0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

穿越NAT的SDWAN技术实现(上)

夽谷科技组网服务 来源: 夽谷科技组网服务 作者: 夽谷科技组网服务 2022-10-11 11:35 次阅读

SDWAN网络中,为了节省IP地址资源,分支站点的用户经常会使用私网IP地址。通过NAT将私网IP地址转换为公网IP地址后,该站点的用户才能访问其他站点。CPE发出的报文在经过NAT设备后,IP地址会发生变化。如果无法获取NAT转换后的IP地址,则CPE与CPE/RR之间无法建立SDWAN通道。为了解决此问题,需要使用静态NAT或STUN(Session Traversal Utilities for NAT,NAT环境下的会话传输)技术获取NAT相关信息,并穿越NAT在CPE之间建立SDWAN隧道。

静态NAT技术

静态NAT技术是指在NAT设备上采用静态NAT转换方式的场景中,管理员通过在CPE/RR上部署静态NAT技术,手工指定隧道的源IP地址和端口号(即SDWAN报文封装时的源UDP端口号)NAT转换后的公网IP地址和公网端口号,而无需部署STUN功能来探测NAT转换后的公网IP地址和公网端口号。

STUN技术

STUN是一种处理NAT穿越问题的协议,用来为隧道模块确定网络中是否存在NAT设备,以及NAT设备为通信端点分配的IP地址和端口号。STUN基于UDP传输协议报文,默认使用的端口号为3478。

STUN典型组网

STUN采用C/S模式,由STUN客户端(STUN Client)和STUN服务器(STUN Server)组成,典型组网如图所示。

·STUN客户端:STUN探测的发起者,主动向STUN服务器发送探测请求,根据服务器的响应报文判断NAT设备是否存在,并获取NAT信息。通常部署在CPE设备上。

·STUN服务器:STUN探测的响应者,接收来自STUN客户端的探测请求,并通过在响应报文内填充特定的地址和端口信息向客户端提供判断的依据。通常部署在公网上。

STUN典型组网

poYBAGNE4-KATorzAAEby9yX3X4452.png

STUN客户端和STUN服务器通过交互捆绑请求和捆绑响应协议报文,探测NAT转换后的IP地址和端口号,以及NAT类型。

NAT映射和过滤

1.概念介绍

NAT映射和NAT过滤是NAT穿越技术里经常用到的两个概念。在STUN里,需要通过NAT映射类型和NAT过滤方式来判断NAT类型,从而确定STUN是否能正常工作。

相关术语如下:

Endpoint:一对IP地址和端口号的组合。例如,Endpoint(X,x)表示IP地址为X、端口号为x。

NAT映射:NAT设备对内网主动发到外网的报文进行映射。当内网主机向外网主机发起访问时,NAT设备会建立内网Endpoint和外网Endpoint之间的映射关系表,并根据该映射关系将报文的内网Endpoint转换成外网Endpoint转发出去。

NAT过滤:NAT设备对外网主动发到内网的报文进行过滤。为了防止内网主机受到攻击,NAT设备会对外网主动发到内网的报文进行过滤,即过滤非法报文,转发正常通信报文。

2. NAT映射类型

NAT映射类型包括三种:EIM、ADM和APDM。下面以图为例,详细介绍三种NAT映射类型。假设内网主机Host A的内网Endpoint为(X,x),经过NAT映射后的外网Endpoint为(Y,y)。外网Host B的Endpoint为(M,m),外网Host C的Endpoint为(N,n)。

· EIM(Endpoint-Independent Mapping,外部地址无关映射):仅根据内网Endpoint进行NAT映射,不考虑报文的目的IP地址和端口号,即同一个内网Endpoint发送到外部网络的任何报文,NAT映射后的结果均相同。如图3-2所示,对于内网Endpoint(X,x),NAT映射后的外网Endpoint均为(Y,y)。

EIM示意图

poYBAGNE4--ARxg3AAKHC26_Yo0043.png

ADM(Address-Dependent Mapping,外部地址相关映射):根据内网Endpoint和报文的目的IP地址进行NAT映射,不考虑报文的目的端口号。即,同一个内网Endpoint发送到外部网络中相同IP地址、任意端口号的报文,NAT映射后的结果相同;同一个内网Endpoint发送到外部网络中不同IP地址的报文,NAT映射后的结果不同。如图所示,对于内网Endpoint(X,x)访问Host B上Endpoint(M,m1)和Endpoint(M,m2)的报文,NAT映射后的外网Endpoint均为(Y1,y1)。

ADM示意图

poYBAGNE4_uAWgaQAAJiCIktXng236.png

APDM(Address and Port-Dependent Mapping,外部地址和端口相关映射):根据内网Endpoint和外网Endpoint进行NAT映射。即,同一个内网Endpoint发送到同一外网Endpoint的报文,NAT映射后的结果相同;同一个内网Endpoint发送到不同外网Endpoint的报文,NAT映射后的结果不同。如图所示,对于内网Endpoint(X,x)访问Host B的报文,NAT映射后的外网Endpoint为(Y1,y1);内网Endpoint(X,x)访问Host C的报文,NAT映射后的外网Endpoint为(Y2,y2)。

