本文章內(nèi)容過(guò)長(zhǎng)，上篇請(qǐng)移步主頁(yè)進(jìn)行觀看。

書接上文，我們繼續(xù)來(lái)說(shuō)說(shuō)NAT在SDWAN中的技術(shù)實(shí)現(xiàn)。

STUN報(bào)文結(jié)構(gòu)

STUN基于UDP傳輸協(xié)議報(bào)文，協(xié)議報(bào)文的封裝格式如下圖所示。

圖STUN報(bào)文結(jié)構(gòu)

如下圖所示，STUN消息（STUN Message）包括STUN消息頭和STUN消息屬性兩部分。STUN消息頭的長(zhǎng)度為20字節(jié)，后面跟著零個(gè)或多個(gè)屬性。

圖STUN消息結(jié)構(gòu)

STUN消息頭包含如下字段：

STUN Message Type：STUN消息類型，長(zhǎng)度為14比特。當(dāng)前僅支持STUN捆綁請(qǐng)求和STUN捆綁響應(yīng)兩種類型的消息。

Message Length：STUN消息長(zhǎng)度，長(zhǎng)度為16比特（不包括消息頭長(zhǎng)度）。

Magic Cookie：魔術(shù)字，長(zhǎng)度為32比特。魔術(shù)字包含固定值0x2112A442，用于STUN服務(wù)器檢測(cè)STUN客戶端是否可以識(shí)別特定屬性。此外，當(dāng)STUN與其他協(xié)議使用相同的端口號(hào)時(shí)，通過(guò)魔術(shù)字可以將STUN和其他協(xié)議區(qū)分開(kāi)。

Transaction ID：事務(wù)ID，長(zhǎng)度為96比特，用于唯一標(biāo)識(shí)一次STUN探測(cè)。事務(wù)ID由STUN客戶端來(lái)選擇。在一次STUN探測(cè)中，STUN服務(wù)器收到STUN客戶端發(fā)送的STUN捆綁請(qǐng)求消息后，回復(fù)的STUN捆綁響應(yīng)消息的事務(wù)ID與STUN捆綁請(qǐng)求消息的事務(wù)ID相同。同時(shí)，STUN服務(wù)器根據(jù)事務(wù)ID來(lái)唯一標(biāo)識(shí)STUN客戶端的不同探測(cè)請(qǐng)求。

STUN消息屬性采用TLV（Type/Length/Value，類型/長(zhǎng)度/值）格式，結(jié)構(gòu)如圖所示。其中，Type和Length字段的長(zhǎng)度均為16比特，Value字段的長(zhǎng)度可變。

圖STUN消息屬性結(jié)構(gòu)

常見(jiàn)的STUN消息屬性包括如下幾種：

CHANGE-REQUEST：捆綁請(qǐng)求中攜帶的消息屬性，STUN客戶端使用此屬性來(lái)請(qǐng)求STUN服務(wù)器改變發(fā)送捆綁響應(yīng)報(bào)文的IP地址、端口號(hào)。

MAPPED-ADDRESS：捆綁響應(yīng)中攜帶的消息屬性，表示經(jīng)過(guò)地址轉(zhuǎn)換后的STUN客戶端的IP地址和端口。

XOR-MAPPED-ADDRESS：捆綁響應(yīng)中攜帶的消息屬性，表示經(jīng)過(guò)地址轉(zhuǎn)換后的STUN客戶端的IP地址和端口。與MAPPED-ADDRESS不同的是，XOR-MAPPED-ADDRESS屬性中攜帶的IP地址經(jīng)過(guò)了異或（XOR）處理。

