第一篇：幾種方式解決SIP穿越NAT總結[范文模版]

SIP穿越NAT的幾種方式

多媒體會話信令協議是在準備建立媒體流傳輸的代理之間交換信息的協議，媒體流與信令流截然不同，它們所采用的網絡通道也不一致。由于協議自身設計上的原因，使得媒體流無法直接穿透網絡地址轉換/防火墻(NAT/Firewall)。因為它們生存期的目標只是為了建立一個在信息中攜帶IP地址的分組流，這在遇到NAT/Firewall 時會帶來許多問題。而且這些協議的目標是通過建立P2P(Peer to Peer)媒體流以減小時延，而協議本身很多方面卻與NAT存在兼容性問題，這也是穿透 NAT/Firewall的困難所在。而NAT仍是解決當前公用IP地址緊缺和網絡安全問題的最有力手段，所以解決NAT穿越成為首要問題。

以SIP通信為例，呼叫建立和媒體通信的建立是依賴SIP消息首部和SDP消息所描述的地址和端口信息進行的，呼叫雙方分別在內網和外網上，內網是通過NAT設備連接到外網，由于NAT設備工作在IP和TCP/UDP層，所以它不對SDP等應用層數據進行NAT變換，因此會造成尋址失敗，從而導致呼叫無法正常建立。另外，VOIP設備的主要通信協議（如SIP和H.323）要求終端之間使用IP地址和端口號來建立端到端的數據偵聽外來的呼叫，而防火墻卻通常被配置阻止任何不請自到的數據分組通過。需要網絡管理者打開防火墻上的一個端口來接收呼叫建立數據分組，例如5060端口（SIP的通信端口），但IP語音和視頻通信協議還要求打開許多別的端口接收呼叫控制信息來建立語音和視頻通信，這些端口號事先并不知道，是動態分配的，也就是說網絡管理者為了允許語音和視頻通信將不得不打開防火墻上所有的端口，防火墻就失去了存在的意義。所以當前的問題還有需要解決監聽端口的問題。如下圖SIP呼叫不成功示意圖

分析： d:211.83.100.100:23766 s:192.168.1.166:1010 2 d:211.83.100.100:23766 s:211.83.100.166:9993 3.d:211.83.100.166:9993 s:211.83.100.100:23766 4.d:192.168.1.166:1010 s:211.83.100.100:23766 5.d:211.83.100.110:23788 s:211.83.100.100:2020 6.d:211.83.100.100:3399 s:211.83.100.110:23788 7.d:211.83.100.166:9993 s:211.83.100.100:23766 8.d:192.168.1.166:1010 s:211.83.100.100:23766 9.d:211.83.100.100:3399 s:211.83.100.110:23788 10.d:211.83.100.166:9993 s:211.83.100.100:23766 11.d:192.168.1.166:1010 s:211.83.100.100:23766 12.d:211.83.100.110:23788 s:192.168.1.166:1010 d:211.83.100.110:23788 s:211.83.100.166:9993

13.d:192.168.1.166 s:211.83.100.110:23788 A對B invite 時在SDP中帶上了RTP協商的端口和私網IP，B回復200OK時告知RTP時的端口和私網地址，B收到A的RTP包后回復，因為RTP包記錄是私網地址，所以RTP包被丟棄。

目前主流的幾種解決方式有ALG、STUN、TURN、ICE，我們分別來介紹它們的工作原理及工作流程。1.ALG

1.1工作原理

ALG是指能識別特定應用層協議（如SIP、H.323或MGCP協議）的防火墻。它不是簡單地查看分組首部信息來解決數據分組是否可以通過，而是更深層地分析負載內容的數據，也就是應用層的數據。SIP和H.323協議都在負載中放了重要的控制信息。通過分析哪一個端口需要打開。防火墻動態的打開那些被應用的端口，而所有別的端口依然安全地保持關閉狀態。ALG是支持VOIP應用最簡單的一種方式，但該方案的缺點非常明顯：每增加一種新的應用都將需要對 NAT/Firewall進行升級。在安全要求上還需要作一些折衷，因為ALG 不能識別加密后的報文內容，所以必須保證報文采用明文傳送，這使得報文在公網中傳送時有很大的安全隱患。SIP響應消息用于對請求消息進行響應，指示呼叫或注冊的成功或失敗狀態。在請求與響應報文中需要進行ALG處理的地址字段類型主要有：Via、Record_Route、Contact、SDP。ALG處理流程為如下三個步驟：

首先，ALG根據會話標識的協議類型對報文進行解碼，若解碼發現報文為不需要做ALG或解碼發現為錯誤字段時退出，解碼發現需進行字段轉換時進一步處理；其次，ALG查找接口上的NAT配置，根據NAT配置轉換報文中的IP地址、端口、call-id等信息并建立關聯表，關聯表記錄了載荷地址的轉換關系；最后，ALG調整報文載荷中的長度字段，如sip message header的content-length字段標識message body的長度，ALG對message body中的地址轉換后，message body長度可能變化，content-length字段值需要置為變化后的值。1.2工作流程示意圖

