。。。
ASA开NAT 最初要设置一条nat-control命令
关于默认路由
不是路由器or防火墙更或者三层交换机上面只能设一个
只要你所指的端口不同 你可以指上n条(n等于端口数)
偶所说的对内指静态路由 就是让你对inside端口也做一条默认路由
。。。
另外
你还应该在ACL列表里面做一条
permit tcp any host 10001 eq >原理
内部主机----->私有地址----->NAT----公网地址----->外部主机
就是替换IP报文头部的地址信息
Network Address Translation,网络地址转换,用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信
NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现数据的转发, 这就是NAT的工作原理。
RFC1918规定了三个保留地址段落:10000-10255255255;1721600-17231255255;19216800-192168255255。这三个范围分别处于A,B,C类的地址段,不向特定的用户分配,被IANA作为私有地址保留
类别
NAT(Network Address Translators):称为基本的NAT,这种转换的核心是地址而不是端口,基本很少见了
NAPT(Network Address/Port Translators):其实这种才是我们常说的 NAT
实现方式
① 静态转换(Static NAT)
将特定的公网地址和端口一对一的映射到特定的私网地址和端口,且每个私网地址都是确定的。
② 动态转换(Dynamic Nat)
将内部地址与公网地址一对一的转换,但是动态地址是从合法的地址池中动态的选择未使用的公网地址,是随机的;当用户断开连接后,再次连接,可能外部地址就会切换成了另一个
③ 端口多路复用(Port address Translation,PAT)
这也算是一种动态的,将多个内部地址转换为同一个公网地址,用不同的端口来区别不同的主机,可以分为圆锥型NAT和对称性NAT
NAPT分类
① 全锥NAT(Full Cone NAT)
一个私有地址(addr)映射到公网地址(addr)后,内部地址(addr)可以收到任意外部主机(host)发到所映射公网地址(addr)的数据报
② 限制性锥NAT(Restricted Cone NAT)
一个私有地址(addr)映射到公网地址(addr)后,只有当内部主机(host)先给该(任意)外部主机(host)发送数据包后,内部主机才能通过(所映射的)公网地址接收到
该(任意)外部主机 发送到 公网地址的数据包(不限端口)[外部主机从任意端口发送到公网地址的报文将会被转发到私网地址]
③ 端口限制性锥NAT(PortRestricted Cone NAT)
这种实现方式与限制性锥NAT类似,只是多了端口的限制。一个私有地址(addr)映射到公网地址(addr)后,内部主机必须先向外部主机发过数据包之后,
外部主机才能够通过对应的端口发包到达内部地址(从"哪"进从"哪"出)
④ 对称NAT (Symmetric NAT)
这种实现方式不同于以上3种,就是不属于锥NAT(Cone NAT)。当同一台内部主机使用 相同的 端口与 不同的 外部主机通信时,对称NAT会重新建立一个会话,为这个会话分配不同的端口;
只有收到报文的外部主机从其对应的端口发送回应的报文,才能被转换(从"哪"来回"哪"去)。即使内部主机使用之前用过的地址端口去连接不同外部主机(或端口)时,NAT网关也会建立新的映射关系
优缺点
① 完美地解决了lP地址不足的问题
② NAT不仅实现地址转换,同时还起到防火墙的作用,隐藏内部网络的拓扑结构,有效地避免来自网络外部的攻击,因为对于外部主机来说,内部主机是不可见的,
NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是 NAT 主机的公共 IP
③ 也对P2P这种端到端连接的应用造成了困扰
NAT类型检测
前提条件:有一个公网的Server并且绑定了两个公网IP(IP-1,IP-2)。这个Server做UDP监听(IP-1,Port-1),(IP-2,Port-2)并根据客户端的要求进行应答。
第一步:检测客户端是否有能力进行UDP通信以及客户端是否位于NAT后?