RESPONSE-ORIGIN：捆綁響應(yīng)中攜帶的消息屬性，表示STUN服務(wù)器發(fā)送數(shù)據(jù)的IP地址和端口。

OTHER-ADDRESS：捆綁響應(yīng)中攜帶的消息屬性，表示STUN服務(wù)器的另一個(gè)IP地址和端口號(hào)。假設(shè)STUN服務(wù)器的IP地址為Y1，替代IP地址為Y2，端口號(hào)為YP1，替代端口號(hào)為YP2。Da表示STUN客戶端發(fā)送捆綁請(qǐng)求的目的IP地址，Dp表示STUN客戶端發(fā)送捆綁請(qǐng)求的目的端口號(hào)。如果Da為Y1，那么OTHER-ADDRESS中的IP地址為Y2；如果Da為Y2，那么OTHER-ADDRESS中的IP地址為Y1。如果Dp為YP1，那么OTHER-ADDRESS中的端口號(hào)為YP2；如果Dp為YP2，那么OTHER-ADDRESS中的端口號(hào)為YP1。當(dāng)STUN客戶端要求STUN服務(wù)器使用不同的IP地址發(fā)送捆綁響應(yīng)時(shí)，如果Da為Y1，則捆綁響應(yīng)報(bào)文OTHER-ADDRESS中的IP地址為Y2；如果Da為Y2，則OTHER-ADDRESS中的IP地址為Y1。類似地，當(dāng)STUN客戶端要求STUN服務(wù)器使用不同的端口號(hào)發(fā)送捆綁響應(yīng)時(shí)，如果Dp為YP1，那么OTHER-ADDRESS中的端口號(hào)為YP2；如果Dp為YP2，那么OTHER-ADDRESS中的端口號(hào)為YP1。

STUN工作機(jī)制

STUN客戶端通過(guò)和STUN服務(wù)器交互STUN協(xié)議報(bào)文，探測(cè)網(wǎng)絡(luò)中NAT設(shè)備上的NAT映射的類型和NAT過(guò)濾的方式，并根據(jù)探測(cè)結(jié)果判斷NAT類型。

1.NAT映射類型探測(cè)

假設(shè)STUN服務(wù)器進(jìn)行STUN探測(cè)使用的IP地址為Y1、Y2，端口號(hào)為YP1、YP2。STUN客戶端的IP地址和端口號(hào)為（X，XP）。STUN進(jìn)行NAT映射探測(cè)的流程如下圖所示，具體步驟為：

(1)STUN客戶端以Endpoint（X，XP）為源地址和源端口向STUN服務(wù)器的外網(wǎng)Endpoint（Y1，YP1）發(fā)送捆綁請(qǐng)求。STUN服務(wù)器使用Endpoint（Y1，YP1）給STUN客戶端發(fā)送捆綁響應(yīng)，響應(yīng)內(nèi)容包括：STUN客戶端經(jīng)過(guò)NAT映射后的外網(wǎng)Endpoint（X1，XP1），以及STUN服務(wù)器的另一個(gè)外網(wǎng)Endpoint（Y2，YP2）。

(2)STUN客戶端收到STUN服務(wù)器發(fā)送的捆綁響應(yīng)報(bào)文后，判斷NAT映射后的Endpoint（X1，XP1）是否與內(nèi)網(wǎng)Endpoint（X，XP）相同：

a. 如果Endpoint（X1，XP1）與Endpoint（X，XP）相同，則SUTN客戶端認(rèn)為不存在NAT映射。

b. 如果Endpoint（X1，XP1）與Endpoint（X，XP）不同，則STUN客戶端使用第(3)步進(jìn)行探測(cè)。

(3)STUN客戶端以Endpoint（X，XP）向STUN服務(wù)器的外網(wǎng)Endpoint（Y2，YP1）發(fā)送捆綁請(qǐng)求。STUN服務(wù)器使用Endpoint（Y2，YP1）向STUN客戶端發(fā)送捆綁響應(yīng)，響應(yīng)內(nèi)容包括：STUN客戶端經(jīng)過(guò)NAT映射后的外網(wǎng)Endpoint（X2，XP2）。

(4)STUN客戶端收到STUN服務(wù)器發(fā)送的捆綁響應(yīng)報(bào)文后，判斷NAT映射后的Endpoint（X2，XP2）是否與第(1)步中NAT映射后的Endpoint（X1，XP1）相同：

a. 如果Endpoint（X2，XP2）與Endpoint（X1，XP1）相同，則STUN客戶認(rèn)為NAT映射類型為EIM。

b. 如果Endpoint（X2，XP2）與Endpoint（X1，XP1）不同，則STUN客戶端使用第(5)步進(jìn)行探測(cè)。

(5)STUN客戶端以Endpoint（X，XP）向STUN服務(wù)器的外網(wǎng)Endpoint（Y2，YP2）發(fā)送捆綁請(qǐng)求。STUN服務(wù)器使用Endpoint（Y2，YP2）向STUN客戶端發(fā)送捆綁響應(yīng)，響應(yīng)內(nèi)容包括：STUN客戶端經(jīng)過(guò)NAT映射后的外網(wǎng)Endpoint（X3，XP3）。

