浅谈NAT穿透技术原理

今天我们要在技术NAT技术领域的NAT一看，我们可能不熟悉，存在我们身边的是真实的，但我们很少关注it.nat是一种网络地址翻译技术，内部私有IP地址转换成可用于公共网络：公网IP。背景是由于我国公共IP地址太小是不够的，NAT技术的兴起。我不在这里，每个人都在特定的IP地址转换NAT方式，采用的技术原理of.nat技术并不太难，技术上的优点和缺点。我们也可以同时制作多个计算机网络，它也隐藏了内部地址，NAT查看NAT映射来记录来自外部的数据，没有相应的记录包被拒绝，从而提高了网络的安全性，一方面，NAT设备对数据包进行了修改，降低了传输数据速率。由于技术的复杂性，调试变得困难，我们发布了一个服务器内部，也不得不考虑端口映射等问题。它也给它，网络流行的今天，各种应用的协议，应用也不同，有些无法通过NAT。这是最麻烦的事。目前，为了解决这些问题，我们采用了多种多样的渗透技术。然后我们讨论。
NAT的三种实现
静态地址转换：公共网络IP对应于内部IP，一对一转换。
动态地址转换：n公共网络IP对应m内部IP，不固定一对一的IP转换关系。同时，有M-N主机无法连接到网络。
端口多路复用：只有一个公共网络IP，它通过端口区分来自不同内部IP主机的数据。
IP转换策略
用于静态和动态地址转换；源地址转换时出站的数据包。我们称它为SNAT源地址。其内部源IP网络源IP。包入站当目标地址转换为DnaT {目的地址}，外部公共场所内苏IP IP变量。静态和动态无端口转换。端口多路复用技术。不仅要转换IP地址，还要传输层端口转换。通过这个独特的端口号来区分不同的内部数据，将建立一个映射表，将内部的外部通信过程。通过NAT端口技术我们称我们的家庭网络，主要是在端口复用。在端口多路复用中，数据处理分为两类：NAT和NAT。coneconical型对称NAT也完全锥形NAT { }全锥|锥形NAT限制锥} {有限|港有限公司锥形NAT端口受限制的锥形} {。
所有的渐变NAT：主机监视器将来自同一IP地址，端口号请求映射到一个公共IP端口监视器。IP本身有任何外部公网IP地址和端口映射，在端口访问之后，将被迁移到主机内部。即出版商在内部向外部网络，这种技术已经结合了技术原理的完整原则，当然有些P2P也可以使用这种技术。在这项技术中，基于连接的C／S体系结构的应用可以在两端发起。
受限圆锥NAT：与NAT不同，在公网端口上，不允许所有IP接入端口进行必要的通信，将外部IP主机内部主机连接起来，然后对外部IP主机和内部主机进行通信。但不要限制如端口。本站是一个B源IP端口，用于外部IP的回复，在目的港可以any.napt设备苏IP将成功地转发到内部host.napt装置由映射记录判断。这种技术只能是内部主机首先启动连接到通信的成功。
端口受限锥形NAT：技术和限制锥NAT更严格。除了受限制的锥形NAT特性。此外，还有回复主机端口的要求，我用来访问您的B端口，外部主机恢复的目的端口只能是B。通信故障没有中断。这种技术只能是内部主机首次发起的通信才能成功。
对称NAT：同一IP和每个会话的同一端口和外部IP通信equipment.napt转换不同的源端口内部主机。转换中的源端口不相同。对于应答包，只有在到达前的目的IP地址和端口匹配。当然是检测源IP不能自由，外部IP可以进入。