分析： d:211.83.100.100:23766 s:192.168.1.166:1010 2 d:211.83.100.100:23766 s:211.83.100.166:9993 9.d:211.83.100.166:9993 s:211.83.100.100:23766 10.d:192.168.1.166:1010 s:211.83.100.100:23766 11.d:211.83.100.110:23788 s:211.83.100.100:2020 12.d:211.83.100.100:3399 s:211.83.100.110:23788 13.d:211.83.100.166:9993 s:211.83.100.100:23766 14.d:192.168.1.166:1010 s:211.83.100.100:23766 9.d:211.83.100.100:3399 s:211.83.100.110:23788 10.d:211.83.100.166:9993 s:211.83.100.100:23766 11.d:192.168.1.166:1010 s:211.83.100.100:23766 12.d:211.83.100.110:23788 s:192.168.1.166:1010 d:211.83.100.110:23788 s:211.83.100.166:9993 ALG NAT對A發給B的RTP包中的內容進行解碼，發現私網地址就轉換為公網IP，并做映射建立關聯表，最后調整報文載荷中的長度字段。13.d:211.83.100.166:9993 s:211.83.100.110:23788 A對B invite 時在SDP中帶上了RTP協商的端口和私網IP，B回復200OK時告知RTP時的端口和私網地址，B收到A的RTP包是經過ALG NAT修改后的數據包，就知道目的地址發給211.83.100.166:9993 14.d:192.168.1.166:1010 s:211.83.100.166:9993

2.STUN 2.1工作原理

STUN的全稱是Simple Traversal of UDP Through NAT，即UDP對NAT的簡單穿越方式。是一種網絡協議它允許位于NAT（或多重NAT）后的客戶端找出自己的公網地址，查出自己位于哪種類型的NAT之后以及NAT為某一個本地端口所綁定的Internet端端口。這些信息被用來在兩個同時處于NAT 路由器之后的主機之間建立UDP通信。該協議由RFC 3489定義。

1)應用程序（即STUN CLIENT）向NAT外的STUN SERVER通過UDP發送請求STUN 消息詢問自身的轉換后地址，2)STUN SERVER收到請求消息，產生響應消息，響應消息中攜帶請求消息的源端口，即STUN CLIENT在NAT上對應的外部端口。響應消息通過NAT發送給STUN CLIENT，3)STUN CLIENT通過響應消息體中的內容得知其在NAT上對應的外部地址，并且將其填入以后呼叫協議的UDP負載中，告知對端，同時還可以在終端注冊時直接注冊這個轉換后的公有IP地址，這樣就解決SIP穿越NAT的通信建立問題以及作為被叫時的問題。

4)本端的接收地址和端口號為NAT外的地址和端口號。由于通過STUN協議已在NAT上預先建立媒體流的NAT映射表項，故媒體流可順利穿越NAT。2.2網絡結構圖

2.3工作流程示意圖

A：192.168.0.10

A NAT：192.168.1.1

211.83.100.100 STUN SERVER：211.83.100.110 B：192.168.11.11 B NAT：192.168.11.1

211.83.100.120 分析： d:211.83.100.110:1111 s:192.168.0.10:1010 2 d:211.83.100.110:1111 s:211.83.100.100:2020 3 d:211.83.100.100:2020 s:211.83.100.100:2020 4 d:192.168.0.10:1010 s:211.83.100.100:2020 5 d:211.83.100.120:2222 s:192.168.11.11:3030 6 d:211.83.100.120:2222 s:211.83.100.120:4040 7 d:211.83.100.120:4040 s:211.83.100.120:2222 8 d:192.168.11.11:3030 s:211.83.100.120:2222 A與B接收到STUN的響應消息就得到信令和媒體流在NAT上的映射地址，并將這些地址寫到SIP消息中的Via,Contact字段以及SDP中的媒體流傳送地址，代替原有的私網地址。如A的SDP帶的端口為10000，B的SDP帶的端口為20000，A、B相互告知對端它的端口，最后終端注冊時直接用這個轉換后的公有IP地址注冊。所以端口10000 B NAT是打開的，端口20000 A NAT是打開的，所以RTP包可路由。d:211.83.100.120:4040 s:211.83.100.100:8888 10 d:211.83.100.100:8888 s:211.83.100.120:4040

2.4需要注意

1)NAT/PAT對于地址轉換關系是有一定生命期的，某個地址轉換后在一段時間內沒有被使用將會被清除，當這個業務流再次出現時，將會建立一個新的地址轉換關系，這就意味著STUN的詢問過程以及終端的注冊過程都需要再執行一遍才能保證通信的正確。解決這個問題一個比較通行的方案是采用某種方式保持NAT/PAT的轉換關系，例如在NAT/PAT生命期內重復注冊一次，比如NAT/PAT的生命期是3分鐘，那么就將注冊重復周期設置為2分鐘。2)另外STUN server并非指一個專用的服務器，而是指一種功能、一個協議，我們可以在softswitch或者任何一個需要此功能的服務器上內置此協議, 后面代碼也包含一個簡單的Server實現。

