STUN协议简析STUN协议简析.doc

STUN协议简析 STUN简介 STUN（Simple Traversal of UDP over NATs，NAT 的UDP简单穿越）是一种网络协议，它允许位于NAT（或多重NAT）后的客户端找出自己的公网地址，查出自己位于哪种类型的NAT之后以及NAT为某一个本地端口所绑定的Internet端端口。这些信息被用来在两个同时处于NAT 路由器之后的主机之间建立UDP通信。该协议由RFC 3489定义。 ???? 一旦客户端得知了Internet端的UDP端口，通信就可以开始了。如果NAT是完全圆锥型的，那么双方中的任何一方都可以发起通信。如果NAT是受限圆锥型或端口受限圆锥型，双方必须一起开始传输。 ???? 需要注意的是，要使用STUN RFC中描述的技术并不一定需要使用STUN协议——还可以另外设计一个协议并把相同的功能集成到运行该协议的服务器上。 ????? SIP之类的协议是使用UDP分组在Internet上传输音频和/或视频数据的。不幸的是，由于通信的两个末端往往位于NAT之后，因此用传统的方法是无法建立连接的。这也就是STUN发挥作用的地方。 ????? STUN是一个客户机-服务器协议。一个VoIP电话或软件包可能会包括一个STUN客户端。这个客户端会向STUN服务器发送请求，之后，服务器就会向STUN客户端报告NAT路由器的公网IP地址以及NAT为允许传入流量传回内网而开通的端口。 ????? 以上的响应同时还使得STUN客户端能够确定正在使用的NAT类型——因为不同的NAT类型处理传入的UDP分组的方式是不同的。四种主要类型中有三种是可以使用的：完全圆锥型NAT、受限圆锥型NAT和端口受限圆锥型NAT——但大型公司网络中经常采用的对称型NAT（又称为双向NAT）则不能使用。 ? ?????? Simple Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs) (STUN) ????? STUN，是为了实现透明的穿透NAT，而定义的一套协议。它使本地的内网的机器，具有取得，能够得知它的NAT网关的IP，NAT类型的能力。 ? ????? 为什么需要STUN： 因为NAT虽然解决了IP地址稀少的问题，但是也带来了很多的问题。比如所有P2P应用，像文件SHARE，多媒体，和在线游戏等等. ????? 要想穿透NAT，首先知道NAT的一些特性： NAT分为4种（加上防火墙的话，多几种情况）： ? ?1.完全透明NAT(Full Cone NAT): ????? 从相同内部主机(IN IPX) +端口(IN PORTX)发送的数据MAPING为相同的IP(OUT IP X)和端口(OUT PORT X)发送带外网.并且从另一个服务器(Y)，如果直连到MAPING的IP(OUT IP X)和端口(OUT PORT X )上，数据将会被转发到内部主机上. (IN IPX), (IN PORTX). 也就是说进内部网的数据包的SPORT，SPORT不受限制 2．受限NAT(Restricted Cone), ??? 从相同内部主机(IN IPX) +端口(IN PORTX)发送的数据MAPING为相同的IP（X）和端口发送带外网.和完全NAT不同的是，只有当为X时，外部机器的的请求就被转发到主机(IN IPX) +端口(IN PORTX)。也就是说进内部网的数据包的，SPORT不受限制，SIP受限制，只能为NAT MAP数据的IP 3，端口受限NAT(Port Restricted Cone) ???? 和受限NAT不同的是，只有当外部主动请求的的源IP和端口，等于内部网发送的请求的目的IP和端口。 4．对称NAT ???? 如果发送的包的目的IP AND PORT，那么MAPPING IP AND PORT，将相同。内部网同一台机器，同一个端口如果目的地址不同，那么MAPPING的端口也不同，所以只有他主动连的服务器才可能知道他的MAPPING后端口，别的服务器如果想连他只能靠猜测端口。 总结：前面3重NAT，MAPING PORT 和 IP，是根据发送包的的内部网的IP和端口决定的。如果数据的内网IP和端口相同，那么MAPPING后的端口和地址是固定。这个功能为我们的穿越提供了很好条件。 第4种NAT，打洞后的MAPPING 地址和端口将变地不可靠。很难穿越。注意SERVERA，和SERVERB是两个公网地址，而不是两台机器. ? ? STUN协议（浅析例子分析） 主要功能是检测是否位于NAT后面，如果位于NAT后面，经过NAT转换后的地址和端口是什么，另外可以检测NAT的类型。 ????