在SDWAN網(wǎng)絡(luò)中，為了節(jié)省IP地址資源，分支站點(diǎn)的用戶(hù)經(jīng)常會(huì)使用私網(wǎng)IP地址。通過(guò)NAT將私網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)IP地址后，該站點(diǎn)的用戶(hù)才能訪問(wèn)其他站點(diǎn)。CPE發(fā)出的報(bào)文在經(jīng)過(guò)NAT設(shè)備后，IP地址會(huì)發(fā)生變化。如果無(wú)法獲取NAT轉(zhuǎn)換后的IP地址，則CPE與CPE/RR之間無(wú)法建立SDWAN通道。為了解決此問(wèn)題，需要使用靜態(tài)NAT或STUN（Session Traversal Utilities for NAT，NAT環(huán)境下的會(huì)話傳輸）技術(shù)獲取NAT相關(guān)信息，并穿越NAT在CPE之間建立SDWAN隧道。

靜態(tài)NAT技術(shù)

靜態(tài)NAT技術(shù)是指在NAT設(shè)備上采用靜態(tài)NAT轉(zhuǎn)換方式的場(chǎng)景中，管理員通過(guò)在CPE/RR上部署靜態(tài)NAT技術(shù)，手工指定隧道的源IP地址和端口號(hào)（即SDWAN報(bào)文封裝時(shí)的源UDP端口號(hào)）NAT轉(zhuǎn)換后的公網(wǎng)IP地址和公網(wǎng)端口號(hào)，而無(wú)需部署STUN功能來(lái)探測(cè)NAT轉(zhuǎn)換后的公網(wǎng)IP地址和公網(wǎng)端口號(hào)。

STUN技術(shù)

STUN是一種處理NAT穿越問(wèn)題的協(xié)議，用來(lái)為隧道模塊確定網(wǎng)絡(luò)中是否存在NAT設(shè)備，以及NAT設(shè)備為通信端點(diǎn)分配的IP地址和端口號(hào)。STUN基于UDP傳輸協(xié)議報(bào)文，默認(rèn)使用的端口號(hào)為3478。

STUN典型組網(wǎng)

STUN采用C/S模式，由STUN客戶(hù)端（STUN Client）和STUN服務(wù)器（STUN Server）組成，典型組網(wǎng)如圖所示。

·STUN客戶(hù)端：STUN探測(cè)的發(fā)起者，主動(dòng)向STUN服務(wù)器發(fā)送探測(cè)請(qǐng)求，根據(jù)服務(wù)器的響應(yīng)報(bào)文判斷NAT設(shè)備是否存在，并獲取NAT信息。通常部署在CPE設(shè)備上。

·STUN服務(wù)器：STUN探測(cè)的響應(yīng)者，接收來(lái)自STUN客戶(hù)端的探測(cè)請(qǐng)求，并通過(guò)在響應(yīng)報(bào)文內(nèi)填充特定的地址和端口信息向客戶(hù)端提供判斷的依據(jù)。通常部署在公網(wǎng)上。

STUN典型組網(wǎng)

STUN客戶(hù)端和STUN服務(wù)器通過(guò)交互捆綁請(qǐng)求和捆綁響應(yīng)協(xié)議報(bào)文，探測(cè)NAT轉(zhuǎn)換后的IP地址和端口號(hào)，以及NAT類(lèi)型。

NAT映射和過(guò)濾

1.概念介紹

NAT映射和NAT過(guò)濾是NAT穿越技術(shù)里經(jīng)常用到的兩個(gè)概念。在STUN里，需要通過(guò)NAT映射類(lèi)型和NAT過(guò)濾方式來(lái)判斷NAT類(lèi)型，從而確定STUN是否能正常工作。

相關(guān)術(shù)語(yǔ)如下：

Endpoint：一對(duì)IP地址和端口號(hào)的組合。例如，Endpoint(X,x)表示IP地址為X、端口號(hào)為x。

NAT映射：NAT設(shè)備對(duì)內(nèi)網(wǎng)主動(dòng)發(fā)到外網(wǎng)的報(bào)文進(jìn)行映射。當(dāng)內(nèi)網(wǎng)主機(jī)向外網(wǎng)主機(jī)發(fā)起訪問(wèn)時(shí)，NAT設(shè)備會(huì)建立內(nèi)網(wǎng)Endpoint和外網(wǎng)Endpoint之間的映射關(guān)系表，并根據(jù)該映射關(guān)系將報(bào)文的內(nèi)網(wǎng)Endpoint轉(zhuǎn)換成外網(wǎng)Endpoint轉(zhuǎn)發(fā)出去。

NAT過(guò)濾：NAT設(shè)備對(duì)外網(wǎng)主動(dòng)發(fā)到內(nèi)網(wǎng)的報(bào)文進(jìn)行過(guò)濾。為了防止內(nèi)網(wǎng)主機(jī)受到攻擊，NAT設(shè)備會(huì)對(duì)外網(wǎng)主動(dòng)發(fā)到內(nèi)網(wǎng)的報(bào)文進(jìn)行過(guò)濾，即過(guò)濾非法報(bào)文，轉(zhuǎn)發(fā)正常通信報(bào)文。