3)但是在NAT采用對稱模式(symmetric NAT)工作時，STUN的方案就會出現問題。假如我們在softswitch上提供STUN server功能，終端A通過STUN可以獲得NAT為終端A與softswitch之間通信分配的地址A'，并將這個地址注冊在softswitch上，當一個公網上的終端B呼叫終端A時，A'和B通過softswitch完成呼叫建立過程。當B試圖向A'發送媒體流時，問題就出現了。因為對稱NAT只允許從softswitch發送數據給地址A'，從B發送的媒體流將被丟棄。所以STUN無法應用于工作在對稱模式的NAT.4)STUN協議最大的優點是無需現有NAT/FW設備做任何改動,同時STUN方式可在多個NAT串聯的網絡環境中使用.STUN的局限性在于STUN并不適合支持TCP連接的穿越,同時STUN方式不支持對對稱NAT（Symmetric NAT）.5)解決穿透NAT問題的另一思路是，私網中的VOIP終端通過某種機制預先得到出口NAT上的對外地址，然后在凈載中所填寫的地址信息直接填寫出口 NAT上的對外地址，而不是私網內終端的私有IP地址，這樣凈載中的內容在經過NAT時就無需被修改了，只需按普通NAT流程轉換報文頭的IP地址即可，凈載中的 IP地址信息和報文頭地址信息是一致的。STUN協議就是基于此思路來解決應用層地址的轉換問題。

6)一旦客戶端得知了Internet端的UDP端口，通信就可以開始了。如果NAT是完全圓錐型的，那么雙方中的任何一方都可以發起通信。如果NAT是受限圓錐型或端口受限圓錐型，雙方必須一起開始傳輸。

7)需要注意的是，要使用STUN RFC中描述的技術并不一定需要使用STUN協議——還可以另外設計一個協議并把相同的功能集成到運行該協議的服務器上。

8)SIP之類的協議是使用UDP分組在Internet上傳輸音頻和／或視頻數據的。不幸的是，由于通信的兩個末端往往位于NAT之后，因此用傳統的方法是無法建立連接的。這也就是STUN發揮作用的地方。

9)STUN是一個客戶機－服務器協議。一個VoIP電話或軟件包可能會包括一個STUN客戶端。這個客戶端會向STUN服務器發送請求，之后，服務器就會向STUN客戶端報告NAT路由器的公網IP地址以及NAT為允許傳入流量傳回內網而開通的端口。

10)以上的響應同時還使得STUN客戶端能夠確定正在使用的NAT類型——因為不同的NAT類型處理傳入的UDP分組的方式是不同的。四種主要類型中有三種是可以使用的：完全圓錐型NAT、受限圓錐型NAT和端口受限圓錐型NAT——但大型公司網絡中經常采用的對稱型NAT（又稱為雙向NAT）則不能使用。

3.TURN 3.1工作原理

TURN的全稱為Traversal Using RelayNAT，即通過Relay方式穿越NAT，TURN應用模型通過分配TURNServer的地址和端口作為客戶端對外的接受地址和端口，即私網用戶發出的報文都要經過TURNServer進行Relay轉發。這種方式又稱SPAN(Simple Protocol for Augmenting NATs)方式.TURN方式解決NAT問題的思路與STUN相似，也是基于私網接入用戶通過某種機制預先得到其私有地址對應在公網的地址（STUN方式得到的地址為出口NAT上的地址，TURN方式得到地址為TURNServer上的地址），然后在報文負載中所描述的地址信息直接填寫該公網地址的方式，實際應用原理也是一樣的。這種方式除了具有STUN方式的優點外，還解決了STUN應用無法穿透對稱NAT（Symmetric NAT）以及類似的Firewall設備的缺陷，即無論企業網/駐地網出口為哪種類型的NAT/FW，都可以實現NAT的穿透，同時TURN支持基于TCP的應用，如H323協議。此外TURN Server控制分配地址和端口，能分配RTP/RTCP地址對(RTCP端口號為RTP端口號加1)作為私網終端用戶的接受地址，避免了STUN方式中出口NAT對RTP/RTCP地址端口號的任意分配，使得客戶端無法收到對端發來的RTCP報文(對端發RTCP報文時，目的端口號缺省按RTP端口號加 1發送)。

TURN的局限性在于需要VOIP終端支持TURN Client，這一點同STUN一樣對網絡終端有要求。此外所有報文都必須經過TURN Server轉發，增大了包的延遲和丟包的可能性。3.2網絡拓撲圖

3.3工作流程示意圖

A：192.168.0.10

A NAT：192.168.1.1

211.83.100.100 STUN SERVER：211.83.100.110 B：192.168.11.11 B NAT：192.168.11.1

211.83.100.120 分析：

d:211.83.100.110:1111 s:192.168.0.10:1010 2 d:211.83.100.110:1111 s:211.83.100.100:2020 3 d:211.83.100.100:2020 s:211.83.100.100:2020 4 d:192.168.0.10:1010 s:211.83.100.100:2020 5 d:211.83.100.120:2222 s:192.168.11.11:3030 6 d:211.83.100.120:2222 s:211.83.100.110:4040 7 d:211.83.100.110:4040 s:211.83.100.120:2222 8 d:192.168.11.11:3030 s:211.83.100.120:2222 A與B接收到TURN的響應消息就得到信令和媒體流在NAT上的映射地址，并將這些地址寫到SIP消息中的Via,Contact字段以及SDP中的媒體流傳送地址，代替原有的私網地址。如A的SDP帶的端口為10000，B的SDP帶的端口為20000，A、B相互告知對端它的端口，所以端口10000 B NAT是打開的，端口20000 A NAT是打開的，所以RTP包可路由。d:211.83.100.110:1111 s:211.83.100.100:5556 10 d:211.83.100.120:2222 s:211.83.100.110:1111 d:192.168.11.11:3030 s:211.83.100.120:2222 11 d:211.83.100.110:4040 s:211.83.100.120:6555 12 d:211.83.100.100:5556 s:211.83.100.110:4040 d:192.168.0.10:1010 s:211.83.100.100:2020

