【原理】
内部主机----->私有地址----->NAT----公网地址----->外部主机
就是替换IP报文头部的地址信息
Network Address Translation,网络地址转换,用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信
NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现数据的转发, 这就是NAT的工作原理。
RFC1918规定了三个保留地址段落:10.0.0.0-10.255.255.255;172.16.0.0-172.31.255.255;192.168.0.0-192.168.255.255。这三个范围分别处于A,B,C类的地址段,不向特定的用户分配,被IANA作为私有地址保留
- 网络被分为私网和公网两个部分,NAT网关设置在私网到公网的路由出口位置,双向流量必须都要经过NAT网关;
- 网络访问只能先由私网侧发起,公网无法主动访问私网主机;
- NAT网关在两个访问方向上完成两次地址的转换或翻译,出方向做源信息替换,入方向做目的信息替换;
- NAT网关的存在对通信双方是保持透明的;
- NAT网关为了实现双向翻译的功能,需要维护一张关联表,把会话的信息保存下来。
【类别】
NAT(Network Address Translators):称为基本的NAT,这种转换的核心是地址而不是端口,基本很少见了
NAPT(Network Address/Port Translators):其实这种才是我们常说的 NAT
【实现方式】
① 静态转换(Static NAT)
将特定的公网地址和端口一对一的映射到特定的私网地址和端口,且每个私网地址都是确定的。
② 动态转换(Dynamic Nat)
将内部地址与公网地址一对一的转换,但是动态地址是从合法的地址池中动态的选择未使用的公网地址,是随机的;当用户断开连接后,再次连接,可能外部地址就会切换成了另一个
③ 端口多路复用(Port address Translation,PAT)
这也算是一种动态的,将多个内部地址转换为同一个公网地址,用不同的端口来区别不同的主机,可以分为圆锥型NAT和对称性NAT
【NAPT分类】
① 全锥NAT(Full Cone NAT)
一个私有地址(addr)映射到公网地址(addr)后,内部地址(addr)可以收到任意外部主机(host)发到所映射公网地址(addr)的数据报
② 限制性锥NAT(Restricted Cone NAT)
一个私有地址(addr)映射到公网地址(addr)后,只有当内部主机(host)先给该(任意)外部主机(host)发送数据包后,内部主机才能通过(所映射的)公网地址接收到
该(任意)外部主机 发送到 公网地址的数据包(不限端口)[外部主机从任意端口发送到公网地址的报文将会被转发到私网地址]
③ 端口限制性锥NAT(PortRestricted Cone NAT)
这种实现方式与限制性锥NAT类似,只是多了端口的限制。一个私有地址(addr)映射到公网地址(addr)后,内部主机必须先向外部主机发过数据包之后,
外部主机才能够通过对应的端口发包到达内部地址(从"哪"进从"哪"出)
④ 对称NAT (Symmetric NAT)
这种实现方式不同于以上3种,就是不属于锥NAT(Cone NAT)。当同一台内部主机使用 相同的 端口与 不同的 外部主机通信时,对称NAT会重新建立一个会话,为这个会话分配不同的端口;
只有收到报文的外部主机从其对应的端口发送回应的报文,才能被转换(从"哪"来回"哪"去)。即使内部主机使用之前用过的地址端口去连接不同外部主机(或端口)时,NAT网关也会建立新的映射关系
【优缺点】
① 完美地解决了lP地址不足的问题
② NAT不仅实现地址转换,同时还起到防火墙的作用,隐藏内部网络的拓扑结构,有效地避免来自网络外部的攻击,因为对于外部主机来说,内部主机是不可见的,
NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是 NAT 主机的公共 IP
③ 也对P2P这种端到端连接的应用造成了困扰
【NAT类型检测】
前提条件:有一个公网的Server并且绑定了两个公网IP(IP-1,IP-2)。这个Server做UDP监听(IP-1,Port-1),(IP-2,Port-2)并根据客户端的要求进行应答。
第一步:检测客户端是否有能力进行UDP通信以及客户端是否位于NAT后?
客户端向(IP-1,Port-1)发送UDP报文,要求服务器返回客户端的IP和Port。重复若干次,如果每次都超时,则客户端无法进行UDP通信。
如果服务器返回的客户端的IP和Port于发送UDP的localIP和Port相同,则客户端不在NAT后,否则位于NAT后
第二步:检测客户端NAT是否是Full Cone NAT?
客户端向服务器的(IP-1,Port-1)发送UDP报文,要求服务器用(IP-2,Port-2)响应客户端的请求。重复若干次,若每次都超时,则不是Full Cone NAT;否则是
第三步:检测客户端NAT是否是Symmetric NAT?
客户端向服务器(IP-1,Port-1)发送UDP报文,要求服务器返回客户端的IP和Port。客户端使用其他socket向服务器发送(IP-2,Port-2),要求服务器返回客户端的IP和Port。
如果两次返回的IP和Port有一对不一致,则为Symmetric NAT,这样的客户端无法进行UDP-P2P通信。否则为限制型NAT
第四步:检测客户端NAT是否是Restricted Cone NAT还是Port Restricted Cone NAT?
