NAT穿越浅谈

最新推荐文章于 2023-08-13 20:38:58 发布
最新推荐文章于 2023-08-13 20:38:58 发布
阅读量701 收藏
点赞数
分类专栏: network

自从internet引入NAT以后,围绕NAT的问题就是层出不穷。想当年,把NAT介绍进来,是为了解决

ipv4地址不够用(或者public ip太贵)的问题,顺带还增加了内网的安全性(隐藏网络拓扑)。但是

NAT本身是违背网络端到端的设计的,因为它需要在网关上做一些手脚。以至于很多应用由于NAT,会

出现问题,最突出的就是voip, p2p and p2p gaming。

先看个图:

为了解决应用穿越NAT的问题,IETF又发明了很多solution(从这一点上来看,IETF很体谅工程师,

总是能够搞出来点事,让ip工程师不至于失业,而且还能活得很滋润)。闲话不说,我们来看看两个

常见的方法:STUN和ALG。

说STUN,就需要谈谈nat cone,那么,什么是nat cone哪?看图

  • Full cone

    这是一个full cone, nat binding是 {z, 3001, xxx, xxx},也就是不限制从外面来的ip地址和端口,

    匹配这个binding后,会把目的地址和端口映射成内部地址和端口。

    • ip restricted cone

    • ip restricted cone, binding是{z, 3001, b, xxx},也就是限制从外面来的源地址

      • port restricted cone

      • port restricted cone, binding是{z, 3001, xxx, 90},也就是限定从外面来的端口

        • symmetric nat
        • symmetric cone, binding 是{z, 3001, b, 90},同时限定从外面来的源地址和端口。传统的NAT就是这

          样的行为。所以传统NAT在支持穿越方面是不给力的,需要结合ALG来用。

          NAT穿越需要完成两件事情

          • connection能够穿越gateway,也就是说,gateway上的policy必须允许connection穿过,但是对于

                  端口不固定的应用(voip, p2p, gaming),policy是没法事先配置的,所以一般是需要创建expect(netfilter),

                  这样通过expect来避免policy匹配。即使配置了全通过的策略,在NAT环境中可能还有问题,因为协议里面可能

                 包含私有地址,所以nat穿越是个必选项,而不是可选项。

          • payload里面的地址做转换(ALG需要这么做,因为ALG的方案只需要在gateway上部署,而不像STUN,需要

                  STUN server),这样效率会差一些,所以ALG的性能一直是被诟病的地方。

          引入NAT以后,相应的性能问题就很突出,performance和scaling,是nat穿越需要关注的两个重点,做的好了,开个

          公司都不成问题。

          参考资料:

            1) http://www.nattraversal.com/

            2) http://en.wikipedia.org/wiki/NAT_traversal

bamboolsu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NAT穿越技术详细介绍
dvlinker的技术专栏
08-06 1万+
本文收集并整理了关于NAT穿越的一些技术,介绍这些技术的实现过程,让大家对NAT穿越技术的相关内容有个初步的认识与了解。
IPSec NAT穿越原理
qq_32044265的博客
11-30 3302
IPSec 隧道的两个网关上同时开启 NAT 穿越功能(对应命令行 nat traversal)。开启 NAT 穿越功能后,当需要穿越 NAT 设备时, ESP 报文会被封装在一个 UDP 头中,源和目的端口号均是 4500。
IT知识百科:NAT穿越
网络技术联盟站
07-06 403
NAT(Network Address Translation)穿越是指在存在NAT设备的网络环境中,实现两个位于不同NAT网络之间的主机进行直接通信的技术。由于NAT的存在,私有IP地址在经过NAT设备时会被转换为公网IP地址,因此通常情况下,位于不同NAT网络的主机无法直接进行通信。然而,通过使用NAT穿越技术,可以绕过NAT的限制,实现跨越NAT网络的直接通信。
打破网络边界,畅享无障碍通信——NAT穿越技术全解析
m0_72410588的博客
08-13 451
网络地址转换(NAT)是一种网络协议,用于在私有网络和公共网络之间转换IP地址。由于IPv4地址资源有限,私有网络中的设备通常使用内部私有IP地址,而在与公共网络通信时需要通过NAT将私有IP地址转换为公共IP地址。NAT穿越技术为我们打破网络边界、实现无障碍通信提供了有效的解决方案。通过端口映射、UPnP、STUN、TURN等技术手段,我们可以使设备在私有网络和公共网络之间建立直接连接,享受更加便捷、稳定的网络体验。
防火墙——NAT穿越技术理论讲解(IPSec3)
m0_49864110的博客
05-18 3426
什么情况下使用NAT穿越技术部署IPSec VPN网络时,如果发起者位于一个私网内部,远端位于公网侧,而它希望与远端响应者直接建立一条IPSec隧道。为保证存在NAT设备的IPSec隧道能够正常建立,这就涉及到IPSec的NAT穿越问题。
理解NAT穿越
黄腾霄的博客
06-11 2543
今天和大家聊一聊NAT穿越 什么是NAT NAT(Network Address Translation),即网络地址转换,是一种ip数据包的重写技术。 为什么要要有NAT呢? 这是因为现实中公网的ip地址过少,很多单位,学校都不能满足每个主机分配一个公网地址。 因此会通过NAT技术将内网的主机地址映射为同一个公网地址的不同端口,进行外网访问。 NAT的缺点 NAT解决了内网环境下多主机上网的问题,但是也造成了难以从外网访问内网主机的问题。 尤其是在一些p2p应用的场景下(比如现在越来越火的webrtc
NAT穿透
NUS Coders
01-19 855
今天来记录一下Network Address Translation / 网络地址转换有关的知识点。
sip基于nat穿越.pdf
05-24
sip基于nat穿越
Java NAT穿越
10-19
Java NAT穿越,全称为Network Address Translation穿越,是网络编程领域中的一个重要概念,主要涉及的是如何在存在NAT(网络地址转换)的网络环境下,让两个处于不同私有网络的设备能够进行直接通信。NAT技术通常...
NAT穿越(UDP)
11-05
**NAT穿越(UDP)详解** NAT(网络地址转换)穿越是指在存在NAT设备的网络环境中,使位于不同私有网络中的设备能够相互通信的技术。在互联网上,许多设备都通过NAT访问公共网络,这为点对点(P2P)通信带来了挑战,...
IPsec nat穿越技术
12-06
IPsec nat穿越技术,学习研究提升自己的能力
NAT原理与NAT的简单穿越
11-26
常见的NAT穿越方法包括STUN(Simple Traversal of UDP through NAT)、ALG(Application-Level Gateway)和TURN(Traversal Using Relays around NAT)。 - STUN服务器:STUN服务器提供一个公网IP和端口,内网设备...
PJNATH库关于NAT穿越问题及解决方案
lei_xiao_lun的博客
07-04 408
NAT(网络地址转换)是一种机制,其中设备对数据包的TCP/IP地址/端口号进行修改,并将IP地址从一个领域映射到另一个领域(通常从私有IP地址映射到公共IP地址,反之亦然)。这是通过NAT设备在将出站数据包从内部主机转发到互联网时在NAT的公共侧分配临时端口号来实现的,在某个预定义的时间内保持该映射,并将在该公共端口上从互联网接收的入站数据包转发回内部主机。安装NAT设备主要是为了通过允许多个主机共享公共/互联网地址来缓解IPv4地址空间的耗尽。
IPsec的NAT穿越详解
qq_47529104的博客
04-07 1万+
问题场景 左边的支部,它的防火墙上联路由器,由于防火墙内部的接口使用的是私网地址,这就导致其无无法在公网上与对端防火墙进行IPsec的隧道建立 。所以必须在AR5上面不是NAT地址转换,由于一般使用的是NAPT,isakmp协议因为是UDP报文,且没有像AH或者ESP那样有对内容进行签名,所以可以正常地协商IKE SA以及IPsec SA,但是AH和ESP就没有那么简单了 AH和ESP的认证范围如图所示,其实说是认证范围本质上来说应该是进行HASH运算的范围,如图所示,AH的签...
NAT穿越(NAT-T)原理
热门推荐
曹世宏的博客
09-16 3万+
IPSec NAT 穿越简介 IPSec NAT穿越的场景: 本质上解决ESP协议无法提供转换端口,插入UDP 4500端口 有以下两种场景,需要进行进行NAT穿越。 场景一、FW既做IPSEC网关,又做NAT转换 此种场景下,是当运营商给客户的动态分配的私网地址情况下,FW需要穿越运营商的nat。 IPSEC网关与NAT在同一台设备 ,如果运营商给分配的是公网地址,需要做NAT旁路(NAT豁...
NAT穿越技术原理
LY_624的专栏
12-08 3721
NAT由来 为了解决全球公有IP的稀缺,提出了NAT技术。NAT是 Network Address Translation 网络地址转换的缩写。 在NAT技术下,网络被分为私有网络和公有网络两部分,NAT网关设置在私网到公网的路由出口位置,双向流量都要经过NAT网关,如下图。 NAT将私有IP地址通过NAT网关转换成公网IP地址,在网关的NAT地址转换表记录下这个转换映射记录,当外部数据返回时,网关使用NAT技术查询NAT转换表,再将目标地址替换成内网用户IP地址。当一个公司内部配置了这些私有地址后,
NATNAT穿越学习总结
常想一二
12-23 627
1、引言网络地址转换(Network Address Translation,简称NAT)是一种在IP分组通过路由器或防火墙时重写源IP地址或/和目的IP地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。20世纪90年代中期,NAT是作为一种解决IPv4地址短缺以避免保留IP地址困难的方案而流行起来的。家庭和小型办公室的路由器一般都集成了防火墙,DHCP...
IPSec :NAT穿越
hhd1988的专栏
05-18 5117
IPSec NAT 穿越简介
物联网工程_基于RFID的食堂食品安全监测系统设计.docx
最新发布
07-20
物联网工程_基于RFID的食堂食品安全监测系统设计
ensp nat穿越
10-04
ensp NAT穿越是指在eNSP网络模拟平台中实现NAT功能。根据提供的引用内容,NAT的实现方式有静态转换、动态转换和端口多路复用。静态转换是将一个私有IP地址映射为一个公网IP地址,动态转换是通过将私有IP地址动态映射...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值