NAT穿透技术
为什么会有NAT穿透技术我们知道在NAPT技术的应用，实现通信端口required.ip地址需要修改。现在the.ftp应用协议残酷的控制端口和数据端口，数据端口的悲剧是不固定的，协商成功后通知对方端口的数据内容是由应用程序layer.nat装置无法进行分析，制定相应的映射，从而导致交际失败in.vpn协议，PPTP协议，数据连接协议没有港口。这个概念到NAT怎么做决定IPSec安全协议是为了保证本发明的源数据和IP结果的安全性和认证性，对输入层加密的网络层，将NAT的数据加密为无根据的声明的通信。当然不能通过NAT有很多，比如语音在VOIP和SIP协议H.323中，以便达成这些协议。NAT技术的成功应用，广泛渗透。UPnP technology.alg应用层网关识别技术SBC {会话边界控制} { }冰交互式连通建立MIDCOM技术：翻箱中间继电器NAT TCP / UDP打洞晕。通过TCP / UDP打洞技术NAT-T技术hellip总之冲压技术；许多原则不同的是，我没有时间研究和分析。这几个应用举例说多点举例。
ALG技术：传统的NAT技术只能检测网络层和传输层的地址，你的FTP传输端口地址在应用层所以该技术是一种应用层地址识别技术，根据不同的协议进行测试，然后找到修改地址并通知NAT映射的记录，从而达到成功交际。对于这项技术，对于每一个新的互联网协议支持更新设备或扩展是不被认可的。可怜的。对于个人协议，该技术不能解决诸如IPSec协议等问题。
眩晕技术：通过眩晕协议与第三方服务器连接，并推断客户端的NAT类型。然后通信。RFC3489 / STUN协议的过程中cr0_3 {百度空间}。STUN协议定义了三个测试程序来检测NAT类型。
test1：STUN客户端发送STUN服务器{ ip-s1绑定请求：port-s1 }通过端口{ ip-c1：port-c1 }（无属性设置）。接收请求后，发送STUN服务器的IP和端口，port-m1 } { ip-m1 STUN客户端所看到的结合ip-s1：port-s1昏迷口{ }。
试验2：# STUN客户端发送STUN服务器{ IP-S2绑定请求：port-s2 }通过端口{ ip-c1：port-c1 }（无属性设置）。接收请求后，发送STUN服务器的IP和端口{ ip-m1 # 2和port-m1 # 2 } STUN客户端绑定的端口{看到晕IP-S2：port-s2 }。
test2：STUN客户端发送STUN服务器{ ip-s1绑定请求：port-s1 } { }的港口ip-c1：port-c1（设置更改IP和端口属性的改变）。接收请求后，发送STUN服务器的IP和端口，port-m2 } { ip-m2 STUN客户端看到结合港口{ IP-S2：port-s2昏迷}。
试验三：STUN客户端发送STUN服务器{ ip-s1绑定请求：port-s1 }通过端口{ ip-c1：port-c1 }（设置更改端口属性）。接收请求后，发送STUN服务器的IP和端口，port-m3 } { ip-m3 STUN客户端所看到的结合ip-s1：port-s2昏迷口{ }。
NAT类型检测过程如下
1。为test1。如果STUN客户端STUN服务器无法接收响应（反复确认），使STUN客户端UDP是封闭式（可能是STUN服务器不能达成，这种情况这里不考虑）；否则，STUN客户端返回{ ip-m1，port-m1 }和{ ip-c1：当地port-c1 }进行比较（唯一的IP，如果相同），本机直接连接到公共的，否则机位于NAT，但还需要进一步确定具体类型。
1.1。if this machine is directly connected to the public network, Test2 is carried out.If STUN Client is unable to receive STUN Server's reply (repeated multiple acknowledgment), it shows that the STUN Client is Symmetric Firewall type, otherwise, the STUN Client is Open Open type.

1.2。如果机器位于NAT之后，test2进行。如果STUN客户端可以从STUN服务器收到一个响应，然后STUN客户端是一个完整的锥形NAT；否则，还需要进一步试验。
1.2.1。执行test1 # 2.stun客户端比较是否ip-m1和ip-m1 # 2是相同的。如果不是，则眩晕客户端是对称NAT类型。否则，需要进行进一步的测试。
1进行试验。如果STUN客户端可以接收回复STUN服务器，然后说明了STUN客户端限制圆锥型；否则，STUN客户端类型的眩晕。
大多数技术都是针对P2P应用环境的。
NAT-T技术：这个想法是在ESP隧道模式，8字节的UDP声明外部IP包头和ESP使NAT可以成功地映射之间增加。
IPSec提供的安全IP端到端的通信，但在NAT IPSec支持的环境是有限的，AH协议肯定是不自然的啊，设计理念是相反的ESP协议；只有在VPN主机的最大NAT环境可以建立VPN通道，在NAT环境没有多机和ESP通信方法。
NAT Traversal (NAT-T) is put forward to solve this problem. 在rfc39473948，遍历的解释加入RFC4306，但rfc39473948不废除，但它不区分1期和2期之间。该方法封装ESP协议封装成UDP包（添加新的IP头和UDP头在原有ESP协议IP外包头），使其能够用于在NAT环境下，有多个IPSec NAT内网主机建立通信的VPN通道。
AH封装：从IP头开始检查AH包。如果NAT改变了ip头，对AH的检查将失败，因此我们得出结论：AH不能与NAT共存，ESP封装的传输方式：NAT的优点是不包括加密或完整性检查，但仍然存在新的问题。对于ESP传输模式，NAT无法更新上校验。校验和集成的源和目标IP地址和端口号的值的TCP和UDP报头包含。当NAT改变IP地址和/或一个数据包的端口号，它通常更新TCP或UDP校验和，无法更新校验和时，TCP或UDP校验和ESP是用来加密。由于地址或端口已经被NAT改变，目的地的校验和测试会失败。虽然UDP校验和是可选的，TCP校验和是必要的。
隧道模式下ESP封装：从ESP隧道模式的包装，我们可以发现，原来ESP隧道模式的IP数据包进行加密，和ESP在头之外增加了一个新的IP头层，所以NAT如果变化对前面后面的IP地址被保护不受影响。因此，IPSec与NAT可以并存，只有当数据是由ESP隧道mode.esp传输方式封装的，因为TCP部分加密，NAT不能修改和修改TCP校验和，不相容的。ESP隧道模式，因为NAT改变外部IP，不能改变加密的原始IP，使它只在这种情况下，共存与NAT。