4.ICE 4.1工作原理

交互式連通建立方式ICE(Interactive Connectivity Establishment)并非一種新的協議，它不需要對STUN、TURN或RSIP進行擴展就可適用于各種NAT。ICE是通過綜合運用上面某幾種協議，使之在最適合的情況下工作，以彌補單獨使用其中任何一種所帶來的固有缺陷。ICE跟STUN和TURN不一樣，ICE不是一種協議，而是一個framework，它整合了STUN和TURN。使用ICE方式穿透NAT，必須映射ICE定義的參數到SIP消息格式中，同時對其SDP屬性進行簡單擴展—在SDP的Media塊中定義一個新的屬性“alt”來支持ICE。它包含一個候選IP地址和端口，SDP的接受端可以用該地址來替換m和c中的地址。Media塊中可能會有多個alt屬性，這時每個alt應該包括不重復的IP地址和端口。對于SIP來說，ICE只需要定義一些SDP(Session Description Protocol)附加屬性即可，對于別的多媒體信令協議也需要制定一些相應的機制來實現。其思想是：建立媒體流信道時，發出很多種選擇，有本地端口，STUN端口，TURN端口，并給出這些端口的優先級，由被叫方自主選擇端口，根據一定的算法和聯通性測試，選出最好的端口來通信。

ICE算法流程分為以F幾個過程：

(1)收集本地傳輸地址

會話者從服務器上獲得主機上一個物理(或虛擬)接口綁定一個端口的本地傳輸地址。

(2)啟動STUN 與傳統的STUN不同，ICE用戶名和密碼可以通過信令協議進行交換。

(3)確定傳輸地址的優先級

優先級反映了UA在該地址上接收媒體流的優先級別，取值范圍0到1之間，按照被傳輸媒體流量來確定。

(4)構建初始化信息(Initiate Message)初始化消息由一系列媒體流組成，每個媒體流的任意Peer之間實現最人連通可能性的傳輸地址是由公網L轉發服務器(如TURN)提供的地址。

(5)響應處理

連通性檢查和執行ICE算法中描述的地址收集過程。(6)生成接受信息(Accept Message)若接受則發送Accept消息，其構造過程與InitiateMessage類似。

(7)接受信息處理

接受過程需要發起者使用Send命令，由服務器轉發至響應者。(8)附加ICE過程

Initiate或Accept消息交換過程結束后，雙方可能仍將繼續收集傳輸地址。

(9)ICE到SIP的映射

4.2網絡拓撲圖

4.3工作流程示意圖

舉例：通信雙方同時處于對稱式NAT/FW內部，現在SIP終端A要與B進行VoIP通信。A所在的內部地址是10.0.1.9，外部地址是211.35.29.30；B的內部地址是192.168.1.6，外部地址是202.205.80.130；STUN/TURN服務器的地址是218.65.228.110。

首先A發起請求，進行地址收集，如下圖，收集了STUN服務映射的地址M：211.36.2930：9988，第二次收集了TURN服務映射的地址M：218.65.228.110：8076，第二次的IP和端口都改變了是因為NAT是對稱型，重新映射一條路徑。

B進行地址收集，和A的過程是一致的。如下圖，收集了STUN服務映射的地址M：202.205.80.130:10892，第二次收集了TURN服務映射的地址M：218.65.228.110:8078

B的連通性檢查，如圖，第1步，B對于A的私有地址是不可路由的

第3步，由于目標地址d：211.35.29.30:9988被源地址S：218.65.228.110:3478所映射，所以B對于A又不可路由，所以B到A的媒體流將發送至218.65.228.110:8076地址。

A的聯通性檢查，如圖，與Ｂ原理一樣，A對于B的私有地址和STUN來源地址的連通性檢查結果均為失敗，而到B的TURN來源地址和到B的peer-derived地址成功(本例中它們都具有相同的優先級0.4)。相同優先級下我們通常采用peer-derived地址，所以A發送到B的媒體流將使用218.65.228.110:5556地址。

第二篇：SIP優勢總結

SIP優勢總結

1、自動回呼功能。

啟用該功能后，如果您呼叫的對象沒有接聽到電話，系統會記錄下此次呼叫，一旦對方使用了VOIP電話，系統就會判定該對象已經回來并向雙方的電話發起振鈴，摘機后就可以建立通話。該功能解決了中國人不愛使用電話留言功能的問題。