客户端向(IP-1,Port-1)发送UDP报文,要求服务器返回客户端的IP和Port。重复若干次,如果每次都超时,则客户端无法进行UDP通信。
如果服务器返回的客户端的IP和Port于发送UDP的localIP和Port相同,则客户端不在NAT后,否则位于NAT后
第二步:检测客户端NAT是否是Full Cone NAT?
客户端向服务器的(IP-1,Port-1)发送UDP报文,要求服务器用(IP-2,Port-2)响应客户端的请求。重复若干次,若每次都超时,则不是Full Cone NAT;否则是
第三步:检测客户端NAT是否是Symmetric NAT?
客户端向服务器(IP-1,Port-1)发送UDP报文,要求服务器返回客户端的IP和Port。客户端使用其他socket向服务器发送(IP-2,Port-2),要求服务器返回客户端的IP和Port。
如果两次返回的IP和Port有一对不一致,则为Symmetric NAT,这样的客户端无法进行UDP-P2P通信。否则为限制型NAT
第四步:检测客户端NAT是否是Restricted Cone NAT还是Port Restricted Cone NAT?
客户端向服务器(IP-1,Port-1)发送UDP报文,要求服务器用(IP-1,Port-x)发送UDP数据包响应。重复若干次,若每次都超时,则是端口限制。否则为限制型锥NAT。
NAT穿透
在不同NAT后面的两个客户端A和B,如果知道对方的NAT映射后的外网地址,就有可能直接发送UDP包给对方外网地址进行通讯。
但客户端不能直接获取自身的NAT外网地址,解决的办法就是引入一个服务器S来协助客户端获取自身的外网地址。
NAT的类型有多种,类型两两组合有很多种,不是每种组合都可以被穿越的,我们来分析两个典型的组合。
① 锥型VS锥型
S
A--NAT A(e)====NAT B(e)--B
B发送数据包给S询问自身地址,S把B的外网地址eB返回给B
S把B的外网地址eB发送给A
S把A的外网地址eA发送给B
A发送数据包给eB,B发送数据包给eA,建立P2P通道
② 端口限制锥型 vs 对称型
STUN
Simple Traversal of User Datagram Protocol Through Network Address Translators),即简单的用UDP穿透NAT,是个轻量级的协议,是基于UDP的完整的穿透NAT的解决方案
它允许位于NAT(或多重NAT)后的客户端找出自己的公网地址,
查出自己位于哪种类型的NAT之后以及NAT为某客户端的一个本地端口所绑定的Internet端端口。这些信息被用来在两个同时处于NAT路由器之后的主机之间创建UDP通信。
该协议由RFC 3489定义,RFC 5389 RFC 7350
STUN是一种Client/Server的协议,也是一种Request/Response的协议,默认端口号是3478
// 协议改变
STUN协议在RFC5389中被重新命名为Session Traversal Utilities for NAT,即NAT会话穿透效用。
在这里,NAT会话穿透效用被定位为一个用于其他解决NAT穿透问题协议的协议。它可以用于终端设备检查由NAT分配给终端的IP地址和端口号。
同时,它也被用来检查两个终端之间的连接性,好比是一种维持NAT绑定表项的保活协议
STUN本身不再是一种完整的NAT穿透解决方案,它相当于是一种NAT穿透解决方案中的工具。这是与RFC3489/STUN版本相比最重要的改变。
RFC5389与RFC3489除了名称变化外,最大的区别是支持TCP穿透。
STUN用途
① Interactive Connectivity Establishment(ICE)[MMUSIC-ICE],交互式连接建立
② Client-initiated connections for SIP [SIP-OUTBOUND],用于SIP的客户端初始化连接
③ NAT Behavior Discovery [BEHAVE-NAT],NAT行为发现
国内免费使用的STUN服务器
stun:stun1lgooglecom:19302
