“经典的STUN”,不适合 作为一个NAT穿越解决方案,因为对穿透失败情况 没有做出补救措施 ③RFC5389可以支持TCP上的连接。可以扩展到TURN。
*
* FW(防火墙):
一种基于内部网络与外部网络之间的网络安全系统
*
* 完全锥形NAT(Full Cone NAT)私网 公网W来自P SX,yA,b
Full Cone NAT
* 特点:私网地址{X,y}对外网的映射地址对都为{A,b}(绑
定),所有处于外网的如W、P、S都可以通过{A,b}访问私网 中的{X,y}
*
* ②各个层次的分工不一样,NAT/FW处于IP层和
TCP/UDP层,负责对地址和端口号的相应转换, 而SIP协议处于应用层,其通过报文的交互来协 商双方使用的IP地址和端口号。而这就是NAT/FW 无法对应用层报文内部的信息进行处理从而造成 SIP信令寻址不成或者无法建立连接的原因。
* ③仍然是路由问题,SDP指定的c参数为私网IP地