各种nat方式介绍.ppt

NAT穿越 NAT分类 Basic NAT NAPT Cone NAT 不受限Cone NAT（Full Cone NAT） 受限Cone NAT（Restricted Cone NAT ） 端口受限Cone NAT（Port-Restricted Cone NAT） Symmetric?NAT Basic NAT 包流经Basic NAT时，Basic NAT将包中的内网IP 映射为公网IP，但不修改其中的TCP/UDP端口。 Basic NAT一般用在内网具有许多公网IP的时候， 若有内网主机访问公网，就将它的内网IP映射为 一个公网IP。 NAPT Network Address/Port Translator NAPT不仅检测包中的数据，而且还会修改包中的IP地址与TCP/UDP端口字段，从而让众多的内网主机同时共享一个公网IP。当内网主机通过NAPT打开一个对外的TCP/UDP连接时，NAPT会给此连接指定一个公网IP和端口，然后接收外来的包，进行转换（注：指IP地址和TCP/UDP端口信息），最后转发给内网主机。其效果就是NAPT在(内网地址，内网端口)和(外网地址，外网端口)之间建立了一个的地址绑定，这一地址绑定定义了连接有效期内NAPT应做的地址转换。当内网主机以一个(内网地址，内网端口)同时发起多个对外的连接时，NAT如何处理。由此可以分为Cone NAT和Symmetric?NAT。 Cone NAT Full Cone NAT 在给一个新的外部会话建立了一个公共/私有的端口绑定后，一个full cone NAT就可以通过这个公共端口从公网上的任何外部端点接收数据通讯了。Full cone NAT也常常叫做混合NAT。 ?Restricted Cone NAT 当网络主机发一个或者几个数据包给外部主机后，受限的Cone NAT(Restricted Cone NAT)才会接受来自这个外部(源)IP地址的数据包。受限的Cone NAT有效的运用了防火墙的原理，拒绝没有要求的数据，只接受已知的外部IP地址传来的数据。 Port-Restricted Cone NAT 端口受限的cone NAT(Port-Restricted Cone NAT)只接收那些网络主机曾经发给一个外部IP地址和端口相匹配的数据。一个Port-Restricted cone NAT可以和对称 NAT一样(symmetric NAT)，保护内部节点不接收未被请求的数据包，但是保持一个私有端口在连接过程中不变。 Symmetric?NAT NAT穿越的方法 中继（Relaying） 逆向连接 （Connection reversal ） UDP封装打洞（UDP hole punching） UDP端口号预测（UDP port number prediction） TCP同时打开（Simultaneous TCP open） TCP封装打洞 中继 逆向连接 UDP封装打洞 UDP端口号预测 TCP同时打开 TCP封装打洞 与UDP封装打洞类似。 * * A发起到server的通信，server记录A的私有地址/端口对及其公网 地址/端口对，并一直保持通信。 此处只讨论处于不同的NAT之后的两个客户端的情况 预测可能会出现差错 在建立了(内网地址，内网端口)和(外网地址，外网端口)之间地址绑定之后，若程序以绑定过的(内网地址，内网端口)发起对外的连接，Cone NAT会复用这一绑定，而且该绑定会一直存在，直到所有使用它的连接断开为止。以图为例，假设Client经由Cone NAT，同时发起两个对外的连接，就是图中的从内网地址(10.0.0.1:1234)到两个公网服务器，Server1和Server2。此时Cone NAT会将这两个连接绑定同一个外部地址，比如155.99.25.11:62000。这里是通过地址转换保证了客户端地址的同一性，即使用同一个外部地址。 Symmetric NAT并不保证（内网地址，内网端口）和（外网地址，外网端口）之间地址绑定的同一性，相反地，对于一个新的连接，Symmetric NAT总会为它指定一个新的外网地址。举例来说，还是假设客户端A以相同的（内网）地址发起两个对外的连接，到Server1和Server2。Symmetric NAT可能为一个连接绑定外部地址155.99.25.11:62000，而为另一个绑定155.99.25.11:62001。由于来源地址（Server1和Server2）的不同，即使包中丢失了客户端（即内网主机）程序的标识信息，NAT还是可以区分出这两个连接，进行正确的地址转换。 最可靠的，但是效率最低的，假设2个客户主机，ClientA和ClientB，各自发起一