stun:stun2lgooglecom:19302
stun:stun3lgooglecom:19302
stun:stun4lgooglecom:19302
stun:2321150121
stun:stun01sipphonecom
stun:stunekiganet
stun:stunfwdnetnet
stun:stunideasipcom
stun:stuniptelorg
stun:stunrixtelecomse
stun:stunschlundde
stun:stunserverorg
stun:stunsoftjoyscom
stun:stunvoiparoundcom
stun:stunvoipbustercom
stun:stunvoipstuntcom
stun:stunvoxgratiaorg
stun:stunxtencom
TURN
RFC5766
Traversal Using Relays around NAT(TURN):Relay Extensions to Session Traversal Utilities for NAT(STUN),即使用中继穿透NAT:STUN的中继扩展
TURN与STUN的共同点都是通过修改应用层中的私网地址达到NAT穿透的效果,异同点是TURN是通过两方通讯的“中间人”方式实现穿透。
TURN协议就是用来允许主机控制中继的 *** 作并且使用中继与对端交换数据。TURN与其他中继控制协议不同的是它能够允许一个客户端使用一个中继地址与多个对端连接。
TURN协议被设计为ICE的一部分,用于NAT穿越,虽然如此,它也可以在没有ICE的地方单独使用。
ICE
Interactive Connectivity Establishment(互动式连接建立),由IETF的MMUSIC工作组开发出来的,它所提供的是一种框架,使各种NAT穿透技术可以实现统一。
ICE跟STUN和TURN不一样,ICE不是一种协议,而是一个框架(Framework),它整合了STUN和TURN。
如果A想与B通信,那么其过程如下:
1)A收集所有的IP地址,并找出其中可以从STUN服务器和TURN服务器收到流量的地址;
2)A向STUN服务器发送一份地址列表,然后按照排序的地址列表向B发送启动信息,目的是实现节点间的通信;
3)B向启动信息中的每一个地址发送一条STUN请求;
4)A将第一条接收到的STUN请求的回复信息发送给B;
5)B接到STUN回复后,从中找出那些可在A和B之间实现通信的地址;
6)利用列表中的排序列最高的地址进一步的设备间通信。
ICE协议下NAT穿越的实现(STUN&TURN):
所有的通话,实质上是点对点的信息传输。(P2P, point to point)
这里的点是指网路上的点,每一个点是有公网IP的;但是实际情况是,很多节点隐藏在NAT之后,它们只有内网地址。那么之前点之前的连接是无法直连的。
为了能实现点对点的传输,所以内网地址的节点必须获取到它可以使用的公网地址。
下面的例子是讨论FS在NAT后的情况,如下图所示
那么FS怎么样才能获取到公网IP呢
有两种方案,
配置项都是一样,在externalxml中(因为作者只使用externalxml所以在此配置,各位根据实际需要)
配置项为 ext-rtp-ip
像上图样例中,可以配置
注意同样有一个项叫ext-sip-ip,它是走sip的,是信令层使用的。这里我们只讨论RTP,所以配置ext-rtp-ip。
同样,可以配置为stun服务器地址,如
配置完毕后,可以登陆FS控制台,输入 sofia status profile external 来查看配置情况
网路上有很多免费的stun server地址可以使用,那么是否可以工作呢?
有两个检查办法,
因为这个ext-rtp-ip是写入SDP中的,所以最直接的方式就是抓包,然后看信令中的SDP消息。下面是SDP样例如
一、 IMS引入的驱动力作为多媒体业务控制平台和网络融合平台的IMS(IP Multimedia Subsystem),其在未来电信业务和网络运营中的作用,已经为业界共识。那么究竟什么是引入IMS的驱动力呢?