客户端向服务器(IP-1,Port-1)发送UDP报文,要求服务器用(IP-1,Port-x)发送UDP数据包响应。重复若干次,若每次都超时,则是端口限制。否则为限制型锥NAT。
【NAT穿透】
在不同NAT后面的两个客户端A和B,如果知道对方的NAT映射后的外网地址,就有可能直接发送UDP包给对方外网地址进行通讯。
但客户端不能直接获取自身的NAT外网地址,解决的办法就是引入一个服务器S来协助客户端获取自身的外网地址。
NAT的类型有多种,类型两两组合有很多种,不是每种组合都可以被穿越的,我们来分析两个典型的组合。
① 锥型VS锥型
S
A--NAT A(e)====NAT B(e)--B
B发送数据包给S询问自身地址,S把B的外网地址eB返回给B
S把B的外网地址eB发送给A
S把A的外网地址eA发送给B
A发送数据包给eB,B发送数据包给eA,建立P2P通道
② 端口限制锥型 vs 对称型
【STUN】
Simple Traversal of User Datagram Protocol Through Network Address Translators),即简单的用UDP穿透NAT,是个轻量级的协议,是基于UDP的完整的穿透NAT的解决方案
它允许位于NAT(或多重NAT)后的客户端找出自己的公网地址,
查出自己位于哪种类型的NAT之后以及NAT为某客户端的一个本地端口所绑定的Internet端端口。这些信息被用来在两个同时处于NAT路由器之后的主机之间创建UDP通信。
该协议由RFC 3489定义,RFC 5389 RFC 7350
STUN是一种Client/Server的协议,也是一种Request/Response的协议,默认端口号是3478
// 协议改变
STUN协议在RFC5389中被重新命名为Session Traversal Utilities for NAT,即NAT会话穿透效用。
在这里,NAT会话穿透效用被定位为一个用于其他解决NAT穿透问题协议的协议。它可以用于终端设备检查由NAT分配给终端的IP地址和端口号。
同时,它也被用来检查两个终端之间的连接性,好比是一种维持NAT绑定表项的保活协议
STUN本身不再是一种完整的NAT穿透解决方案,它相当于是一种NAT穿透解决方案中的工具。这是与RFC3489/STUN版本相比最重要的改变。
RFC5389与RFC3489除了名称变化外,最大的区别是支持TCP穿透。
【STUN用途】
① Interactive Connectivity Establishment(ICE)[MMUSIC-ICE],交互式连接建立
② Client-initiated connections for SIP [SIP-OUTBOUND],用于SIP的客户端初始化连接
③ NAT Behavior Discovery [BEHAVE-NAT],NAT行为发现
国内免费使用的STUN服务器
stun:stun1.l.google.com:19302
stun:stun2.l.google.com:19302
stun:stun3.l.google.com:19302
stun:stun4.l.google.com:19302
stun:23.21.150.121
stun:stun01.sipphone.com
stun:stun.ekiga.net
stun:stun.fwdnet.net
stun:stun.ideasip.com
stun:stun.iptel.org
stun:stun.rixtelecom.se
stun:stun.schlund.de
stun:stunserver.org
stun:stun.softjoys.com
stun:stun.voiparound.com
stun:stun.voipbuster.com
stun:stun.voipstunt.com
stun:stun.voxgratia.org
stun:stun.xten.com
【TURN】
RFC5766
Traversal Using Relays around NAT(TURN):Relay Extensions to Session Traversal Utilities for NAT(STUN),即使用中继穿透NAT:STUN的中继扩展
TURN与STUN的共同点都是通过修改应用层中的私网地址达到NAT穿透的效果,异同点是TURN是通过两方通讯的“中间人”方式实现穿透。
TURN协议就是用来允许主机控制中继的操作并且使用中继与对端交换数据。TURN与其他中继控制协议不同的是它能够允许一个客户端使用一个中继地址与多个对端连接。
TURN协议被设计为ICE的一部分,用于NAT穿越,虽然如此,它也可以在没有ICE的地方单独使用。
【ICE】
Interactive Connectivity Establishment(互动式连接建立),由IETF的MMUSIC工作组开发出来的,它所提供的是一种框架,使各种NAT穿透技术可以实现统一。
ICE跟STUN和TURN不一样,ICE不是一种协议,而是一个框架(Framework),它整合了STUN和TURN。
如果A想与B通信,那么其过程如下:
1)A收集所有的IP地址,并找出其中可以从STUN服务器和TURN服务器收到流量的地址;
2)A向STUN服务器发送一份地址列表,然后按照排序的地址列表向B发送启动信息,目的是实现节点间的通信;
3)B向启动信息中的每一个地址发送一条STUN请求;
4)A将第一条接收到的STUN请求的回复信息发送给B;
5)B接到STUN回复后,从中找出那些可在A和B之间实现通信的地址;
6)利用列表中的排序列最高的地址进一步的设备间通信。
ICE协议下NAT穿越的实现(STUN&TURN):