(6)STUN客戶端收到STUN服務(wù)器發(fā)送的捆綁響應(yīng)報(bào)文后，判斷NAT映射后的Endpoint（X3，XP3）是否與第(3)步中NAT映射后的Endpoint（X2，XP2）相同：

a. 如果Endpoint（X3，XP3）與Endpoint（X2，XP2）相同，則STUN客戶認(rèn)為NAT映射類型為ADM。

b. 如果Endpoint（X3，XP3）與Endpoint（X2，XP2）不同，則STUN客戶認(rèn)為NAT映射類型為APDM。

NAT映射類型探測(cè)流程圖

2.NAT過(guò)濾方式探測(cè)

假設(shè)STUN服務(wù)器的IP地址為Y1，替代IP地址為Y2，端口號(hào)為YP1，替代端口號(hào)為YP2。STUN客戶端的IP地址和端口號(hào)為（X，XP）。STUN進(jìn)行NAT映射探測(cè)的流程如下圖所示，具體步驟為：

(1)STUN客戶端以Endpoint（X，XP）為源地址和源端口向STUN服務(wù)器的外網(wǎng)Endpoint（Y1，YP1）發(fā)送捆綁請(qǐng)求，請(qǐng)求報(bào)文中攜帶CHANGE-REQUEST屬性，要求STUN服務(wù)器改變IP地址和端口號(hào)來(lái)發(fā)送捆綁響應(yīng)。STUN服務(wù)器使用Endpoint（Y2，YP2）向STUN客戶端發(fā)送捆綁響應(yīng)。

(2)STUN客戶端根據(jù)是否能收到響應(yīng)報(bào)文進(jìn)行如下判斷：

a. 如果STUN客戶端收到了捆綁響應(yīng)報(bào)文，則STUN客戶端認(rèn)為NAT過(guò)濾類型為EIF。

b. 如果STUN客戶端未收到捆綁響應(yīng)報(bào)文，則STUN客戶端使用第(3)步進(jìn)行探測(cè)。

(3)STUN客戶端以Endpoint（X，XP）向STUN服務(wù)器的外網(wǎng)Endpoint（Y1，YP1）發(fā)送捆綁請(qǐng)求，請(qǐng)求報(bào)文中攜帶CHANGE-REQUEST屬性，要求STUN服務(wù)器改變端口號(hào)來(lái)發(fā)送捆綁響應(yīng)。STUN服務(wù)器使用Endpoint（Y1，YP2）給STUN客戶端發(fā)送捆綁響應(yīng)。

(4)STUN客戶端根據(jù)是否能收到響應(yīng)報(bào)文進(jìn)行如下判斷：

a. 如果STUN客戶端收到了捆綁響應(yīng)報(bào)文，則STUN客戶端認(rèn)為NAT過(guò)濾類型為ADF。

b. 如果STUN客戶端未收到捆綁響應(yīng)報(bào)文，則STUN客戶端認(rèn)為NAT過(guò)濾類型為APDF。

圖NAT過(guò)濾方式探測(cè)流程圖

STUN客戶端重傳機(jī)制

STUN基于UDP傳輸協(xié)議報(bào)文，STUN協(xié)議報(bào)文有可能在傳輸過(guò)程中被丟棄。通過(guò)STUN客戶端的重傳機(jī)制可以提高STUN協(xié)議報(bào)文傳輸?shù)目煽啃?。具體機(jī)制如下：

(1)STUN客戶端發(fā)送捆綁請(qǐng)求報(bào)文后，如果在一定時(shí)間沒(méi)有收到捆綁響應(yīng)報(bào)文，STUN客戶端會(huì)以一定的時(shí)間間隔重傳捆綁請(qǐng)求報(bào)文。

(2) 當(dāng)STUN客戶端收到捆綁響應(yīng)報(bào)文，或者STUN報(bào)文的重傳次數(shù)達(dá)到最大，STUN客戶端將停止重傳。

(3) 如果STUN客戶端重傳STUN報(bào)文的次數(shù)達(dá)到最大后，還未收到捆綁響應(yīng)報(bào)文，則STUN客戶端認(rèn)為捆綁請(qǐng)求報(bào)文傳輸失敗，無(wú)法進(jìn)行STUN探測(cè)。

（部分內(nèi)容素材來(lái)源網(wǎng)絡(luò)，侵權(quán)請(qǐng)聯(lián)系刪除）

審核編輯 黃昊宇