NAT／FW穿越技术探讨及其比较.pdfVIP

维普资讯 西 南民族 大学学报 自然 学版 第33卷第4期 J l uralScienceEdition Aug．2o07 一 -。 … ～ · oumalofSouthwestUniversityforNationalitiesNat 文章编号：1003-2843(2007)04-0980-04 NAT／FW 穿越技术探讨及其 比较 李继玲 ，殷锋 ，李宝林 (1．西北政法大学，西安 7t0063；2．西南民族大学，成都 610041；3．四Jil大学，成都 610065) 摘 要：本论文分析了NATF／W造成问题的原因，研究了目前现网所使用的各种NAT／FW穿越方案，总结了解决方案 的基本思路，并对各个方案进行了系统的比较分析，可以为网络部署提供一定的参考和指导． ‘ 关键词：网络地址转换／防火墙；应用层网关；中间通信；UDP的穿越NAT 中图分类号：TP393．01 文献标识码：A 1 问题描述 NAT／FW 只对 IP层／f专输层的IP地址／端口进行转换的机制，在实际的一些义务应用中也引起了一些问题 公 网 地 址 ： 如图 1中，位于局域网 1的TEl希望和位于公网的TE3(或者位于局域网2的TE2)通过 SIP协议1【。1进行 VOIP业务．由于TEl在SIP协议中携带的用于将来建立媒体连接的地址和端H为TEl的私网IP地址和TEl的 本地端口，而这些信息位于信令负载中，NATF／W不对其进~, (NATF／W不理解应用层协议，只对最外层的 IP地址／端口进行转换)，所以TE3收到的媒体连接的信息为TEl的私有地址和本地端H，导致连接无法建立． 上述问题的原因在于，现网中的一些业务(如VOIP业务)所采用的信令协议，如H．323，SIP等协议，在应用 层协商媒体连接的地址和端H信息，把这种应用层的IP地址／端口信息称为 “内层信息”，而把 IP层／传输层的 IP地址／端口信息称为 “外层信息”．[4-6]由于NAT／FW只对外层信息进行转换，而对不处理内层信息．所以将来 媒体连接无法正常建立． 针对上述问题汾析，本论文砌境了目前现网所便佣的NAT／FW穿越 转，擀 寸各个方案遄彳亍了系统的比较．分析， 说明了各个方案的有缺点和使用场景，并给出了解决方案的基本原则，可以为网络部署提供一定的参考和指导． 2 解决方案分析 2．1 需要对NAT／FW进行改动的方案 方案1ALG方式 ALG工作在应用层，往往驻留在NAT中，所以一般称为NATA／LG．NATA／LG通过修 改通过的SIP信令负载中所携带的私网终端的地址端口信息为NATA／LG的公网地址端H信息，并保存相应的 映射 ，控制防火墙打开映射条 目所对应的防火墙端H． 图2中，方案1的防 {}督重过一条线指向NAT／FW，表明该方式_灞『耍NAT／FW进爷敢 动，以实现ALG的功能 收稿 日期：2007-03-16 作者简介：李继玲(1985-)，女，西北政法大学教师 维普资讯 第 4期