2、語音點播功能。

說明如下：

1、將重要文件或通知錄制成文件存放在VOIP系統中并掛接上特殊的號碼，用戶只要撥打該號碼并輸入密碼驗證，就可以收聽錄音；

2、如果企業有常用的培訓錄音，也可以放在系統中，用戶撥打培訓電話號碼，就可以遠程反復收聽培訓錄音了；

3、對于緊急重要的通知，也可以通過系統制作錄音，并通過群呼的方式向所有VOIP話機呼叫。

3、企業統一通信錄應用。

公司內部網頁可集成“企業統一通信錄”，其中包含各部門員工通信錄名片，甚至合作單位通信錄名片，通訊錄名片可以鏈接多個用戶號碼（如VOIP分機號碼、普通固定電話號碼、移動手機號碼等）。

員工上班時以專有用戶身份登錄系統，除了可以查詢公共通訊錄外，還可以建立自己私人的通訊錄。員工需要電話呼叫同事或客戶時，只需要在“企業統一通信錄”上找出呼叫對象，點擊后，雙方聽到電話振鈴后摘機便可開始對話。

該應用革新了企業的通信管理概念，避免了傳統電話通信中找號碼、撥電話的麻煩，解決了企業傳統通信錄在更新、管理過程中容易泄密的問題。

4、郵件自動呼叫應用

將企業的郵件系統集成自動呼叫功能，員工在閱讀郵件的時候，只需點擊郵件相關人員，系統就可在該員工和相關人員之間建立語音連接，甚至可同時連接多方電話，組成電話會議共同討論郵件內容。

該應用的顯著特點是提高業務處理效率。員工不必翻查通信錄，直接點擊相關聯系人即可快速解決問題。

5、電話會議應用。

系統提供基于Web的電話會議系統，該系統以功能模塊方式集成在軟交換服務器中，不需要額外添加電話會議設備。

利用此套電話會議系統可方便的召開跨部門、跨地區會議，而無需占用會議室、無需長途旅行費用開支、無需向運營商支付通訊費用。

此外，針對黑龍江人壽目前應用的PLOYCOM和AVCON視頻會議系統，VOIP通信系統也可以通過三種方式實現其價值：

第一種，由于PLOYCOM能夠提供模擬接口，所以VOIP系統可通過語音網關的模擬接口與之對接，作為VOIP系統的任何一部分機都可以加入視頻會議系統（只有語音）；

第二種，通過PLOYCOM和AVCON視頻會議系統的媒體服務器所提供的標準H.323協議，與VOIP系統互聯也可加入視頻會議系統（只有語音）。

第三種，由于視頻會議系統價格昂貴，在部署時只是有針對性的部署在重點地市。而相對來講VOIP通信系統所提供的電話會議成本低、部署廣，可以作為視頻電話會議系統的一個有效補充。

6、網絡安全。

1、號碼認證體系。我們的系統提供了嚴格的號碼認證體系，除了針對用戶名、密碼進行認證外，還可以針對對方的IP地址進行認證。

2、加密體系。我們的系統有一套非常完善的加密措施來保證通話安全。

3、跨網間通話質量保證。我們的系統有措施確保在不同網絡運營商之間通話質量良好。

7、電話錄音功能。

保險行業通常有一些業務是需要錄音的，比如電話回訪，目的是保證回訪員的工作質量；此外對于一些催款部門，電話錄音也可以作為催款參考憑據。我們的系統可以方便實現這種應用，軟交換服務器錄音后可保存當本地硬盤。服務器上安裝數據庫工具，可以實現對錄音文件的查詢管理。如果錄音文件過大，還可以設置定期將錄音文件傳送到公司其它存儲設備上。

8、“幫助單系統”自動呼叫應用。

給IT部門的“幫助單系統”集成自動呼叫功能，當IT部門員工收到“幫助請求單”后，可以直接點擊幫助請求人，系統將自動呼叫并接通對方電話。

9、IT部門專用Call Center 該應用利用軟交換服務器集成的多級可編程IVR功能，可以把企業IT應用系統的故障幫助請求分門別類，分別引導；企業員工只需要撥打IT部門公布的服務號碼（VOIP號碼），其呼叫請求即被引導、轉接到合適的IT服務坐席或語音錄音。通過“IT部門專用Call Center”應用，可以將各地市人壽分公司的IT部門員工都納入到統一的服務體系，實現多中心聯網服務，形成網絡服務的優勢。

該應用無需特別的設備投資，卻可以充分利用各地區的IT人力資源，給企業創造更多的服務價值，體現IT部門高效、完美的服務形象。

此外，我們系統即將推出高智能終端，可以通過液晶觸摸屏實現通訊錄查找、自動呼叫、電話錄音等功能。這些功能在H323系統中是不容易實現的。

第三篇：NAT個人學習總結

個人學習總結---NAT

1、NAT本原理

NAT即網絡地址轉換，最初是由RFC1631(目前已由RFC3022替代)定義，用于私有地址向公有地址的轉換，以解決公有IP地址短缺的問題。后來隨著NAT技術的發展及應用的不斷深入，NAT更被證明是一項非常有用的技術，可用于多種用途，如：提供了單向隔離，具有很好的安全特性；可用于目標地址的映射，使公有地址可訪問配置私有地址的服務器；另外還可用于服務器的負載均衡和地址復用等。

