Symmetric NAT的穿越問題研究

摘要：為適應越來越多的企業基于網絡安全性需要而使用Symmetric NAT的趨勢，給出一種采用預測端口實現信息包穿越Symmetric NAT的方法，該方法克服了目前對稱型NAT穿越方式中存在的服務器負擔重、延時、丟包等問題，能更好的滿足企業使用對稱型NAT既可節約IP又能強化網絡安全的需求。

關鍵詞：NAT；NAT類型；端口預測；信息包穿越

中圖分類號：TP393 文獻標識碼：A

1引言

NAT （Network Address Translator）技術有效的緩解了網絡地址資源短缺的問題。P2P （peertopeer）技術的應用改變了現今 Internet 以服務器為中心的集中式互聯網結構、重返“非中心化”，并把權力交還給用戶，使得網絡上的溝通變得更容易、更直接。而NAT設備的廣泛存在限制了P2P的應用，因此研究解決好NAT的穿越問題非常有意義。

目前常用的穿越方法中STUN（Simple Traversal of UDP over NATs）是NAT的UDP簡單穿越方式， 協議簡單， 采用C/S架構， 支持多級NAT， 但不支持TCP， 無法在對稱型NAT下工作[1]；TURN（Traversal Using Relay NAT）中繼方式穿越NAT方式， 采用C/S架構， 私網用戶發出的報文都要通過TURN服務器進行Relay轉發， 可以解決所有NAT穿越問題， 但是TURN服務器負擔重， 容易出現延時和丟包問題。ICE （Interactive Connectivity Establishment） 結合使用了STUN 和TURN兩種協議，因而也存在TURN 方式所固有的缺陷。

Symmetric NAT以其安全性、實用性、設備的兼容性等特征越來越多的被應用于對安全性要求較高的企業網中，但目前對稱型NAT穿越方案又存在固有缺陷，不能很好的完成對Symmetric NAT的穿越。本文給出的端口預測穿越對稱型NAT的方案無須改動現有的NAT設備， 協議簡單， 支持多級NAT的特征，而且較其他能夠穿越對稱型NAT的方案（如TURN、ICE方案）的可貴之處是克服了服務器負擔重、延時、丟包等問題。

2NAT

NAT是一個IETF（internet engineering task force）標準。NAT將只能作為內網地址使用的：A類10.0.0.0 至10.255.255.255； B類172.16.0.0至172.16.255.255；C類192.168.0.0至192.168.255.255轉換為能在Internet上使用的外網地址，使基于32位IPv4（Internet Protocol version4）的IP地址緊缺問題得以緩解，同時也使內網IP地址能夠重復使用的特性得以更好的拓展[2]。

NAT在只能作為內網地址的私網地址與能在Internet上使用的公網地址之間建立映射表，當內網用戶需要訪問Internet時，NAT將信息流中的內網IP地址修改為可以在Internet上路由的公網IP地址，從而實現內網用戶與外網用戶之間的通信，同時建立起內網地址與外網地址間的映射關系。同樣，當外網用戶需要和內網用戶通信時，NAT對照建立的映射表，把經過信息流中的IP地址修改為與其對應的內網IP地址發往內網用戶[3，4]。NAT起到了內外網IP地址的翻譯作用如圖1。

由于外網用戶是通過映射表來訪問內網用戶的，因此，外網用戶訪問內網用戶與內網用戶訪問外網用戶不同，外網用戶必須是內網用戶先前訪問過且已在NAT上建立了映射關系的才能實現與內網對應用戶的通信，否則無法實現對內網的訪問。這一特征也起到了強化保護內網安全的作用。

3NAT的分類及特點

IETF制定的STUN（Simple Traversal of UDP Through Network address Translators）協議 （RFC3489）用來解決UDP報文對NAT的穿越，它將NAT分為4類即：完全錐型NAT（Full Cone NAT），地址限制錐型NAT （Address Restricted Cone NAT），端口限制錐型NAT （Port Restricted Cone NAT）和對稱型NAT （Symmetric NAT）[5]。

