第一篇：幾種方式解決SIP穿越NAT總結(jié)[范文模版]

SIP穿越NAT的幾種方式

多媒體會(huì)話信令協(xié)議是在準(zhǔn)備建立媒體流傳輸?shù)拇碇g交換信息的協(xié)議，媒體流與信令流截然不同，它們所采用的網(wǎng)絡(luò)通道也不一致。由于協(xié)議自身設(shè)計(jì)上的原因，使得媒體流無法直接穿透網(wǎng)絡(luò)地址轉(zhuǎn)換/防火墻(NAT/Firewall)。因?yàn)樗鼈兩嫫诘哪繕?biāo)只是為了建立一個(gè)在信息中攜帶IP地址的分組流，這在遇到NAT/Firewall 時(shí)會(huì)帶來許多問題。而且這些協(xié)議的目標(biāo)是通過建立P2P(Peer to Peer)媒體流以減小時(shí)延，而協(xié)議本身很多方面卻與NAT存在兼容性問題，這也是穿透 NAT/Firewall的困難所在。而NAT仍是解決當(dāng)前公用IP地址緊缺和網(wǎng)絡(luò)安全問題的最有力手段，所以解決NAT穿越成為首要問題。

以SIP通信為例，呼叫建立和媒體通信的建立是依賴SIP消息首部和SDP消息所描述的地址和端口信息進(jìn)行的，呼叫雙方分別在內(nèi)網(wǎng)和外網(wǎng)上，內(nèi)網(wǎng)是通過NAT設(shè)備連接到外網(wǎng)，由于NAT設(shè)備工作在IP和TCP/UDP層，所以它不對(duì)SDP等應(yīng)用層數(shù)據(jù)進(jìn)行NAT變換，因此會(huì)造成尋址失敗，從而導(dǎo)致呼叫無法正常建立。另外，VOIP設(shè)備的主要通信協(xié)議（如SIP和H.323）要求終端之間使用IP地址和端口號(hào)來建立端到端的數(shù)據(jù)偵聽外來的呼叫，而防火墻卻通常被配置阻止任何不請(qǐng)自到的數(shù)據(jù)分組通過。需要網(wǎng)絡(luò)管理者打開防火墻上的一個(gè)端口來接收呼叫建立數(shù)據(jù)分組，例如5060端口（SIP的通信端口），但I(xiàn)P語音和視頻通信協(xié)議還要求打開許多別的端口接收呼叫控制信息來建立語音和視頻通信，這些端口號(hào)事先并不知道，是動(dòng)態(tài)分配的，也就是說網(wǎng)絡(luò)管理者為了允許語音和視頻通信將不得不打開防火墻上所有的端口，防火墻就失去了存在的意義。所以當(dāng)前的問題還有需要解決監(jiān)聽端口的問題。如下圖SIP呼叫不成功示意圖

分析： d:211.83.100.100:23766 s:192.168.1.166:1010 2 d:211.83.100.100:23766 s:211.83.100.166:9993 3.d:211.83.100.166:9993 s:211.83.100.100:23766 4.d:192.168.1.166:1010 s:211.83.100.100:23766 5.d:211.83.100.110:23788 s:211.83.100.100:2020 6.d:211.83.100.100:3399 s:211.83.100.110:23788 7.d:211.83.100.166:9993 s:211.83.100.100:23766 8.d:192.168.1.166:1010 s:211.83.100.100:23766 9.d:211.83.100.100:3399 s:211.83.100.110:23788 10.d:211.83.100.166:9993 s:211.83.100.100:23766 11.d:192.168.1.166:1010 s:211.83.100.100:23766 12.d:211.83.100.110:23788 s:192.168.1.166:1010 d:211.83.100.110:23788 s:211.83.100.166:9993

13.d:192.168.1.166 s:211.83.100.110:23788 A對(duì)B invite 時(shí)在SDP中帶上了RTP協(xié)商的端口和私網(wǎng)IP，B回復(fù)200OK時(shí)告知RTP時(shí)的端口和私網(wǎng)地址，B收到A的RTP包后回復(fù)，因?yàn)镽TP包記錄是私網(wǎng)地址，所以RTP包被丟棄。

目前主流的幾種解決方式有ALG、STUN、TURN、ICE，我們分別來介紹它們的工作原理及工作流程。1.ALG

1.1工作原理

ALG是指能識(shí)別特定應(yīng)用層協(xié)議（如SIP、H.323或MGCP協(xié)議）的防火墻。它不是簡(jiǎn)單地查看分組首部信息來解決數(shù)據(jù)分組是否可以通過，而是更深層地分析負(fù)載內(nèi)容的數(shù)據(jù)，也就是應(yīng)用層的數(shù)據(jù)。SIP和H.323協(xié)議都在負(fù)載中放了重要的控制信息。通過分析哪一個(gè)端口需要打開。防火墻動(dòng)態(tài)的打開那些被應(yīng)用的端口，而所有別的端口依然安全地保持關(guān)閉狀態(tài)。ALG是支持VOIP應(yīng)用最簡(jiǎn)單的一種方式，但該方案的缺點(diǎn)非常明顯：每增加一種新的應(yīng)用都將需要對(duì) NAT/Firewall進(jìn)行升級(jí)。在安全要求上還需要作一些折衷，因?yàn)锳LG 不能識(shí)別加密后的報(bào)文內(nèi)容，所以必須保證報(bào)文采用明文傳送，這使得報(bào)文在公網(wǎng)中傳送時(shí)有很大的安全隱患。SIP響應(yīng)消息用于對(duì)請(qǐng)求消息進(jìn)行響應(yīng)，指示呼叫或注冊(cè)的成功或失敗狀態(tài)。在請(qǐng)求與響應(yīng)報(bào)文中需要進(jìn)行ALG處理的地址字段類型主要有：Via、Record_Route、Contact、SDP。ALG處理流程為如下三個(gè)步驟：