APDM示意图

poYBAGNE5A-AAhVWAAK1fluas1Q596.png

NAT过滤方式

NAT过滤方式包括三种:EIF、ADF和APDF。下面以图3-5、图3-6和图3-7为例,详细介绍三种NAT过滤类型。假设内网主机Host A的内网Endpoint为(X,x),经过NAT映射后的外网Endpoint为(Y,y)。外网Host B的Endpoint为(M,m),外网Host C的Endpoint为(N,n)。

EIF(Endpoint-Independent Filtering,外部地址无关过滤):对于内网Endpoint(X,x),只要它曾经向某个外网主机发送过数据,该外网主机收到数据报文后就可以根据报文的源IP和源端口获取到内网主机NAT映射后的外网Endpoint(Y,y)。那么,对于任意外部网络主机发送到Endpoint(Y,y)的报文,NAT设备都会进行地址转换并转发到内网。NAT设备接收到外部网络主机发送的报文后,若NAT设备上的映射表中不存在该报文目的Endpoint对应的表项,则NAT设备会将此类报文丢弃。

EIF示意图

poYBAGNE5B6AH62OAAGEg1IpSTA174.png

ADF(Address-Dependent Filtering,外部地址相关过滤):对于内网Endpoint(X,x),只有它曾经向IP地址为M的外网主机Host B发送过报文,NAT设备才会对外网主机Host B使用外网地址M、任意端口号发送到Endpoint(Y,y)的报文进行地址转换。除此之外的外部网络报文都会被NAT设备过滤。

ADF示意图

pYYBAGNE5DKAKIPdAAFpNaA0Xgs359.png

APDF(Address and Port-Dependent Filtering,外部地址和端口相关过滤):对于内网Endpoint(X,x),如果它仅向外网Endpoint(M1,m1)发送过报文,那么NAT设备只会对Endpoint(M1,m1)发送到Endpoint(Y,y)的报文进行地址转换并转发到内网。除此之外的外部网网络报文都会被NAT设备丢弃。

APDF示意图

poYBAGNE5DyAdGhkAAGSBYWs3l4814.png

NAT类型

NAT类型是由映射类型和过滤方式组合而成的,有如下四种组合方式:

· Full Cone NAT(完全锥型NAT):EIM和EIF的组合。

所有从同一个私网IP地址和端口(IP1:Port1)发送到NAT设备的报文的地址和端口都会被映射成同一个公网IP地址和端口(IP:Port)。并且,任何外部主机都可以通过该公网IP地址和端口(IP:Port)与内部主机进行通信。

Restricted Cone NAT(限制锥型NAT):EIM和ADF的组合。

所有从同一个私网IP地址和端口(IP1:Port1)发送到NAT设备的报文的地址和端口都会被映射成同一个公网IP和端口号(IP:Port)。与Full Cone NAT不同的是,只有内部主机之前已经访问过的外部主机可以与内部主机通信,其余外部主机不能与内部主机通信。

· Port Restricted Cone NAT(端口限制锥型NAT):EIM和APDF的组合。

所有从同一个私网IP地址和端口(IP1:Port1)发送到NAT设备的报文的地址和端口都会被映射成同一个公网IP和端口号(IP:Port)。与Restricted Cone NAT不同的是,一台公网主机(IP2:Port2)能够与内网主机进行通信的前提是,内网主机曾经通过(IP2:Port2)访问过该公网主机。

Symmetric NAT(对称NAT):APDM和APDF的组合。

所有从同一个私网IP地址和端口(IP1:Port1)发送到一个特定目的IP地址和端口的报文的地址和端口,都会被映射到同一个公网IP地址和端口。如果同一台私网主机使用相同的源地址和端口号发送报文,但是发往不同的目的地,NAT将会使用不同的映射。公网主机(IP2:Port2)与某个内网主机(IP1:Port1)通信的前提是,内网主机(IP1:Port1)曾经通过(IP2:Port2)访问过该公网主机。

(部分内容素材来源于网络,侵权请联系删除)

审核编辑 黄昊宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • NAT
    NAT
    +关注

    关注

    0

    文章

    145

    浏览量

    16244
  • sdwan
    +关注

    关注

    2

    文章

    124

    浏览量

    7228
收藏 人收藏

    评论

    相关推荐

    Nat server技术原理和配置过程

    Nat server:指定公有地址:端口和私有地址:端口形成一对一映射关系——映射表。这也是Nat server与其他nat的区别之一,Nat server可以指定端口进行映射。
    的头像 发表于 10-10 14:38 748次阅读
    <b class='flag-5'>Nat</b> server<b class='flag-5'>技术</b>原理和配置过程

    IP地址与NAT技术的结合与应用

    ,并通过NAT设备将私有IP地址转换为公网IP地址,从而实现内部网络与外部网络的通信。 在了解NAT技术之前,我们先对IP地址有一个大概的了解。根据用途和可访问性,IP地址可以划分为公
    的头像 发表于 08-28 17:30 387次阅读

