voip的nat穿越方法.docVIP

一：问题背景 多媒体会话信令协议是在准备建立媒体流传输的代理之间交换信息的协议，例如SIP、RTSP、H.323等。媒体流与信令流截然不同，它们所采用的网络通道也不一致。由于协议自身设计上的原因，使得媒体流无法直接穿透网络地址转换/防火墙(NAT/FW)。因为它们生存期的目标只是为了建立一个在信息中携带IP地址的分组流，这在遇到NAT/FW 时会带来许多问题。而且这些协议的目标是通过建立P2P(Peer to Peer)媒体流以减小时延，而协议本身很多方面却与NAT存在兼容性问题，这也是穿透 NAT/FW的困难所在。 而NAT仍是解决当前公用IP地址紧缺和网络安全问题的最有力手段，它主要有四种类型：完全圆锥型NAT(Full Cone NAT)，地址限制圆锥型NAT (Address Restricted Cone NAT)，端口限制圆锥型NAT (Port Restricted Cone NAT)，对称型NAT (Symmetric NAT)。前三种NAT，映射与目的地址无关，只要源地址相同，映射就相同，而对称型NAT的映射则同时关联源地址和目的地址，所以穿透问题最为复杂。 二：NAT简介 NAT：网络地址转换(Network Address Translators) NAT的演变种类： 1：基本NAT 基本的NAT实现的功能很简单，在子网内使用一个保留的IP子网段，这些IP对外是不可见的。子网内只有少数一些IP地址可以对应到真正全球唯一的IP地 址。如果这些节点需要访问外部网络，那么基本NAT就负责将这个节点的子网内IP转化为一个全球唯一的IP然后发送出去。(基本的NAT会改变IP包中的 原IP地址，但是不会改变IP包中的端口)，互联网最开始使用的是基本NAT. 2：NAPT NAPT是经NAT演变后的变种。NAPT不但会改变经过这个NAT设备的IP数据报的IP地址，还会改变IP数据报的TCP/UDP端口 目前一般常见的是NAPT。 三：NAT种类 1：非对称型NAT a)完全圆锥型NAT 打洞创建原则：终端向外部任意IP发送一个package，NAT就形成了一个映射，即创建了一个洞。 接收数据原则：只要过来的数据是发送到打洞的终端，就可以顺利通过。 具体来说就是，如图所示，NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定，任何包都可以通过地址{A:b}送到客户主机的{X:y}地址上 b)受限圆锥型NAT 打洞创建原则：终端向外部某个IP发送一个package，就形成了与此IP的一个映射。 接收数据原则：满足两个条件：1，此数据来自此IP；2，此数据要发送到打洞的终端。 具体的说就是，如图所示，NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定，只有来自主机{P}的包才能和主机{X:y}通信。 c)端口受限圆锥型NAT 打洞创建原则：终端向外部某个IP的某个Port发送一个package，NAT就形成了与此IP/Port对的一个映射。接收数据原则：满足两个条件：1，此数据来自此IP的此Port；2，此数据要发送到打洞的终端。 具体来说就是，如图所示，NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定，只有来自主机{P,q}的包才能和主机{X:y}通信。 2：对称型NAT 对称NAT是指把所有来自相同内部IP地址和端口号，到特定目的IP地址和端口号的请求映射到相同的外部TP地址和端口。 如果同一主机使用不同的源地址和端口对，发送的目的地址不同，则使用不同的映射。只有收到了一个IP包的外部主机才能够向该内部主机发送回一个UDP包。 对称的NAT不保证所有会话中的(私有地址，私有端口)和(公开IP，公开端口)之间绑定的一致性。相反，它为每个新的会话分配一个新的端口号。 具体的说就是，如图所示，NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定为 {X:y}|{A:b}-{P:q}，NAT只接受来自{P:q}的incoming packet，将它转给{X:y} ，每次客户机请求一个不同的公网地址和端口时，NAT就会新分配一个端口号{C,d}。 四：穿越NAT/firewall的几大方式 NAT穿越的核心思想就是让p2p的双方的NAT看上去都是“向外”的NAT。 1：转发方式 最可靠但同时也是效率最低的p2p穿越NAT进行通信的方法是采用类似C/S方式的转发。假定两个节点A和B每个节点都有向外的TCP或UDP 连接，联入公共的已知服务器S，S的公网IP地址是1，端口号是1234（如图所示）,每个客户端位于不同的私有内网中，并且它们 的NAT设备妨碍了客户端之间直接的p2p连接。做为对直连方案的替代方案，两个客户端可以利用公共的服务器S进行消息的转发。例如，A为了将消息送给 B，A只