返回
有关NAT穿越以及可信设备通信系统的背景资料

有关NAT穿越以及可信设备通信系统的背景资料

ID:41694154

大小:193.38 KB

页数:9页

时间:2019-08-30

有关NAT穿越以及可信设备通信系统的背景资料_第1页
有关NAT穿越以及可信设备通信系统的背景资料_第2页
有关NAT穿越以及可信设备通信系统的背景资料_第3页
有关NAT穿越以及可信设备通信系统的背景资料_第4页
有关NAT穿越以及可信设备通信系统的背景资料_第5页
资源描述:

《有关NAT穿越以及可信设备通信系统的背景资料》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、NAT穿越以及可信设备跨域通信系统介绍NAT穿越(NATtraversal)涉及TCP/TP网络中的一个常见问题,即在处于使用了NAT设备的私有TCP/IP网络中的主机Z间建立连接的问题。1.概述会遇到这个问题的通常是那些客户端网络交互应用程序的开发人员,尤其是在对等网络和VoIP领域中。TPsecVP7客户普遍使用NAT-T來达到使ESP包通过NAT的目的。尽管冇许多穿越NAT的技术,但没冇一项是完美的,这是因为NAT的行为是非标准化的。这些技术中的大多数都要求有一个公共服务器,而且这个服务器使用的是-个众所周知的、从全球任何地方都能访问得到的IP地址。一些方法仅在建立连接时需要使用这个

2、服务器,而其它的方法则通过这个服务器中继所冇的数据——这就引入了带宽开销的问题。2.NAT穿越方法2.1NAT/ALG方式普通NAT是通过修改UDP或TCP报文头部地址信息实现地址的转换,但对于V01P应用,在TCP/UDP净载屮也需带地址信息,ALG方式是指在私网屮的V01P终端在净载中填写的是其私网地址,此地址信息在通过NAT时被修改为NAT上对外的地址。语音和视频协议(11323、SIP.MGCP/II248)的识别和对NAT/Firewall的控制,同时每增加一种新的应用都将需要对NAT/Firewall进行升级。在安全要求上还需要作一些折衷,因为ALG不能识别加密后的报文内容,所

3、以必须保证报文采用明文传送,这使得报文在公网中传送时自很大的安全隐患。NAT/ALG是支持VOIPNAT穿透的一种最简单的方式,但由丁•网络实际情况是已部署了大量的不支持此种特性的NAT/FW设备,因此,实际应用中,很难采用这种方式。2.2MIDC0M方式与NAT/ALG不同的是,MIDC0M的基木框架是采用可信的第三方(MIDC0MAgent)对Middlebox(NAT/FW)进行控制,VOIP协议的识别不由Middlebox完成,而是由外部的MIDCOMAgent完成,因此VOIP使用的协议对Middlcbox是透明的.由于识别应用I•办议的功能从Middlebox移到外部的MlDC

4、OMAgent±,根据MIDC0M的构,在不需要更改Middlebox基本特性的基础上,通过对MIDCOMAgent的升级就可以支持更多的新业务,这是相对NAT/ALG方式的一个很大的优势。在VOIP实际应用中,Middlebox功能可驻留在NAT/Firewal1,通过软交换设备(即MIDCOMAgent)对IP语咅和视频协议(11323、SIP、MGCP/II248)的识别和对NAT/Firewall的控制,来完成VOIP应用穿越NAT/Firewall•在安全性±,MIDC0M方式可支持控制报文的加密,可支持媒体流的加密,因此安全性比较高。如果在软交换设备上实现对STP/H323/M

5、GCP/H248协议的识别,就只需在软交换和NAT/FW设备上增加MIDCOM协议即可,而且以后新的应用业务识别随着软交换的支持而支持,此方案是一种比较冇前途的解决方案,但要求现冇的NAT/FW设备需升级支持MIDCOM协议,从这一点上来说,对已大量部署的NAT/FW设备来说,也是很怵I难的,同NAT/ALG方式有相同的问题。2.3STUN方式解决穿透NAT问题的另一思路是,私网中的VOIP终端通过某种机制预先得到出口NAT上的对外地址,然后在净载屮所填写的地址信息直接填写出口NAT上的对外地址,而不是私网内终端的私有IP地址,这样净载中的内容在经过NAT吋就无需被修改了,只需按普通NAT

6、流程转换报文头的IP地址即可,净载屮的IP地址信息和报文头地址信息是一致的。STUN协议就是基于此思路來解决应用层地址的转换问题。STUN的全称是SimpleTraversalofUDPThroughNetworkAddressTranslators,即UDP对NAT的简单穿越方式。应用程序(即STUNCLIENT)向NAT外的STUMSERVER通过UDP发送请求STUM消息,STUNSERVER收到请求消息,产生响应消息,响应消息中携带请求消息的源端口,即STUNCLTENT在NAT上对应的外部端口。然后响应消息通过NAT发送给STUNCLIENT,STUNCLIENT通过响应消息体屮

7、的内容得知其NAT上的外部地址,并将其填入以后呼叫协议的UDP负载中,告知对端,本端的RTP接收地址和端口号为NAT外部的地址和端口号。由于通过STUM协议已在NAT±预先建立媒体流的NAT映射表项,故媒体流可顺利穿越NAT.STUN协议最大的优点是无需现有NAT/FW设备做任何改动。由于实际应用中,已冇大量的NAT/FW,并月.这些NAT/FW并不支持VoIP的应用,如果用MIDCOM或NAT/ALG方式来解决此问题,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。