nat穿透技术分析报告

《nat穿透技术分析报告》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

★精品文档★nat穿透技术分析报告中间件-NAT穿透技术研究报告*变化状态：A——增加，M——修改，D——删除，N——正式发布1引言目的本文简要的概括了目前正在流行的P2P技术及其实际运用，防火墙的基本概念及工作方式，以及P2P技术穿透防火墙的几种简单实现术语定义NAT:网络地址转换(NetworkAddressTranslation)属接入广域网(WAN)技术，是一种将私有地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机Nat穿透方法分析一、nat分类静态NAT(StaticNAT)内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址动态地址NAT(PooledNAT)在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络网络地址端口转换NAPT把内部地址映射到外部网络的一个IP地址的不同端口上二、基本nat分类FullConeNAT(完全圆锥型)NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定任何包都可以通过地址{A:b}送到客户主机的{X:y}地址上基于ICE方式SIP信令穿透SymmetricNAT技术研究曾立吴平高万林武文娟1(中国农业大学计算机科学与技术系，北京100083)(中国人民大学信息学院，北京2016全新精品资料-全新公文范文-全程指导写作–独家原创6/6 ★精品文档★100872)2摘要基于IP的语音、数据、视频等业务在NGN网络中所面临的一个实际困难就是如何有效地穿透各种NAT/FW的问题对此，会话初始化协议SIP以往的解决方法有ALGs，STUN，TURN等方式本文探讨了一种新的媒体会话信令穿透NAT/FW的解决方案—交互式连通建立方式(ICE)它通过综合利用现有协议，以一种更有效的方式来组织会话建立过程，使之在不增加任何延迟同时比STUN等单一协议更具有健壮性、灵活性本文详细介绍了ICE算法，并设计一个实例针对SIP信令协议穿透SymmetricNAT流程进行了描述，最后总结了ICE的优势及应用前景关键词ICE；SymmetricNAT；STUN；TURN；SIP1问题背景多媒体会话信令协议是在准备建立媒体流传输的代理之间交换信息的协议，例如SIP、RTSP、等媒体流与信令流截然不同，它们所采用的网络通道也不一致由于协议自身设计上的原因，使得媒体流无法直接穿透网络地址转换/防火墙(NAT/FW)因为它们生存期的目标只是为了建立一个在信息中携带IP地址的分组流，这在遇到NAT/FW时会带来许多问题而且这些协议的目标是通过建立P2P(PeertoPeer)媒体流以减小时延，而协议本身很多方面却与NAT存在兼容性问题，这也是穿透NAT/FW的困难所在而NAT仍是解决当前公用IP地址紧缺和网络安全问题的最有力手段，它主要有四种类型：完全圆锥型NAT(FullConeNAT)，地址限制圆锥型2016全新精品资料-全新公文范文-全程指导写作–独家原创6/6 ★精品文档★NAT(AddressRestrictedConeNAT)，端口限制圆锥型NAT(PortRestrictedConeNAT)，对称型NAT(SymmetricNAT)前三种NAT，映射与目的地址无关，只要源地址相同，映射就相同，而对称型NAT的映射则同时关联源地址和目的地址，所以穿透问题最为复杂不少方案已经被应用于解决穿透NAT问题，例如：ALGs(ApplicationLayerGateways)、MiddleboxControlProtocol、STUN(SimpleTraversalofUDPthroughNAT)、TURN(TraversalUsingRelayNAT)、RSIP(RealmSpecificIP)、symmetricRTP等然而，当这些技术应用于不同的网络拓扑时都有着显著的利弊，以至于我们只能根据不同的接入方式来应用不同的方案，所以未能很好地解决All-NAT与Efficiency的问题，同时还会给系统引入了许多复杂性和脆弱性因素所以我们目前需要一种综合的足够灵活的方法，使之能在各种情况下对NAT/FW的信令穿透问题提供最优解事实上，ICE正是符合这样要求的一种良好的解决方案技术ICE简介交互式连通建立方式ICE(Interacti一、路由器的详细参数思科精睿系列路由器二、产品概述Cisco?WRV210Wireless-GVPN路由器是一款VPN路由器，并集成了一个面向小型办公室和2016全新精品资料-全新公文范文-全程指导写作–独家原创6/6 ★精品文档★家庭办公室的无线接入点它的10/100以太网WAN接口可以直接连接到您的宽带DSL或者有线网络调制解调器LAN接口包括一个内置的4端口全双工10/100以太网交换机，最多能连接4台设备该无线接入点支持/g，并采用了RangeBooster技术该技术可以利用多重输入多输出天线，提供更大的覆盖范围和更高的可靠性CiscoWRV210具有企业网络所需要的高级安全功能，包括有助于防御拒绝服务攻击的状态包检测防火墙，与一个用于在移动或者远程员工和分支机构之间实现高度机密通信的VPN引擎它支持多个服务设置标识符和VLAN，可以有效地分隔流量WRV210采用了预先共享密钥式Wi-Fi保护访问、WPA2企业级和有线等效保密加密等技术，并支持以及其他一些安全功能，例如基于MAC的过滤和启用/禁用SSID广播等五、?????包装内容CiscoWRV210Wireless-GVPN路由器包含用户指南和安装向导一张的CD，网线电源适配器快速安装指南VPN之---NAT穿透PIXTOPO:inte0nameifinsidesec100macipaddnoshutinte1nameifoutsidesec0macipaddnoshutnat(inside)1global(outside)1interfacenat(inside)0access-listGO-VPNaccess-listGO-VPNpermitipstatic(inside,outside)access-listACL-INpermiticmpanyanyaccess-listACL-INpermitahhosthostaccess-listACL-INpermitesphosthostaccess-listACL-INpermitudphosthosteqisakmpinte1access-groupACL-INininterfaceoutsideroute2016全新精品资料-全新公文范文-全程指导写作–独家原创6/6 ★精品文档★insiderouteoutsider1:configtintfa0/0ipaddnoshutintfa2/0ipaddnoshutexitiproutecryptoisakmppoli100authenpreencry3deshashmd5group2exitcryptoisakmpkeycisco123addresscryptoipsectranMINEesp-3desexitcryptomapMAP110ipsec-isakmpmatchaddress100setpeersetpfsgroup2settranMINEexitaccess-list100permitipintfa0/0cryptomapMAP1r2:configtintfa0/0ipaddipnatoutsidenoshutintfa2/0ipaddipnatinsidenoshutexitiprouteaccess-list100permitipaccess-list101denyipaccess-list101permitipanyroute-mapMAPpermit10matchipaddress101exitipnatinsidesourceroute-mapMAPinterfacefa0/0overloadcryptoisakmppoli100authenpreencry3deshashmd5group2exitcryptoisakmpkeycisco123addresscryptoipsectranMINEesp-3desexitcryptomapMAP110ipsec-isakmpmatch2016全新精品资料-全新公文范文-全程指导写作–独家原创6/6 ★精品文档★address100setpeersetpfsgroup2settranMINEexitintfa0/0cryptomapMAP12016全新精品资料-全新公文范文-全程指导写作–独家原创6/6