2. NAT映射類(lèi)型

NAT映射類(lèi)型包括三種：EIM、ADM和APDM。下面以圖為例，詳細(xì)介紹三種NAT映射類(lèi)型。假設(shè)內(nèi)網(wǎng)主機(jī)Host A的內(nèi)網(wǎng)Endpoint為(X,x)，經(jīng)過(guò)NAT映射后的外網(wǎng)Endpoint為(Y,y)。外網(wǎng)Host B的Endpoint為(M,m)，外網(wǎng)Host C的Endpoint為(N,n)。

· EIM（Endpoint-Independent Mapping，外部地址無(wú)關(guān)映射）：僅根據(jù)內(nèi)網(wǎng)Endpoint進(jìn)行NAT映射，不考慮報(bào)文的目的IP地址和端口號(hào)，即同一個(gè)內(nèi)網(wǎng)Endpoint發(fā)送到外部網(wǎng)絡(luò)的任何報(bào)文，NAT映射后的結(jié)果均相同。如圖3-2所示，對(duì)于內(nèi)網(wǎng)Endpoint(X,x)，NAT映射后的外網(wǎng)Endpoint均為(Y,y)。

EIM示意圖

ADM（Address-Dependent Mapping，外部地址相關(guān)映射）：根據(jù)內(nèi)網(wǎng)Endpoint和報(bào)文的目的IP地址進(jìn)行NAT映射，不考慮報(bào)文的目的端口號(hào)。即，同一個(gè)內(nèi)網(wǎng)Endpoint發(fā)送到外部網(wǎng)絡(luò)中相同IP地址、任意端口號(hào)的報(bào)文，NAT映射后的結(jié)果相同；同一個(gè)內(nèi)網(wǎng)Endpoint發(fā)送到外部網(wǎng)絡(luò)中不同IP地址的報(bào)文，NAT映射后的結(jié)果不同。如圖所示，對(duì)于內(nèi)網(wǎng)Endpoint(X,x)訪問(wèn)Host B上Endpoint(M,m1)和Endpoint(M,m2)的報(bào)文，NAT映射后的外網(wǎng)Endpoint均為(Y1,y1)。

ADM示意圖

APDM（Address and Port-Dependent Mapping，外部地址和端口相關(guān)映射）：根據(jù)內(nèi)網(wǎng)Endpoint和外網(wǎng)Endpoint進(jìn)行NAT映射。即，同一個(gè)內(nèi)網(wǎng)Endpoint發(fā)送到同一外網(wǎng)Endpoint的報(bào)文，NAT映射后的結(jié)果相同；同一個(gè)內(nèi)網(wǎng)Endpoint發(fā)送到不同外網(wǎng)Endpoint的報(bào)文，NAT映射后的結(jié)果不同。如圖所示，對(duì)于內(nèi)網(wǎng)Endpoint(X,x)訪問(wèn)Host B的報(bào)文，NAT映射后的外網(wǎng)Endpoint為(Y1,y1)；內(nèi)網(wǎng)Endpoint(X,x)訪問(wèn)Host C的報(bào)文，NAT映射后的外網(wǎng)Endpoint為(Y2,y2)。

APDM示意圖

NAT過(guò)濾方式

NAT過(guò)濾方式包括三種：EIF、ADF和APDF。下面以圖3-5、圖3-6和圖3-7為例，詳細(xì)介紹三種NAT過(guò)濾類(lèi)型。假設(shè)內(nèi)網(wǎng)主機(jī)Host A的內(nèi)網(wǎng)Endpoint為(X,x)，經(jīng)過(guò)NAT映射后的外網(wǎng)Endpoint為(Y,y)。外網(wǎng)Host B的Endpoint為(M,m)，外網(wǎng)Host C的Endpoint為(N,n)。

EIF（Endpoint-Independent Filtering，外部地址無(wú)關(guān)過(guò)濾）：對(duì)于內(nèi)網(wǎng)Endpoint(X,x)，只要它曾經(jīng)向某個(gè)外網(wǎng)主機(jī)發(fā)送過(guò)數(shù)據(jù)，該外網(wǎng)主機(jī)收到數(shù)據(jù)報(bào)文后就可以根據(jù)報(bào)文的源IP和源端口獲取到內(nèi)網(wǎng)主機(jī)NAT映射后的外網(wǎng)Endpoint(Y,y)。那么，對(duì)于任意外部網(wǎng)絡(luò)主機(jī)發(fā)送到Endpoint(Y,y)的報(bào)文，NAT設(shè)備都會(huì)進(jìn)行地址轉(zhuǎn)換并轉(zhuǎn)發(fā)到內(nèi)網(wǎng)。NAT設(shè)備接收到外部網(wǎng)絡(luò)主機(jī)發(fā)送的報(bào)文后，若NAT設(shè)備上的映射表中不存在該報(bào)文目的Endpoint對(duì)應(yīng)的表項(xiàng)，則NAT設(shè)備會(huì)將此類(lèi)報(bào)文丟棄。

