Symmetric NAT穿越问题研究.doc

Symmetric NAT穿越问题研究 　　摘要：为适应越来越多的企业基于网络安全性需要而使用Symmetric NAT的趋势，给出一种采用预测端口实现信息包穿越Symmetric NAT的方法，该方法克服了目前对称型NAT穿越方式中存在的服务器负担重、延时、丢包等问题，能更好的满足企业使用对称型NAT既可节约IP又能强化网络安全的需求。 　　关键词：NAT；NAT类型；端口预测；信息包穿越 　　中图分类号：TP393 文献标识码：A 　　1引言 　　NAT （Network Address Translator）技术有效的缓解了网络地址资源短缺的问题。P2P （peertopeer）技术的应用改变了现今 Internet 以服务器为中心的集中式互联网结构、重返“非中心化”，并把权力交还给用户，使得网络上的沟通变得更容易、更直接。而NAT设备的广泛存在限制了P2P的应用，因此研究解决好NAT的穿越问题非常有意义。 　　目前常用的穿越方法中STUN（Simple Traversal of UDP over NATs）是NAT的UDP简单穿越方式， 协议简单， 采用C/S架构， 支持多级NAT， 但不支持TCP， 无法在对称型NAT下工作[1]；TURN（Traversal Using Relay NAT）中继方式穿越NAT方式， 采用C/S架构， 私网用户发出的报文都要通过TURN服务器进行Relay转发， 可以解决所有NAT穿越问题， 但是TURN服务器负担重， 容易出现延时和丢包问题。ICE （Interactive Connectivity Establishment） 结合使用了STUN 和TURN两种协议，因而也存在TURN 方式所固有的缺陷。 　　Symmetric NAT以其安全性、实用性、设备的兼容性等特征越来越多的被应用于对安全性要求较高的企业网中，但目前对称型NAT穿越方案又存在固有缺陷，不能很好的完成对Symmetric NAT的穿越。本文给出的端口预测穿越对称型NAT的方案无须改动现有的NAT设备， 协议简单， 支持多级NAT的特征，而且较其他能够穿越对称型NAT的方案（如TURN、ICE方案）的可贵之处是克服了服务器负担重、延时、丢包等问题。 　　2NAT 　　NAT是一个IETF（internet engineering task force）标准。NAT将只能作为内网地址使用的：A类 至55； B类至55；C类至55转换为能在Internet上使用的外网地址，使基于32位IPv4（Internet Protocol version4）的IP地址紧缺问题得以缓解，同时也使内网IP地址能够重复使用的特性得以更好的拓展[2]。 　　NAT在只能作为内网地址的私网地址与能在Internet上使用的公网地址之间建立映射表，当内网用户需要访问Internet时，NAT将信息流中的内网IP地址修改为可以在Internet上路由的公网IP地址，从而实现内网用户与外网用户之间的通信，同时建立起内网地址与外网地址间的映射关系。同样，当外网用户需要和内网用户通信时，NAT对照建立的映射表，把经过信息流中的IP地址修改为与其对应的内网IP地址发往内网用户[3，4]。NAT起到了内外网IP地址的翻译作用如图1。 　　由于外网用户是通过映射表来访问内网用户的，因此，外网用户访问内网用户与内网用户访问外网用户不同，外网用户必须是内网用户先前访问过且已在NAT上建立了映射关系的才能实现与内网对应用户的通信，否则无法实现对内网的访问。这一特征也起到了强化保护内网安全的作用。 　　3NAT的分类及特点 　　IETF制定的STUN（Simple Traversal of UDP Through Network address Translators）协议 （RFC3489）用来解决UDP报文对NAT的穿越，它将NAT分为4类即：完全锥型NAT（Full Cone NAT），地址限制锥型NAT （Address Restricted Cone NAT），端口限制锥型NAT （Port Restricted Cone NAT）和对称型NAT （Symmetric NAT）[5]。 　　1）完全锥型NAT：当NAT内部用户A连接外网用户时，NAT会为其分配一个端口，此后外网任何发到这个端口的UDP数据报都可以到达内网用户A。 　　2）受限锥型NAT：当NAT内部用户A连接外网的用户B时， NAT会为其分配一个端口，此后B可以用任何端口和A通信，但其他的外网用户不能。 　　3）端口受限锥型：当NAT内部用户A连接外网的用户B时， NAT会为其分配一个端口，此后B只能用本端口和A通信。B用其他端口或其他用户均不能