1）完全錐型NAT：當NAT內部用戶A連接外網用戶時，NAT會為其分配一個端口，此后外網任何發到這個端口的UDP數據報都可以到達內網用戶A。

2）受限錐型NAT：當NAT內部用戶A連接外網的用戶B時， NAT會為其分配一個端口，此后B可以用任何端口和A通信，但其他的外網用戶不能。

3）端口受限錐型：當NAT內部用戶A連接外網的用戶B時， NAT會為其分配一個端口，此后B只能用本端口和A通信。B用其他端口或其他用戶均不能通信。

4）對稱型NAT：與前三種Cone NAT不同，對稱型NAT內網用戶在連接外部用戶時隨連接的目標不同分配的端口將發生改變。當內外網用戶發生連接時，源IP與端口及目標IP與端口任一發生改變則連接路徑都將改變。

4NAT的穿越

錐型NAT（Cone NAT）的映射與目的地址無關，即源地址相同映射就相同，而對稱型NAT的映射則同時關聯源地址和目的地址，穿越要復雜的多。

4.1錐型NAT的穿越

錐型NAT使用已經成熟的UDP Hole Punching（打洞）技術，即利用STUN服務器得到用戶的UDP映射地址，當雙方需要通信時，可以通過服務器的配合獲取對方的地址和端口，建立P2P直連[6，7，8]。以A與B通信為例具體穿越步驟如圖2：

1）NAT A將A的內網地址和端口轉換為NAT A的外網地址和端口，建立映射關系，同樣NAT B也將B的內網地址和端口轉換為NAT B的外網地址和端口，建立映射關系。

2）用戶A通過服務器C向用戶B發出連接請求。服務器C向用戶A，B發送對方的NAT映射地址，即外部地址。

3）用戶B收到用戶A的外部地址后，將A的外部地址作為目的地址發送Hole Punching UDP數據報，該數據報使得B端網絡的NAT設備允許后續的以A端地址為源地址的UDP數據報進入其內部網絡。形象的稱B向A打了一個“洞”[9]。

4）用戶A收到用戶B的外部地址后，以B的外部地址為目的地址發送探測UDP數據報，同樣該數據報也在A端網絡的NAT設備上建立對應映射。

5）用戶B收到用戶A的探測數據報后，向A發送確認數據報，A、B就建立起UDP連接[10]。

4.2對成型NAT的穿越

STUN 協議不能穿越Symmetric NAT，原因是對稱型NAT的映射關系是由源地址、源端口、目的地址、目的端口4者共同決定的，如果有一方發生變化映射關系就不同。就比如Symmetric NAT后的用戶與外部不同的用戶發生連接時，其分配的端口號會不同，相應的映射關系也就不一樣。因此，發生連接時NAT會為不同的目標結點分配新的端口號，這與其先前在服務器上建立映射關系時使用的端口號不同，而發送方無法得知向接收方發送數據包時NAT所分配新的端口號，也就不能完成連接。也正是由于對成型NAT相對于圓錐型NAT映射關系要復雜的多，因而其安全性更高。對稱型NAT更適合對安全性有更高要求的企業，因而越來越多的企業選擇使用Symmetric NAT。可見，研究Symmetric NAT的穿越非常有意義。

本文是在對目前使用的各種NAT穿越方法認真比對后，通過對NAT及其穿越原理的細致分析研究，給出了使用預測端口的方法穿越Symmetric NAT。該方法將對稱型NAT分為增量型（Increment NAT）和隨機型（Random NAT）兩類。

Symmetric NAT對每次到來的連接要求先按<源IP， 源端口， 目標IP， 目標端口>在NAT映射表中找匹配項，若沒有找到完全匹配項，則按新連接對待并為其分配新端口號。對于增量型NAT，新端口號的分配原則是在前次分配的端口值上增加一個固定值進行分配，如前次分配的端口號為P則新端口號P1就為P1=P + n（n為整數）。對于隨機型NAT，新端口號的分配原則是在前次分配的端口值上增加一個在一定端口范圍（1024，65535）內的隨機量進行分配，如前次分配的端口號為P則新端口號P1就為P1=P + n（n為某一范圍內隨機整數）。用戶端獲取新的端口后連接過程同STUN 協議。比如NAT A、NAT B都為Symmetric NAT，A、B為其后面的用戶，A與B連接過程如下如圖3。

