-
nat穿透
鎖定
目錄
- 1 簡介
- 2 NAT穿透與IPsec
- 3 IETF文獻
- 4 相關技術
nat穿透簡介
儘管有許多穿越NAT的技術,但沒有一項是完美的,這是因為NAT的行為是非標準化的。這些技術中的大多數都要求有一個公共服務器,而且這個服務器使用的是一個眾所周知的、從全球任何地方都能訪問得到的IP地址。一些方法僅在建立連接時需要使用這個服務器,而其它的方法則通過這個服務器中繼所有的數據——這就引入了帶寬開銷的問題。
nat穿透NAT穿透與IPsec
為了於NAT之上實現IPsec,下列的協議必須在防火牆中實作:
- Internet Key Exchange (IKE) -UDP端口500
- Encapsulating Security Payload (ESP) - IP協議號50
或者是NAT-T之例:
- IPsec NAT-T - UDP端口4500
在家庭路由器上,這通常通過啓用“IPsec穿透”來實現。
nat穿透IETF文獻
- RFC 1579- Firewall Friendly FTP
- RFC 2663- IP Network Address Translator (NAT) Terminology and Considerations
- RFC 2709- Security Model with Tunnel-mode IPsec for NAT Domains
- RFC 2993- Architectural Implications of NAT
- RFC 3022- Traditional IP Network Address Translator (Traditional NAT)
- RFC 3027- Protocol Complications with the IP Network Address Translator (NAT)
- RFC 3235- Network Address Translator (NAT)-Friendly Application Design Guidelines
- RFC 3715- IPsec-Network Address Translation (NAT) Compatibility
- RFC 3947- Negotiation of NAT-Traversal in the IKE
- RFC 5128- State of Peer-to-Peer (P2P) Communication across Network Address Translators (NATs)
nat穿透相關技術
nat穿透NAT穿透技術與NAT行為
- Session Traversal Utilities for NAT(STUN)
- Traversal Using Relay NAT(TURN)
- NAT-TNegotiation of NAT-Traversal in the IKE
- Teredo tunnelinguses NAT traversal to provideIPv6connectivity.
- Session Border Controller(SBC)
- UDP打洞(UDP hole punching)
- TCP打洞(TCP hole punching)
- ICMP打洞(ICMP hole punching)
nat穿透NAT穿透基於NAT控制
- Realm-Specific IP(RSIP)
- MiddleboxCommunications(MIDCOM)
- NAT Port Mapping Protocol(NAT PMP)
- Internet Gateway Device(IGD)協定,由通用即插即用(UPnP)論壇所定義。
- Application Layer Gateway(ALG)
nat穿透NAT穿透整合技術
- Interactive Connectivity Establishment(ICE)
nat穿透 research papers
- Cornell University - Characterization and Measurement of TCP Traversal through NATs and Firewalls
- Columbia University - An Analysis of the Skype Peer-to-Peer Internet Telephony
- Peer to peer communication across Network Address Translators (UDP Hole Punching)
- Internet By All Means - An article on how to maximize your chances to get around firewalls
nat穿透用途
當前的Internet面臨兩大問題,即可用IP地址的短缺和路由表的不斷增大,這使得眾多用户的接入出現困難。
使用NAT技術可以使一個機構內的所有用户通過有限的數個(或1個)合法IP地址訪問Internet,從而節省了Internet上的合法IP地址;另一方面,通過地址轉換,可以隱藏內網上主機的真實IP地址,從而提高網絡的安全性。
nat穿透NAT術語
在這些術語中,Inside(內部)是指那些由機構或企業所擁有的內部網絡,這些網絡上的主機通常分配了私有地址。這些地址不能直接在Internet上進行路由,從而也就不能直接用於對Internet的訪問,必須通過網絡地址的轉換,以合法IP的身份來訪問Internet。前者即InsideLocal地址。後者則為Inside Global地址。Local(本地)的地址是不能在Internet上通信的IP地址;Global(全局)的地址是能在Internet上通信的地址。Outside(外部)是指除了我們考察的內部網絡之外的所有網絡。有了對Inside、Outsider Local和Global4個詞的解釋,讓我們來看一看4個地址的定義。
●Inside Local Address(內部本地地址)
指一個網絡內部分配給網上主機的IP地址,此地址通常不是Internet上的合法地址,即不是網絡信息中心 (NIC)或Internet服務提供商(ISP:internet service provider)所分配的IP地址。
●Inside Global Address(內部全局地址)
用來代替一個或者多個內部本地IP地址的、對外的、Internet上合法的IP地址。
●Outside Local Address(外部本地地址)
●Outside Global Address(外部全局地址)
由主機擁有者分配給在外部網上主機的IP地址。此地址是從一個從全局可路由的地址或網絡空間中分配的。
nat穿透相關術語
靜態內部源地址轉換
所謂靜態內部源地址轉換是指將一個內部本地的IP地址轉換成為惟一的內部全局地址,即私有地址和合法地址之間的靜態一一映射。這種轉換通常用在內部網上的主機需要對外提供服務(如Web、E-mail服務等)的情況下。
動態內部源地址轉換
在動態內部源地址轉換的方式下,一組內部本地地址與一個內部全局地址池之間建立起一種動態的一一映射關係。這種地址轉換形式下,內部主機可以訪問外部網絡,外部主機也能對內部網絡進行訪問,但必須是在內網IP地址與內部全局地址之間存在映射關係時才能成功,並且這種映射關係是動態的。
複用內部全局地址