端到端通信中TCP穿越NAT的解决方案.pdf

2
第 27卷第 159期电力系统通信 Vol. 27 No. 159
· 01 · 2 0 0 6年 1月 1 0日 munications for Electric Power System Jan. 1 0 , 2 0 0 6
端到端通信中 TCP穿越 NAT的解决方案
吴新龙
(南京邮电大学通信与信息工程学院,江苏南京 210003)
摘要:网络地址翻译(NAT)设备的应用很好地解决了 IPv4地址不足的问题,但同时也给很多端
到端通信带来了障碍。目前,对于 UDP穿越 NAT已经有了一些标准的、有效的解决方法,但对
于 TCP通信, NAT穿越技术还在研究之中。文章给出了一种较为简单有效的 TCP穿越 NAT的
方法,并对其实现过程进行了详细的说明。
关键词:端到端通信;网络地址翻译;穿越; TCP打孔
中图分类号: TN915. 04 文献标识码: B 文章编号: 1005 - 7641 (2006) 01 - 0010 - 03
TCP通信。对于 UDP穿越 NAT,现在已经有了一
0 引言
些比较标准而且有效的方法,如 STUN 协议。但目
的迅速发展以及 IPv4 地址数量的限前尚未能解决 TCP穿越 NAT的问题,即便有一些方
制使得网络地址翻译(NAT, Network Address Trans 法,但也存在着效率低或不安全等弊端。文章给出
lation)设备得到广泛应用。NAT设备允许处于同了一种称为“TCP打孔”的方法,可以较好地实现
一 NAT后的多台主机共享一个公网(本文将处于 TCP穿越 NAT。
同一 NAT后的网络称为私网,处于 NAT前的网络
1 NA T的类型
称为公网) IP 地址。一个私网 IP 地址, 并通过
NAT设备与公网的其他主机通信。公网和私网 IP NAT设备的类型对于 TCP穿越 NAT,有着十
地址域[ 1 ] ,如图 1所示。分重要的影响,根据端口映射方式, NAT可分为如
下 4类,前 3种 NAT类型可统称为 cone类型[ 2 ] 。
(1)全克隆( Full Cone) : NAT把所有来自相同
内部 IP地址和端口的请求映射到相同的外部 IP
地址和端口。任何一个外部主机均可通过该映射
发送 IP包到该内部主机。
(2)限制性克隆(Restricted Cone) : NAT把所
有来自相同内部 IP地址和端口的请求映射到相同
的外部 IP地址和端口。但是,只有当内部主机先
给 IP地址为 X的外部主机发送 IP包,该外部主机
图 1 公网和私网 IP地址域才能向该内部主机发送 IP包。
F ig. 1 Public and pr iva te IP address doma in s (3)端口限制性克隆( Port Restricted Cone) :端
口限制性克隆与限制性克隆类似,只是多了端口号
然而对于越来越多的端到端( P2P, Peer - to - 的限制,即只有内部主机先向 IP地址为 X,端口号
Peer)通信, NAT设备也带来了不少的麻烦。一般为 P的外部主机发送 1个 IP包,该外部主机才能
来说, NAT设备允许私网内主