NAT分為源NAT和目的NAT。源NAT是基于源地址的NAT，可細分為動態NAT、PAT和靜態NAT。動態NAT和PAT是一種單向的針對源地址的映射，主要用于內網訪問外網，減少公有地址的數目，隱藏內部地址。動態NAT指動態地將源地址轉換映射到一個相對較小的地址池中，對于同一個源IP，不同的連接可能映射到地址池中不同的地址；PAT是指將所有源地址都映射到同一個地址上，通過端口的映射實現不同連接的區分，實現公網地址的共享。靜態NAT是一種一對一的雙向地址映射，主要用于內部服務器向外提供服務的情況。在這種情況下，內部服務器可以主動訪問外部，外部也可以主動訪問這臺服務器，相當于在內、外網之間建立了一條雙向通道。

基于目標地址的NAT，我們稱為目的NAT，可分為目標地址映射、目標端口映射、服務器負載均衡等。基于目標地址的NAT也稱為反向NAT或地址映射。目的NAT是一種單向的針對目標地址的映射，主要用于內部服務器向外部提供服務的情況，它與靜態NAT的區別在于它是單向的。外部可以主動訪問內部，內部卻不可以主動訪問外部。另外，可使用目的NAT實現負載均衡的功能，即可以將一個目標地址轉換為多個內部服務器地址。也可以通過端口的映射將不同的端口映射到不同的機器上。另外，掌握NAT的基本原理之后，NAT不僅僅可用于公有地址和私有地址之間的轉換，還可用于公有地址與公有地址之間、私有地址與私有地址之間的轉換。

2、Nat功能

NAT不僅能解決了lP地址不足的問題，而且還能夠有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計算機。1.寬帶分享：這是 NAT 主機的最大功能。

2.安全防護：NAT 之內的 PC 聯機到 Internet 上面時，他所顯示的 IP 是 NAT 主機的公共 IP，所以 Client 端的 PC 當然就具有一定程度的安全了，外界在進行 portscan（端口掃描）的時候，就偵測不到源Client 端的 PC。

3、Nat的分類

系統中把NAT的配置分為： 源地址轉換（Source）、目的地址轉換（Destination）及靜態地址轉換（Static）三種類型。

每條NAT規則都是和某個特定的接口關聯的，需要注意的是，源地址轉換是在離開接口時進行轉換的，目的地址轉換是在進入接口時進行轉換的，所以配置源地址轉換的時候必須和對應的出接口關聯，而配置目的地址轉換的時候需要和對應的入接口關聯。

內網環境：PC1----ge0/1口 外網環境：PC2----ge0/7口

外部地址：需要轉換的外部地址：101.1.1.101 內部地址：需要轉換的內部地址：100.1.1.77 內部接口：和內部網絡連接的接口名 ge0/1 外部接口：和外部網絡相連的接口名ge0/7 3.1 源NAT：

源地址轉換是一種單向的針對源地址的映射，主要用于內網訪問外網，減少公有地址的數目，隱藏內部地址。

ips# show ip nat source

ip nat source ge0/7 yuanip mudi any interface enable log 1

ips#

PC1和PC2進行通信，在內網主機PC1上顯示，源IP為：100.1.1.77，目的IP為101.1.1.101 報文的處理流程：接口收包，交三層處理，然后對其查路由，找到下一跳出接口，在出接口檢查是否做源地址轉換。如果要做源地址轉換，查NAT表，檢查nat表中是否有對應的轉換條目，如果有，做轉換；如果沒有，從設置的全局地址中找要轉換的地址，對源地址做轉換。轉換后，重新封裝報文，交下層處理，將報文從出接口轉發。

在外網主機上面顯示源IP為：101.1.1.1，目的IP為101.1.1.101

內部客戶機向外部網絡發送一個請求時，本來源地址是100.1.1.77，而目標地址應該是101.1.1.101。但經過源NAT的轉換之后，源地址就變成了101.1.1.1，目標地址仍會是101.1.1.101。

反過來，外部網絡會回應我們的請求，那么這時源地址將會是101.1.1.101，目標地址是101.1.1.1。同樣地，IPS會處理這一請求，變成了源地址是101.1.1.1，目標地址是101.1.1.101。

實際上，網絡中數據的傳輸總是雙向的，那么IPS會同時轉換請求與應答設備的源地址，以達到路由目的。

3.2 目的NAT 目的地址轉換根據應用場不同，可以分為以下三種： 服務器地址、端口映射：實現外網地址和內部地址的單向映射或同時實現轉換端口；

服務器業務分流：根據訪問的業務不同，系統把目的地址轉換為內部不同的服務器地址；

服務器負載分擔：把一個外部IP映射到內部的一個地址池中，即一到多的映射功能；

接口映射：根據外網出接口的IP自動更改目的NAT規則，主要用于PPPoE等撥號上網獲得動態IP的情況。配置目的nat

ips# show ip nat destination ip nat destination ge0/1 yuan d any f enable log 1 ips# PC1和PC2進行通信，在內網主機PC1上顯示，源IP為：100.1.1.77，目的IP為100.1.1.1 報文的處理流程：接口收包，在入接口檢查是否做目的地址轉換。如果要做目的地址轉換，查NAT表，檢查nat表中是否有對應的轉換條目，如果有，做轉換；如果沒有，從設置的全局地址中找要轉換的地址，對目的地址做轉換。轉換后，重新封裝報文，交下層處理，將報文從出接口轉發。

