NET介绍
NAT是一种地址转换技术,它可以将IP数据报文头中的IP地址转换为另一个IP地址,并通过转换端口号达到地址重用的目的。
在大多数网络环境中,我们都需要通过 NAT 来访问 Internet。
NAT作为一种缓解IPv4公网地址枯竭的过渡技术,由于实现简单,得到了广泛应用。
NAT解决了什么问题?
随着网络应用的增多,IPv4地址枯竭的问题越来越严重。
尽管IPv6可以从根本上解决IPv4地址空间不足问题,但目前众多网络设备和网络应用大多是基于IPv4的;
因此,在IPv6广泛应用之前,使用一些过渡技术(如CIDR、私网地址等)是解决这个问题的主要方式,NAT就是这众多过渡技术中的一种。
当私网用户访问公网的报文到达网关设备后,如果网关设备上部署了NAT功能,设备会将收到的IP数据报文头中的IP地址转换为另一个IP地址,端口号转换为另一个端口号之后转发给公网。
在这个过程中,设备可以用同一个公网地址来转换多个私网用户发过来的报文,并通过端口号来区分不同的私网用户,从而达到地址复用的目的。
早期的NAT是指Basic NAT,Basic NAT在技术上实现比较简单,只支持地址转换,不支持端口转换。
因此,Basic NAT只能解决私网主机访问公网问题,无法解决IPv4地址短缺问题。
后期的NAT主要是指网络地址端口转换NAPT(Network Address Port Translation),NAPT既支持地址转换也支持端口转换,允许多台私网主机共享一个公网IP地址访问公网,因此NAPT才可以真正改善IP地址短缺问题。
NAT的实现方式(三种)
1、静态转换(Static Nat)
内部每台电脑一对一转换成公有IP地址,是固定不变得。相当于每一台电脑都绑定了一个ip地址,即使这个地址没有被使用,其他的电脑也不能拿来转换使用。一般是用于在内网中对外提供服务的特定设备的访问。
2、动态转换(Dynamic Nat)
是指内部每台电脑的IP地址转换为公有IP地址时,是动态的,不是固定的,随机分配。只要在这个IP资源池内,都可以随机使用。
3、端口多路复用(OverLoad)
是指改变外出数据包的源端口并进行端口转换,采用端口多路复用方式。也就是说,内部电脑都可以使用一个合法的IP地址实现对因特网的访问,可以节省大量的IP资源。目前使用最多的就是这种方式。
内容概述
在现实Internet网络环境中,大多数计算机主机都位于防火墙或NAT之后,只有少部分主机能够直接接入Internet。很多时候,我们希望网络中的两台主机能够直接进行通信,即所谓的P2P通信,而不需要其他公共服务器的中转。由于主机可能位于防火墙或NAT之后,在进行P2P通信之前,我们需要进行检测以确认它们之间能否进行P2P通信以及如何通信。这种技术通常称为NAT穿透(NAT Traversal)。最常见的NAT穿透是基于UDP的技术,如RFC3489中定义的STUN协议。
STUN,首先在RFC3489中定义,作为一个完整的NAT穿透解决方案,英文全称是Simple Traversal of UDP Through NATs,即简单的用UDP穿透NAT。
在新的RFC5389修订中把STUN协议定位于为穿透NAT提供工具,而不是一个完整的解决方案,英文全称是Session Traversal Utilities for NAT,即NAT会话穿透效用。RFC5389与RFC3489除了名称变化外,最大的区别是支持TCP穿透。
TURN,首先在RFC5766中定义,英文全称是Traversal Using Relays around NAT:Relay Extensions to Session Traversal Utilities for NAT,即使用中继穿透NAT:STUN的扩展。简单的说,TURN与STURN的共同点都是通过修改应用层中的私网地址达到NAT穿透的效果,异同点是TURN是通过两方通讯的“中间人”方式实现穿透。
ICE跟STUN和TURN不一样,ICE不是一种协议,而是一个框架(Framework),它整合了STUN和TURN。
STUN协议介绍
STUN(session traversal utilities for NAT),一种处理NAT传输的协议,即简单的用UDP穿透NAT,是个轻量级的协议,是基于UDP的完整的穿透NAT的解决方案,主要作为工具来服务其他协议。它允许位于NAT(或多重NAT后的客户端找出自己的公网地址,查出自己位于那种类型的NAT之后以及NAT为某一个本地端口所绑定的internet端口),这些信息被用来两个同时处于NAT路由器之后的主机之间建立UDP通信。目的就是找到外界连接内部地址所需的信息。
- STUN存在的目的就是进行NAT穿越
- STUN是典型的客户端/服务器模式。客户端发送请求,服务端进行响应。
