VOIP穿越NAT学习..doc

VOIP穿越NAT学习笔记 1、NAT简介 1.1、NAT简介 网络地址转换（NAT） 主要用来完成局部地址与全局地址之间的转换。NAT 解决了 Internet 地址耗竭问题，企业内部网只需少量的全局地址就可达到与 internet的互连。 1.2、NAT带来的问题 NAT解决IPV4地址紧缺的问题同时也带来了一些问题，例如H323/SIP/MGCP/H248等协议在载荷中携带了源地址和端口信息，普通的NAT设备无法根据协议内容检查载荷，并进行转换处理。 1.3、NAT端口映射方式根据端口映射方式,NAT可分为如下4类,前3种NAT类型可统称为类型。(1)全克隆( Full Cone) : NAT把所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口。任何一个外部主机均可通过该映射发送IP包到该内部主机。(2)限制性克隆(Restricted Cone) : NAT把所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口。但是,只有当内部主机先给IP地址为X的外部主机发送IP包,该外部主机才能向该内部主机发送IP包。(3)端口限制性克隆( Port Restricted Cone) :端口限制性克隆与限制性克隆类似,只是多了端口号的限制,即只有内部主机先向IP地址为X,端口号为P的外部主机发送1个IP包,该外部主机才能把源端口号为P的IP包发送给该内部主机。(4)对称式NAT ( Symmetric NAT) :这种类型的NAT与上述3种类型的不同,在于当同一内部主机使用相同的端口与不同地址的外部主机进行通信时, NAT对该内部主机的映射会有所不同。对称式NAT不保证所有会话中的私有地址和公开IP之间绑定的一致性。相反,它为每个新的会话分配一个新的端口号。 图四、STU方式NAT穿越 3.4、TURN方式 TURN方式解决NAT问题的思路与STUN相似，也是私网中的VOIP终端通过某种机制预先得公网上的服务地址（STUN方式得到的地址为出口NAT上外部地址，TURN方式得到地址为TURN Server上的公网地址），然后在报文净载中所要求的地址信息就直接填写该公网地址。 TURN的全称为Traversal Using Relay NAT，即通过Relay方式穿越NAT.TURN应用模型通过分配TURN Server的地址和端口作为私网中VOIP终端对外的接受地址和端口，即私网终端发出的报文都要经过TURN Server进行Relay转发，这种方式除了具有STUN方式的优点外，还解决了STUN应用无法穿透对称NAT（Symmetric NAT）以及类似的Firewall设备的缺陷，同时TURN支持基于TCP的应用，如H323协议。此外TURN Server控制分配地址和端口，能分配RTP/RTCP地址对（RTCP端口号为RTP端口号加1）作为私网终端用户的接受地址，避免了STUN方式中出口NAT对RTP/RTCP地址端口号的任意分配，使得客户端无法收到对端发来的RTCP报文（对端发RTCP报文时，目的端口号缺省按RTP端口号加 1发送）。 TURN的局限性在于需要VOIP终端支持TURN Client，这一点同STUN一样对网络终端有要求。此外，所有报文都必须经过TURN Server转发，增大了包的延迟和丢包的可能性。 图五、TURN方式NAT穿越 4、思考：为什么STUN不支持TCP穿越 相信大家看了上面对NAT的分类说明、以及stun协议的工作原理后这个问题也不难解释。问题的关键就是在于NAT设备会判断TCP连接的发起者是内网还是外网。 TCP和UDP在穿越上最大的区别在于NAT对两种协议的处理方式不同。 TCP是基于连接的，有三次握手的动作。而UDP是不存在该问题的。 NAT在对TCP处理时一般是不会处理由外部发起的TCP-SYN连接请求的。 我们来了解一下NAT设备对TCP的处理方式： 如果一个NAT接收到一个来自外网 TCP SYN 包，这个包想发起一个“引入”的 TCP 连接，一般来说，NAT会拒绝这个连接请求并扔掉这个SYN 包，或者回送一个TCP RST（connection reset，重建连接）包给请求方。但是，有一种情况，当这个接收到的 SYN 包 中的源IP地址和端口、目标IP地址和端口都与NAT登记的一个已经激活的TCP会话中的地址信息相符时，NAT将会放行这个SYN 包，让它进入NAT内部。特别要指出，如果NAT恰好看到一个刚刚发送出去的一个SYN包也和上面接收到的SYN包中的地址信息相符合的话，那么NAT将会认为这个TCP连接已经被激活，并将允许这个方向的SYN包进入NAT内部。 综上所述，问题的关键就是在于NA