1）用戶A（或B）向具有兩個IP（IP1，IP2）、兩個端口（prot1，prot2）的服務器依次發起四個連接（IP1： prot1），（IP1： prot2），（IP2： prot1），（IP2： prot2）， ，每次連接都能從服務器返回的數據包中找到A（或B）經過NAT轉換后的映射關系， 比對A（或B）相鄰兩次連接請求所分配的端口號，計算端口的增量，如果每次的增量都是相同則獲得固定增量轉入2），如果增量不同則為隨機增量轉入6）。

2）用戶A將從NAT A上獲得的增量發送給服務器C并通知C與B的連接請求，服務器C通知用戶B用戶A的連接請求，并發送用戶A的預測地址給用戶B。

3）用戶B通過端口映射，把從NAT B上得到的預測增量由服務器C發送給A，用戶A向B的預測地址發送連接請求，報文穿越NAT A建立來自B的映射規則。

4）由于用戶B向用戶A的預測端口發送信息包前在NAT A上已經建立了映射，因而用戶B的連接請求能直接通過。

5）用戶A獲得連接請求后發送確認包，這樣就建立了用戶A與B間的直接通信，也就不再需要服務器C了。

6）NAT A對新連接端口分配是隨機變化， 兩次之間變化量為△t（△t為整數），雖然每次△t值的選擇是由NAT設備通過某種方式隨機選擇，但通常每次分配的端口號之間都會具有一定的函數關系或是統計上的相關性，這主要取決于具體的設備和網絡環境。如用戶A發生新的連接時， NAT A為其分配新的端口號P1，假定NAT A為A的上次連接分配的端口號為P則必然存在P1=P + △t，△t= f（P）。通過在多種網絡條件下的測試和分析， 也證實了多數情況下存在具有某種特征的分布特性值△t。因此，可以通過其分布特性來預測△t所屬范圍，并對該范圍端口進行試探來實施穿越。

5結束語

采用端口預測法解決了信息包對Symmetric NAT的穿越問題，但對Symmetric NAT端口隨機性增量變化的預測方法還有待于進一步研究，以提高預測的命中率進而提高通信效率。

參考文獻

[1]陳明東. OpenH323網絡視頻會議中微量化穿越技術研究[J].計算機與現代化，2012，（2）：120-123.

[2]朱光，張云華，盧娟.基于ICE 的VOIP穿越NAT方案研究[J].計算機應用與軟件，2011，28（10）：222-224.

[3]彭李超，譚兵.基于STUNT的Symmetric NAT穿越[J].微計算機應用，2010，31（10）：32-35.

[4]黃桂敏，朱曉姝.基于UDP協議穿透NAT設備的對等網絡模型研究[J].計算機工程與設計，2010，31（2）：317-320.

[5]SRISURE2S P， 2FORD B2， KEGEL D. State ofpeer to peer （p2p） communication across network address tra2nsl2ators （ nats）. Internet2draft， IETF， February 2007. [ EB/OL ]. [ 2007-12-02 ]. http： //www. Ietf. Org/internetdrafts/draftietfbehavep2pstate02. txt.

[6]暢巨崢，汪瀅，王慶輝.利用ICE實現VOIP媒體流穿越[J].計算機應用技術2010，（6）：105-108.

[7]劉娟娟，陶加祥.一種基于第三方服務器的P2P穿透NAT的實現方法[J].軟件導刊，2010，9（1）：121-123.

[8]王秀欣，戚宇林，王鼎.基于NATT 協議的NAT 穿越技術的設計與實現[J].電力系統通信，2009，30（185）：60-63.

[9]GUHA S. STUNTSimple Traversal of UDP ThroughNATs and TCP too. Work in progress. [ EB/OL ] . [2007-12-02 ]. http： //uts. Gforge. Cis.cornell. edu/pub/dr2aft2guha STUNT-00. txt.

[10]J. Rosenberg. STUNsimple traversal of user datagram protocol through network address translators[C]. IETF RFC 3489.