1 业务驱动
IMS的引入是由业务驱动的。随着对通信需求的不断提高,人们已经不能满足于简单的语音电话业务,而是追求多元的通信手段和个性化的多媒体通信体验。能够有效提高ARPU值的多媒体业务将是运营商的主要收入来源,运营商提供多媒体业务的能力将决定其未来的收益能力和在通信市场的竞争力。
2 成本驱动
IMS的引入又是由成本驱动的。运营商多媒体业务提供能力包括建设和发展多媒体业务平台和IMS网络。在多媒体业务发展的初期,运营商会对市场需求明确的多媒体业务,采用专有业务平台,快速投入并获得收益,避开对IMS网络的建设要求,节约投资。随着多种业务的开展,这种规避IMS网络建设带来的业务平台累计投资成本及业务网络管理成本将不断增长并超过原本需要的IMS网络建设成本。而且,由于专有平台的限制,多种多媒体业务之间共性的功能将不能得到共享,如此存在重复投资的浪费,并且这种重复投资在将来新业务开展中仍然存在,不可避免。
由此而言,采用专有业务平台只能是市场迫切需求的权益之计,基于IMS网络的多媒体业务平台才是长远之策。
3 融合驱动
IMS的引入也是由融合驱动的。业界公认IMS作为固定移动融合网络的控制平台,可以为运营商提供全业务的网络运营能力,规避多个业务网络的运维成本。IMS融合的优势吸引了国际和国内的运营商考虑研究和储备IMS技术,分析演进和融合策略。ISPAN/ITU-T等标准组织都在致力于基于IMS的网络融合标准的制定。
二、 网络演进策略
IMS网络演进策略涵盖网络演进线路、演进成本分析、演进驱动力分析等内容。本文仅限于对网络演进线路进行分析讨论。
下面我们假设某运营商是一个固网移动全业务运营商,拥有一个GSM网络和一个局部区域已经应用软交换技术的PSTN网络。整个基于IMS的网络演进分为4个阶段。
1 网络演进第一阶段
如图1所示。GSM网络、PSTN网络和SS网络分别有其电信管理系统。这样一个运营商,正处于网络IP化改造的初始阶段,并已经实施了SS改造策略,将传统的PSTN业务采用基于IP和SIP的SS技术服务。这是一个正确的方向,顺应了网络IP化的趋势。
图1 网络融合中的演进阶段
2 网络演进第二阶段
为了达到固网和移动融合的目标,仅仅采用SS技术还不能满足要求。中兴通讯建议演进的第二阶段是:
● 继续深入地建设IP骨干网络;
● 继续PSTN网络的SS改造;
● 统一多个网络的管理系统,建立统一的面向固网移动融合的TMN;
● 以3GPP R4演进2G的GSM网络,建立UMTS网络,其中可以采用先核心网演进,再无线接入网演进的策略。
在Phase 2阶段结束之时,我们将拥有一个全IP的核心网络,一个统一的网络管理系统TMN,一个能够提供宽带无线数据业务的UMTS网络。
我们知道3GPP R4的一个弊端就是没有能够引入新的业务和业务模式,为此,我们需要利用IMS技术,满足新业务的需求。IMS为UMTS网络创建了一个多媒体业务控制平台,也是一个公认的固网移动融合的平台,所以,Phase 3阶段的主要任务是根据网络整体情况引入IMS技术。
3 网络演进第三阶段
中兴通讯建议演进的第三阶段是:
● 基于UMTS网络有步骤地引入IMS技术,建立业务控制平台和业务平台;
● 分离并迁移软交换网络中用户数据到统一的用户数据库HSS系统;
● 基于软交换网络有步骤地引入IMS技术,分割软交换功能体,实现固定接入特有的IMS体系(可能需要非标准技术)。
在Phase 3阶段结束之时,我们将拥有一个基于UMTS IMS的统一的业务控制台和业务平台,一个统一的用户数据库系统HSS,一个具有非标准成分的IMS-SS网络。
这个阶段是迈向固网和移动融合的关键阶段,所以我们将在下文展开阐述。
从运营商角度考虑,引入IMS技术还不能算是完成了固网和移动的融合,IMS-SS网络可能存在非标准成分。在第四阶段将是一个基于TISPAN和3GPP标准的IMS网络融合阶段。
4 网络演进第四阶段
中兴通讯建议演进的第四阶段是:
● 优化网络,以标准TISPAN和3GPP架构及协议演化IMS核心网;
● 优化接入网络,逐步减少和淘汰传统终端,完善宽带智能接入。
可见,四个阶段完成不同的演变任务,符合总体的向基于IMS的融合网络目标演进的策略,最终,中兴通讯可以帮助该运营商实现网络融合的愿望,提供全业务的网络体系架构,为应对现在和未来的行业竞争提供利器。
三、 网络演进方案
1 UMTS R4向IMS演进
UMTS网络R4阶段是3G网络向软交换方式转变的一个重要阶段。这种MSC Server/MGW软交换的控制/承载分离模式在IMS域中也可以利用,例如MRFC/MRFP和MGCF/MGW。在综合考虑IMS网络演进过程中,我们将利用软交换模式的共性,研究平滑演进的可能线路。
2 互联互通
图2描述了R4网络CS域与IMS域互联互通的关系。通常我们在引入新网络时,总考虑要将对现有网络的影响降低至最小。所以在建设初期,采用先局部地区尝试,后全网拓展的策略。在互联互通方面,也希望首先独立建设互通网关,避免对原有网络的改造。那么,在IMS网络试点成熟之后,我们将考虑如何简化业务网络。
图2 IMS与R4 CS互联互通
图3 GMSC Server/MGCF/MGW 综合关口局
3 综合关口局
我们知道,GMSC Server/MGW和MGCF/IM-MGW都完成网关功能,而且都采用软交换的控制模式,两者之间有极大的共性。在一个运营商内部维护两个具有共性的网关,是不利于网络优化和发展的。所以,将GMSC Server/MGW或MGCF/IM-MGW升级成为综合关口局,同时包容两者的网关功能,是合理的选择(图3)。从与外网客观存在连接的GMSC Server/MGW升级,影响面相对更小一些。
4 CS域设备重用
业务是驱动网络演进的一个主要推动力,以IMS业务模式替代CS域业务模式是未来发展的一个趋势。IMS网络融合阶段将以SIP应用服务模式提供传统CS域的呼叫业务和补充业务。在网络融合阶段,随着业务量从CS域逐渐转移到IMS/PS域,原有的MSC Server/MGW需要更新安置处理。从技术的可行性看,MSC Server/MGW的更新安置可以向传统业务服务器/媒体服务器演进(图4)。
图4 MSC Server/MGW演变成传统业务服务器和媒体服务器
传统业务服务器和媒体服务器之间遵循软交换的控制模式,这点和MSC Server/MGW是一致的。而且,MSC Server/MGW中已经存在有关CS域业务的处理逻辑和相应的网络资源,相应的设备供应商具有CS业务实现的经验和技术力量。综合而言,将MSC Server/MGW演变成传统业务/媒体服务器可以较充分地重用硬件设备和软件资源。对于Iu口的ATM设备资源,可以转移至PS域SGSN,实现重用。
需要说明,目前如何在IMS域模拟或仿真CS域业务还没有一个统一的标准,业务实现方式局限于设备供应商私有方案。对于增值业务而言,私有方案不会影响业务的实现和全网业务的放送。但对于CS域基本/补充呼叫业务,由于存在设备改造演进问题,需要结合运营商及设备供应商的力量,考虑一个标准实现方案,以利于网络演进。
还有另外一条途径重新安置MSC Server/MGW,即升级改造为MGCF/IM-MGW,如同GMSC Server/MGW升级成为综合关口局。这里就不重复说明。需要指出,在CS域改造完毕之后,综合关口局的GMSC Server功能将无需存在。
5 软交换SS向IMS演进
本节主要阐述软交换体系向IMS的演变。需要声明,中兴通讯UMTS产品系列和SS产品系列均构建于中兴通讯自主创新的下一代宽带IP通用平台之上,天生的具备良好的可移植性和低成本演进的特点。中兴通讯建议的无缝演进线路非常适合中兴通讯产品方案,但不一定适用于其他设备供应商的产品。
6 统一IP承载