STUN是一种Client/Server的协议,也是一种Request/Response的协议,默认端口号是3478。
STUN协议架构
1.请求/响应(request/response)类型,由客户端给服务器发送请求,并等待服务端返回响应,用于确定一个NAT给客户端分配的具体绑定。客户端通过事务ID将请求响应连接起来。
2.指示类型(indication transaction),由服务器或者客户端发送指示,另一方不产生响应,用于保持绑定的激活状态。事务ID通常作为debugging aid使用。
所有的STUN报文信息都包含有一个固定头部,包含了方法,类和事务ID。方法表示是具体哪一种传输类型。STUN中只定义了一种方法,即binding(绑定),其他方法可以由使用者自行扩展;Binding方法可以用于请求/响应类型和指示类型。
STUN基于客户机-服务器协议。如一个VoIP电话或者软件可能会包含一个STUN客户端。这个客户端向STUN服务器发送请求,之后,服务器就会向STUN客户端报告NAT路由器的公网IP地址以及NAT为允许传入流量传回内网而开通的端口。同时还使得STUN客户端能够确定正在使用的NAT类型——因为不同的NAT类型处理传入的UDP分组的方式不同。
STUN报文格式
- 包括20字节的STUN header
- BODY中可以有0个或多个attribute
STUN header格式
-
最高两位:为0,在STUN协议与其他协议端口复用时,用于区分STUN和其他数据包,如RTP数据包。
-
STUN Message Type(16bits):消息类型。定义消息类型如下:
0x0001:捆绑请求
0x0101:捆绑响应
0x0111:捆绑错误响应
0x0002:共享私密请求
0x0102:共享私密响应
0x0112:共享私密错误响应 -
Message Length:(16bits),消息长度,不包含STUN Header的20个字节。所有的STUN属性都是20字节对齐的。
-
Magic Cookie:(32bits),固定值0x2112A442,用于反射地址的异或(XOR)运算。
-
Transaction ID:(96bits),事务ID标识符,请求对应的响应具有相同的标识符。
STUN Message Type
- 前两位必须是00,以区分复用同一端口时STUN协议
- 2位用于分类,即C0和C1
- 12位用于定义请求/指示
一共14位。C0和C1用于分类的。并且不是挨着的。
- C1-C0两位表示类编码
0b00:request
0b01:indication
0b10:success response
0b11:error response
- M11-M0表示方法
STUN目前定义了一个绑定方法,Binding方法可以用于请求/响应类型和指示类型。method=0b000000000001 (Binding)
大小端模式
- 大端模式:数据的高字节保存在内存的低地址中
就是比如说,15中10是高字节,保存在内存的低地址中 - 小端模式:数据的高字节保存在内存的高地址中
跟上面相反
网络字节顺序∶采用大端排序方式
然后对于Message Type
这个可以分成4段。
这个也符合低字节放在高地址。
Transaction ID
STUN Message Body
上面介绍了消息头,下面是消息体
- 消息头后有0或多个属性
- 每个属性进行TLV编码:Type, Length, Value
0x0014: REALM
0x0015:NONCE
0x0020:XOR-MAPPED-ADDRESS
0x8022:SOFTWARE
0X8023:ALTERNATE-SERVER
0X8024:FINGERPRINT
在ICE中,包含STUN中用到的几个属性,具体如下所示:
0x0024 PRIORITY
0x0025 USE-CANDIDATE
0x8029 ICE-CONTROLLED
0x802A ICE-CONTROLLING
6 和 7 是最关键的用于验证
接下来看看怎么使用的:
ICE框架
简介
ICE的全称Interactive Connectivity Establishment(互动式连接建立),由IETF的MMUSIC工作组开发出来的,它所提供的是一种框架,使各种NAT穿透技术可以实现统一。ICE跟STUN和TURN不一样,ICE不是一种协议,而是一个框架(Framework),它整合了STUN和TURN。
ICE ,Interactive Connectivity Establishment
- 需要两端进行交互才能创建连接
就是上面那一个信令服务器,如果两人想要进行音视频的话,就用这个信令服务器建立连接然后交换各自的IP地址和端口号。
Candidate类型
主机候选者
反射候选者
中继候选者
参考:链接