EIF示意圖

ADF（Address-Dependent Filtering，外部地址相關(guān)過(guò)濾）：對(duì)于內(nèi)網(wǎng)Endpoint(X,x)，只有它曾經(jīng)向IP地址為M的外網(wǎng)主機(jī)Host B發(fā)送過(guò)報(bào)文，NAT設(shè)備才會(huì)對(duì)外網(wǎng)主機(jī)Host B使用外網(wǎng)地址M、任意端口號(hào)發(fā)送到Endpoint(Y,y)的報(bào)文進(jìn)行地址轉(zhuǎn)換。除此之外的外部網(wǎng)絡(luò)報(bào)文都會(huì)被NAT設(shè)備過(guò)濾。

ADF示意圖

APDF（Address and Port-Dependent Filtering，外部地址和端口相關(guān)過(guò)濾）：對(duì)于內(nèi)網(wǎng)Endpoint(X,x)，如果它僅向外網(wǎng)Endpoint(M1,m1)發(fā)送過(guò)報(bào)文，那么NAT設(shè)備只會(huì)對(duì)Endpoint(M1,m1)發(fā)送到Endpoint(Y,y)的報(bào)文進(jìn)行地址轉(zhuǎn)換并轉(zhuǎn)發(fā)到內(nèi)網(wǎng)。除此之外的外部網(wǎng)網(wǎng)絡(luò)報(bào)文都會(huì)被NAT設(shè)備丟棄。

APDF示意圖

NAT類(lèi)型

NAT類(lèi)型是由映射類(lèi)型和過(guò)濾方式組合而成的，有如下四種組合方式：

· Full Cone NAT（完全錐型NAT）：EIM和EIF的組合。

所有從同一個(gè)私網(wǎng)IP地址和端口（IP1:Port1）發(fā)送到NAT設(shè)備的報(bào)文的地址和端口都會(huì)被映射成同一個(gè)公網(wǎng)IP地址和端口（IP:Port）。并且，任何外部主機(jī)都可以通過(guò)該公網(wǎng)IP地址和端口（IP:Port）與內(nèi)部主機(jī)進(jìn)行通信。

Restricted Cone NAT（限制錐型NAT）：EIM和ADF的組合。

所有從同一個(gè)私網(wǎng)IP地址和端口（IP1:Port1）發(fā)送到NAT設(shè)備的報(bào)文的地址和端口都會(huì)被映射成同一個(gè)公網(wǎng)IP和端口號(hào)（IP:Port）。與Full Cone NAT不同的是，只有內(nèi)部主機(jī)之前已經(jīng)訪問(wèn)過(guò)的外部主機(jī)可以與內(nèi)部主機(jī)通信，其余外部主機(jī)不能與內(nèi)部主機(jī)通信。

· Port Restricted Cone NAT（端口限制錐型NAT）：EIM和APDF的組合。

所有從同一個(gè)私網(wǎng)IP地址和端口（IP1:Port1）發(fā)送到NAT設(shè)備的報(bào)文的地址和端口都會(huì)被映射成同一個(gè)公網(wǎng)IP和端口號(hào)（IP:Port）。與Restricted Cone NAT不同的是，一臺(tái)公網(wǎng)主機(jī)（IP2:Port2）能夠與內(nèi)網(wǎng)主機(jī)進(jìn)行通信的前提是，內(nèi)網(wǎng)主機(jī)曾經(jīng)通過(guò)（IP2:Port2）訪問(wèn)過(guò)該公網(wǎng)主機(jī)。

Symmetric NAT（對(duì)稱(chēng)NAT）：APDM和APDF的組合。

所有從同一個(gè)私網(wǎng)IP地址和端口（IP1:Port1）發(fā)送到一個(gè)特定目的IP地址和端口的報(bào)文的地址和端口，都會(huì)被映射到同一個(gè)公網(wǎng)IP地址和端口。如果同一臺(tái)私網(wǎng)主機(jī)使用相同的源地址和端口號(hào)發(fā)送報(bào)文，但是發(fā)往不同的目的地，NAT將會(huì)使用不同的映射。公網(wǎng)主機(jī)（IP2:Port2）與某個(gè)內(nèi)網(wǎng)主機(jī)（IP1:Port1）通信的前提是，內(nèi)網(wǎng)主機(jī)（IP1:Port1）曾經(jīng)通過(guò)（IP2:Port2）訪問(wèn)過(guò)該公網(wǎng)主機(jī)。

（部分內(nèi)容素材來(lái)源于網(wǎng)絡(luò)，侵權(quán)請(qǐng)聯(lián)系刪除）

審核編輯 黃昊宇