在演进的Phase2阶段(图5),运营商拥有一个全IP的核心承载网路,为UMTS和SS提供统一的IP核心。在这个网络中,UMTS负责向移动用户提供语音电话、短消息、宽带视频电话、Internet接入、信息浏览、Clip观赏等基本业务和增值业务,而SS则负责向固定用户提供相关的业务。该阶段是构建于同一个IP网络的两个逻辑分离的业务网络,UMTS和SS之间采用互通网关完成互联互通。
图5 UMTS与软交换SS网络并存,共享一个骨干IP网络
7 引入UMTS IMS、用户数据剥离
在引入IMS技术阶段Phase 3,为了便于网络运营和管理,避免由于技术引入带来的业务质量的波动,中兴通讯建议充分利用UMTS和SS的特点,分步骤分别向IMS演进。
首先,Phase3-1阶段(图6),考虑引入基于3GPP标准的IMS,叠加在UMTS PS域之上,完成IP多媒体业务的控制。升级HLR系统成为支持IMS的HSS系统。在SS域,采用中兴通讯专有的SHLR技术,分离SS中用户数据。该技术可以提供集中数据管理,方便地实现固定用户的游牧功能。
图5 UMTS与软交换SS网络并存,共享一个骨干IP网络
图6 引入UMTS IMS和从SS剥离用户数据(Phase 3-1)
8 统一数据管理、开放SS业务接口
下一步,Phase3-2阶段将实现SS业务接口的开放和业务移植(图7)。参考IMS体系中ISC接口的规范,中兴通讯建议以ISC接口的方式开放SS体系,并考虑根据实际业务情况将部分业务功能转移到SIP应用服务器实现,减轻SS的业务负荷,实现向IMS技术的一个质的迈进。在该阶段,我们还将SHLR归并入HSS体系,实现固定和移动用户数据的统一管理。
图7 统一用户数据管理和开放SS业务接口(Phase 3-2)
完成了Phase3-2以后,SS体系已经具备IMS的雏形,实现了统一的用户数据管理和开放的业务接口。下一步,将考虑实现IMS核心和IMS边缘的分离。
9 SS实体分裂为IMS功能实体
Phase3-3阶段将SS分离成为一个负责完成SIP路由和控制,提供开放业务接口的CSCF(IMS核心),一个P-CSCF负责完成宽带SIP终端的接入控制和一个AGCF负责完成哑终端及智能终端接入(图8)。需要指出,AGCF除了完成接入控制,还将配合CSCF和SIP AS完成TISPAN所定义的PSTN/ISDN仿真业务PES的实现。为了简化表述,在TISPAN规定的一些网络功能体,有部分融入到AGCF、P-CSCF、IAD、AG和MSP中实现,还有部分未在图示中显现。
图8 UMTS IMS与分布的SS并存(Phase 3-3)
从技术的角度分析,Phase3阶段各步骤并不是必须严格遵照实施,具体实施可以进行调整修订。但从网络可持续性发展和网络运维的角度考虑,按照上述步骤实施有其合理的一面。
在Phase 3阶段结束之后,我们可以获得一个应用了IMS技术的固定和移动初步融合的网络,实现了用户意义上的融合,业务平台的融合,IMS控制面的融合(如果UMTS IMS和IMS-SS均采用中兴通讯方案)和网络管理的融和。
四、 中兴通讯解决方案特点
IMS解决方案是目前所有移动解决方案中涉及领域最广的,中兴通讯IMS的主要特点如下:
● 基于下一代IP统一宽带平台
● 基于ETSI/3GPP/3GPP2/TISPAN/ITU-T/OMA等国际标准
● 提供IMS全系列网元功能
● 支持R4网络平滑演进
● 提供全业务解决能力
● 提供固定和移动网络融合能力
● 提供USPP完成用户数据融合和ZXUP10完成业务融合
IMS顺应了通信网络发展的趋势,确定了其在未来的全IP移动通信网的重要地位。在IMS之上可以开发丰富的IP多媒体应用。可以说,IMS是未来移动核心网发展的核心,是部署新业务的基石。中兴通讯作为中国最大的上市通信设备供应商,充分考虑运营商实际情况,能提供不同阶段平滑演进的组网策略,有信心也有实力为客户提供完美的IMS解决方案。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)