內部客戶機向外部網絡發送一個請求時，本來目的地址是100.1.1.77，而目標地址應該是100.1.1.1。但經過目的NAT的轉換之后，目的地址就變成了101.1.1.101，源地址仍會是100.1.1.77。3.3靜態NAT 靜態地址轉換是一對一的雙向地址映射。在這種情況下，被映射的內部主機可以主動訪問外部，外部也可以主動訪問這臺內部主機，相當于在內、外網之間建立了一條雙向通道。

外部地址：需要轉換的外部地址。101.1.1.102 內部地址：需要轉換的內部地址。100.1.1.77 外部接口：和外部網絡相連的接口名。ge0/7

ips# show ip nat static ip nat static ge0/7 100.1.1.77 101.1.1.102 enable log 1 ips#

PC1和PC2進行通信，在內網主機PC1上顯示，源IP為：100.1.1.77，目的IP為101.1.1.101

在外網主機PC2上抓包顯示，源IP已經變為：101.1.1.102。

4、NAT的意義

1，環境ip資源的緊缺

2，通過nat的使用，可以很好的隱藏內網的內部網絡結構，避免來自外網的攻擊，保護內網的安全。

3，當兩個使用相同的私網網段的私網進行互通時，可以解決地址重疊的問題

4，當內網存在多個服務器時，可以將外網對服務器的訪問映射到不同的服務器上面，這樣可以達到負載分擔的效果。

5、問題補充

5.1我們的設備端口映射在哪里配置

端口映射配置在目的NAT。目標端口映射是目的NAT的一種。基于目標地址的NAT也稱為反向NAT或地址映射。目的NAT是一種單向的針對目標地址的映射，主要用于內部服務器向外部提供服務的情況。外部可以主動訪問內部，內部卻不可以主動訪問外部。另外，可使用目的NAT實現負載均衡的功能，即可以將一個目標地址轉換為多個內部服務器地址。也可以通過端口的映射將不同的端口映射到不同的機器上。

PC1（client）-------------------IPS-------------------PC2（server）100.1.1.77

100.1.1.1

101.1.1.1

101.1.1.101 在PC2創建http server，端口號設置成1234

配置目的地址轉換，源ip為100.1.1.77 目的ip為100.1.1.1 轉換之后的ip為101.1.1.101，轉換后的端口配置成1234

在PC1上面的瀏覽器上面訪問http://100.1.1.1:4444 若目的NAT不配置端口轉換是無法訪問成功的 配置之后可訪問成功

在PC1上面抓包，查看端口是原來的端口

經過IPS的目的地址轉換，轉換之后的端口號變成了1234 在server上面抓包觀察報文如下;

5.2為什么源NAT不支持端口映射？

端口映射是基于目的NAT生效，轉換端口之后才能正常訪問server。假如源NAT配置了端口映射，本身client的源端口號在訪問server的時候是不關心的，所以源端口號轉換不轉換對server是沒有任何意義的。

5.3Http和ftp在經過NAT時有沒有區別？如果有，區別在哪里？

FTP客戶端的報文經過了路由器NAT之后，服務器端看到的報文的客戶端的報文的IP源地址和端口都已經被改變了，當然對于控制連接來說這沒有影響，因為有網關或者路由器的NAT模塊在中間做管理，但是對于正要通過控制連接建立的數據連接就有問題了，因為NAT改變的僅僅是IP報文頭，而對于因為報文中PORT命令中包含的地址和端口信息沒有做任何改動，這樣服務器是無法和一個內部地址建立連接的，所以這個時候就出現了ALG這個功能。ALG就是在發現如果報文頭做了NAT，在這個時候如果發現這個是一個FTP的連接的時候，就需要同時改變PORT命令中的地址和端口。HTTP在經過NAT網關時只需要使用普通的NAT轉換處理，但是對于FTP，由于FTP在應用層中攜帶了IP地址或端口等信息，因此需要ALG的幫助才能正常穿越NAT網關。FTP協議PORT模式的FTP在經過NAT時需要ALG的處理，因此NAT網關需要關注用戶的每一個FTP命令，并識別需要進行ALG處理的命令，進行相應的ALG處理

第四篇：Juniper Netscreen NAT簡單總結

Juniper Netscreen NAT簡單總結

1、源網絡地址轉換

執行源網絡地址轉換(NAT-src)時，安全設備將初始源 IP 地址轉換成不同的地址。已轉換地址可以來自動態 IP(DIP)池或安全設備的出口接口。如果從 DIP 池中提取已轉換的地址，安全設備可以隨機提取或提取明確的地址，也就是說，既可以從DIP 池中隨機提取地址，也可以持續提取與初始源 IP 地址有關的特定地址。可以配置安全設備，在接口級或策略級應用 NAT-src。如果配置策略以應用 NAT-src，且入口接口處于 NAT 模式下，則基于策略的 NAT-src 設置會覆蓋基于接口的 NAT。基于策略的NAT-SRC優先級高于接口級的NAT-src。

