基于STUN协议的NAT路由器穿越算法设计与实现.pdf

基于 STUN 协议的 NAT 路由器穿越算法设计与实现 刘胜辉1，刘油锤2 (1.哈尔滨理工大学 软件学院, 黑龙江 哈 尔滨 150080；2.哈尔滨理工大学 计算机科学与技术学院，黑龙江 哈尔滨 150080) 2009-06-11 摘 要: NAT穿越是多媒体传输技术中的一个重要研究课题，STUN 解决方案能解决部分NAT 的穿越问题，但是还有 一定的弊端。在 STUN 技术的基础上，介绍了NAT 路由器的识别方法，详细分析并设计一种解决NAT 路由器穿越问题的 算法，并对处于不同NAT 路由器环境下的直接通信给出一种解决方案。既提高了 NAT 路由器的识别效率，也改善了通信 质量。 关键词: NAT；STUN；直接通信；穿越 NAT 是为了解决网络IP 地址资源紧缺而出现的一种技术，由于其具有隐藏内网IP 的功能，增加了内网的网络安全 性，所以得到了广泛的应用。但是，由于外网主机不能首先发起对处于NAT 后主机的访问，特别是处于两个内网主机不 能直接进行通信，这对一些应用程序的部署造成一定的困难。比如说网络视频会议系统和VoIP 系统。为了解决这个问 题，也就是处于内网的主机之间能够穿越它们之间的NAT 建立直接通信，已经提出了许多方法，STUN(Simple Traversal of UDP Through NetWork Address Translators)技术就是其中比较重要的一种解决方法，并得到了广泛的应用。 本文主要是基于STUN 协议，对NAT 路由器识别问题进行研究，对NAT 类型的判断方法做了改进，详细分析并提出 一种算法来解决 NAT 路由器穿越问题，对处于NAT 路由器后的主机设计了直接通信方案。 1 NAT(Network Address Translator) 介绍 1.1 NAT 简述 NAT 即网络地址转换，是一个IETF(Internet Engineering Task Force)标准，它允许一个整体的组织或机构用一 个公用的IP 地址出现在网络上，归根到底，NAT 就是把内部私有的IP 地址翻译成公网上合法的IP 地址的一种技术。 NAT 负责把内部主机的数据包的源地址(私有IP 地址)按照一定的规则翻译成合法的、唯一的公网IP 地址，源数据 包的端口转换成 NAT 的一个端口，目的IP 地址和端口不变，最终数据包经过路由器发送到目的地址。同时，NAT 也负责 把外部主机返回的数据包的目的地址和端口转换成内网的私有地址和端口，源地址和端口不变。这种变换的本质是在 NAT 内部维护着一张转换表，负责由内到外和由外到内的IP 地址与端口的转换。 对于视频会议和VoIP 软件来说，对位于不同 NAT 内部的主机通信需要靠服务器来转发完成，这样就会增加服务器 的负担。为了解决这种问题，要尽量使位于不同 NAT 内部的主机建立直接通信，其中，最重要的一点就是要判断出NAT 的类型，然后才能根据NAT 的类型，设计出直接通信方案。 1.2 NAT 类型 根据STUN 协议，把NAT 分为以下几种类型 (1) 完全锥形(Full Cone)NAT：所有内部IP 地址和端口的请求都被映射到相同的外部地址和端口，任何外部主机 都可以通过映射的外部地址向内部主机发送数据包。 (2) 受限锥形(Restricted Cone)NAT：所有从相同内部IP 和端口的请求都被映射为相同的外部地址和端口，与Full Cone 不同的是，必须是内部主机已经向外部主机发送过数据包，外部主机才能通过IP 地址向内部主机发送数据包。 (3) 端口受限锥形(Port Restricted Cone)NAT：和Restricted Cone 类似，但是包括对端口的限制，外部主机(IP 地址X，端口P)向内部主机发送数据包当且仅当满足内部主机先前已经向(X,P)发送过数据包。 (4) 对称(Symmetric)NAT：限制最严格的NAT，所有来自同一内部IP 地址和端口发送到某一特定目的IP 地址和端 口的请求，都会映射为同一个目的地址和端口。若同一台内部主机从同一个端口发送数据包，只是目的地址和端口不同， 那么映射关系也是不同的。并且，只有曾经收到过内部主机请求的外部主机才能向内部主机发送数据包。 2 NAT 路由器 2.1 STUN 技术简介 STUN 技术能使客户端应用程序发现它和公共互联网之间存在的NAT 和防火墙及其类型，还能获得路由器分配给它的 公网IP 地址和端口号。它主要由三