    NAT设备实现内外网设备访问的优势

    内网服务器的需求愈发迫切。为实现这一目标,网络地址转换(NAT)设备成为了不可或缺的技术手段之一。本文将探讨外网用户通过NAT设备访问内网服务器方案的优势,揭示其在安全性、灵活性、成本
    的头像 发表于 08-23 13:57 391次阅读
    <b class='flag-5'>NAT</b>设备<b class='flag-5'>实现</b>内外网设备访问的优势

    NAT技术及其应用

    网络地址转换(NAT,Network Address Translation)是一种广泛应用于现代网络中的技术,旨在解决IP地址短缺问题,同时增强网络的安全性和灵活性。本文将详细解释NAT技术
    的头像 发表于 07-09 16:43 578次阅读
    <b class='flag-5'>NAT</b><b class='flag-5'>技术</b>及其应用

    NAT网关实现工业设备网段隔离,解决IP冲突问题

    在制造业工厂中,存在大量已经提前布设好的通信网络,通过实现设备联网数据采集,可以实现设备的远程监控与远程控制,从而为高效率生产带来各种智能应用。但在新设备联网时,往往会遇见IP地址段冲突
    的头像 发表于 06-20 14:11 565次阅读
    <b class='flag-5'>NAT</b>网关<b class='flag-5'>实现</b>工业设备网段隔离,解决IP冲突问题

    工业设备网络地址转换(NAT)如何实现

    网络地址转换(NAT)是一项十分重要的网络技术,它在网络通信中扮演着多重角色,不仅关乎网络安全与资源管理,更是支撑全球IP 地址分配体系的重要支柱。 NAT的核心使命是对网络数据包进行重标定,修改
    的头像 发表于 05-16 15:17 402次阅读
    工业设备网络地址转换(<b class='flag-5'>NAT</b>)如何<b class='flag-5'>实现</b>

    NAT网络地址转换和DMZ隔离是什么意思

    NAT NAT是将私有地址转换为合法IP地址的技术,通俗的讲就是将内网与内网通信时怎 么将内网私有IP地址转换为可在网络中传播的合法IP地址。NAT的出现完美地解决 了IP地址不足的问
    的头像 发表于 04-12 13:53 469次阅读

    SDWAN技术是否会增加网络安全风险?SD-WAN如何确保网络通信的安全性?

    SDWAN技术是否会增加网络安全风险?SD-WAN如何确保网络通信的安全性? SDWAN技术的广泛应用为企业网络带来了更大的灵活性和可扩展性,但同时也带来了一些安全风险。在谈论
    的头像 发表于 03-27 16:57 903次阅读

    sdwan云间互联方案是怎样的?sdwan如何实现多云平台互联?

    度慢、连接不稳定等问题。SDWAN通过智能路由和负载均衡技术,优化数据传输路径,提高带宽利用率,降低延迟,解决了云间互联中的延迟和带宽瓶颈问题。 2、安全性隐患与数据传输风险 多个云平台之间的互联存在安全隐患和数据传输风险。未
    的头像 发表于 03-19 17:05 572次阅读

    网段隔离NAT网关的功能和作用

    随着网络的发展,越来越多设备接入到网络中,实现实时通信与远程访问。其中网络地址转换NAT技术发挥着重要作用。NAT可以缓解lP地址不足的问题,还能隐藏并保护网络内部的计算机,以避免来自
    的头像 发表于 03-02 14:26 993次阅读
    网段隔离<b class='flag-5'>NAT</b>网关的功能和作用

    什么是NATNAT类型有哪些?NAT是如何工作的?NAT解决了什么问题?

    的方式来连接多个设备,而不需要为每个设备都分配一个公共IP地址。通过将源IP地址和端口号映射到公共IP地址和端口号,NAT充当了一个中间人,使得设备可以通过一个公共IP地址与外部网络进行通信。 根据不同的应用场景和实现方式,有几种常见的
    的头像 发表于 02-04 11:03 5102次阅读

    浅谈NAT网关

    NAT网关应用
    的头像 发表于 02-02 16:26 541次阅读
    浅谈<b class='flag-5'>NAT</b>网关

    PLC网段IP转换器(NAT网关)有什么功能

    在网络通信中,NAT技术(网络地址转换)扮演着关键角色,允许内部网络与外部网络之间进行有效的通信,包括SNAT(Static NAT,静态网络地址转换)、DNAT(Dynamic NAT
    的头像 发表于 01-22 17:21 701次阅读
    PLC网段IP转换器(<b class='flag-5'>NAT</b>网关)有什么功能

    sdwan和ipsec组网的区别

    sdwan和ipsec组网的区别  SD-WAN和IPsec都是用于网络组网的技术,但它们在实现和功能上有很大的区别。本文将详细介绍SD-WAN和IPsec的定义、原理、优缺点以及使用场景,帮助读者
    的头像 发表于 01-17 15:37 2191次阅读

    移动sdwan专线是什么?移动sdwan专线怎么样?

    移动sdwan专线是什么?移动sdwan专线怎么样? 移动SD-WAN专线是指基于软件定义广域网技术的移动专线服务。SD-WAN是一种创新的网络架构,旨在优化广域网连接和管理,通过利用软件定义和虚拟
    的头像 发表于 01-17 15:37 7320次阅读