2、目標網絡地址轉換

基于策略的 NAT-dst:

MIP：MIP的地址轉換雙向執行，因此安全設備可以將到達 MIP 地址的所有信息流中的目標

IP 地址轉換成主機 IP 地址，并將主機 IP 地址發出的所有信息流中的源 IP 地址轉

換成 MIP 地址。

VIP：是從一個 IP 地址到基于目標端口號的另一個 IP 地址的映射。在同一子網中定義為接口的單個 IP 地址可以托管從若干服務(使用不同的目標端口號標識)到同樣多主機的映射。VIP 還支持端口映射。與 MIP 不同，VIP的地址轉換將單向執行。安全設備可以將到達VIP 地址的所有信息流中的目標 IP地址轉換成主機 IP 地址。

ScreenOS 不支持同時將基于策略的 NAT-dst 與 MIP、VIP 配合使用。如果您配置了 MIP 或 VIP，安全設備會在應用了基于策略的 NAT-dst 的任何信息流上應用MIP 或 VIP。換言之，如果安全設備偶然將 MIP 和 VIP 應用于同一信息流，則MIP 和 VIP 將禁用基于策略的 NAT-dst。感覺是MIP，VIP優先級高于基于策略的NAT-DST。

雖然 MIP 和 VIP 的地址轉換機制是雙向的，但基于策略的 NAT-src 和 NAT-dst 能夠將入站和出站信息流的地址轉換分開，以提供較好的控制與安全性能。基于策略的 NAT-src 和 NAT-dst 各提供一種單一方法，加起來可以取代基于接口的 MIP 和 VIP 功能，而且超過了后者。這一點太重要了，也就是在Netscreen可以用基于策略的NAT-src，NAT-dst實現所有的NAT功能，而且安全性、靈活性、控制粒度都優于其他方法。

Comment:

1、個人從不讓接口工作在NAT模式，不論是trust, untrust zone,還是DMZ Zone的接口都工作在route mode。

2、對于轉換的IP地址，一定要檢查是否存在該IP的路由。

eg 把trust zone的一臺服務器 10.180.0.25 對外發布為 59.42.5x.6x, 除了配置相應的NAT策略外，還一定 要添加路由59.42.5x.6x/32

set vrouter trust-vr route 59.42.5x.6x/32 interface ethernet13、在工作中嘗試用基于策略NAT-src,NAT-dst完成所有的NAT

第五篇：SIP點滴工作經驗和教訓總結

(2013-09-10)3650SHHXHelbakoNingbo Huaxiang ElectronicCo.LtdBillliu)

今天幫bill liu做很簡單的tender submission receipt，為下午的開標會議做準備，一共四家總包，被邀請投標，其實這個receipt是個很簡單的事情，但是今天做的很不好，主要體現在1，字體格式要統一，整體協調。

2、office辦公操作需要加快速度和準確性。

3、做receipt時對contactor的資料閱讀不仔細，把投標人的縮寫寫錯，以后一定要加強相關資料的閱讀能力，做到耐心細心，膽大心細。

4、對word中頁腳的修改也是個大問題今天，自己只是在在頁面內修改，保存后又恢復原來樣子，應該另存修改文件名，然后再頁腳處更新。

5、時間表示錯誤，下午一點半寫成13:30pm，pm只適用于十二小時制，所以應該為1:30pm。好糟糕的一天，必須吸取教訓。

文件掃描：流程性操作，及時沒用過，只要按步驟來很簡單的，要增強新事物的動手能力。

(2013-09-11)3650 SHHXHelbakoGC tenderproject teamand organizations)

今天做的這個team and organization 其實就是信息的匯總整合和分析，本身難度不大，但是對投標者的標書的內容理解要透徹，專業，分析需要客觀，并且需要滲透到標書內容的精髓，分辨出施工單位的質量，這個需要有專業性的素質，尤其是對施工單位的組織結構的理解要透徹。

(2013-09-12)3650 SHHXHelbako

今天好囧，word中cell插入多條斜線頭一開始竟然不會，由于版本問題，這個word表格菜單下沒有插入多條斜線頭的按鈕，用畫圖的直線用具只能畫一條，最后得出只能用insert中的shape中的line命令，這些都是很簡單也最常用的，其實在一個正規的外企中辦公，office，ps，autocad等軟件的嫻熟運用是最好的能展現職業能力和素養的方式，工程經驗和知識的展現需要一個長期的on-going的積累過程，但是這些職業能力將直接展現你的辦公效率，昨天幫bill做那個tender submission receipt 出現的那么多錯誤，給別人的印象真的比較差，這個是個警示，希望利用周末時間要快速的提高，這個是基礎，也將主導人脈和工作事物的資源導向性，好好把握，像張輝哥哥說的那樣，可以犯錯但是同樣的錯誤絕對不犯第二次，bill liu那個submission receipt犯了四次，真的要好好反思。