首先，ALG根據(jù)會(huì)話標(biāo)識(shí)的協(xié)議類型對(duì)報(bào)文進(jìn)行解碼，若解碼發(fā)現(xiàn)報(bào)文為不需要做ALG或解碼發(fā)現(xiàn)為錯(cuò)誤字段時(shí)退出，解碼發(fā)現(xiàn)需進(jìn)行字段轉(zhuǎn)換時(shí)進(jìn)一步處理；其次，ALG查找接口上的NAT配置，根據(jù)NAT配置轉(zhuǎn)換報(bào)文中的IP地址、端口、call-id等信息并建立關(guān)聯(lián)表，關(guān)聯(lián)表記錄了載荷地址的轉(zhuǎn)換關(guān)系；最后，ALG調(diào)整報(bào)文載荷中的長(zhǎng)度字段，如sip message header的content-length字段標(biāo)識(shí)message body的長(zhǎng)度，ALG對(duì)message body中的地址轉(zhuǎn)換后，message body長(zhǎng)度可能變化，content-length字段值需要置為變化后的值。1.2工作流程示意圖

分析： d:211.83.100.100:23766 s:192.168.1.166:1010 2 d:211.83.100.100:23766 s:211.83.100.166:9993 9.d:211.83.100.166:9993 s:211.83.100.100:23766 10.d:192.168.1.166:1010 s:211.83.100.100:23766 11.d:211.83.100.110:23788 s:211.83.100.100:2020 12.d:211.83.100.100:3399 s:211.83.100.110:23788 13.d:211.83.100.166:9993 s:211.83.100.100:23766 14.d:192.168.1.166:1010 s:211.83.100.100:23766 9.d:211.83.100.100:3399 s:211.83.100.110:23788 10.d:211.83.100.166:9993 s:211.83.100.100:23766 11.d:192.168.1.166:1010 s:211.83.100.100:23766 12.d:211.83.100.110:23788 s:192.168.1.166:1010 d:211.83.100.110:23788 s:211.83.100.166:9993 ALG NAT對(duì)A發(fā)給B的RTP包中的內(nèi)容進(jìn)行解碼，發(fā)現(xiàn)私網(wǎng)地址就轉(zhuǎn)換為公網(wǎng)IP，并做映射建立關(guān)聯(lián)表，最后調(diào)整報(bào)文載荷中的長(zhǎng)度字段。13.d:211.83.100.166:9993 s:211.83.100.110:23788 A對(duì)B invite 時(shí)在SDP中帶上了RTP協(xié)商的端口和私網(wǎng)IP，B回復(fù)200OK時(shí)告知RTP時(shí)的端口和私網(wǎng)地址，B收到A的RTP包是經(jīng)過ALG NAT修改后的數(shù)據(jù)包，就知道目的地址發(fā)給211.83.100.166:9993 14.d:192.168.1.166:1010 s:211.83.100.166:9993

2.STUN 2.1工作原理

STUN的全稱是Simple Traversal of UDP Through NAT，即UDP對(duì)NAT的簡(jiǎn)單穿越方式。是一種網(wǎng)絡(luò)協(xié)議它允許位于NAT（或多重NAT）后的客戶端找出自己的公網(wǎng)地址，查出自己位于哪種類型的NAT之后以及NAT為某一個(gè)本地端口所綁定的Internet端端口。這些信息被用來在兩個(gè)同時(shí)處于NAT 路由器之后的主機(jī)之間建立UDP通信。該協(xié)議由RFC 3489定義。

1)應(yīng)用程序（即STUN CLIENT）向NAT外的STUN SERVER通過UDP發(fā)送請(qǐng)求STUN 消息詢問自身的轉(zhuǎn)換后地址，2)STUN SERVER收到請(qǐng)求消息，產(chǎn)生響應(yīng)消息，響應(yīng)消息中攜帶請(qǐng)求消息的源端口，即STUN CLIENT在NAT上對(duì)應(yīng)的外部端口。響應(yīng)消息通過NAT發(fā)送給STUN CLIENT，3)STUN CLIENT通過響應(yīng)消息體中的內(nèi)容得知其在NAT上對(duì)應(yīng)的外部地址，并且將其填入以后呼叫協(xié)議的UDP負(fù)載中，告知對(duì)端，同時(shí)還可以在終端注冊(cè)時(shí)直接注冊(cè)這個(gè)轉(zhuǎn)換后的公有IP地址，這樣就解決SIP穿越NAT的通信建立問題以及作為被叫時(shí)的問題。

4)本端的接收地址和端口號(hào)為NAT外的地址和端口號(hào)。由于通過STUN協(xié)議已在NAT上預(yù)先建立媒體流的NAT映射表項(xiàng)，故媒體流可順利穿越NAT。2.2網(wǎng)絡(luò)結(jié)構(gòu)圖

2.3工作流程示意圖

A：192.168.0.10

A NAT：192.168.1.1

211.83.100.100 STUN SERVER：211.83.100.110 B：192.168.11.11 B NAT：192.168.11.1

211.83.100.120 分析： d:211.83.100.110:1111 s:192.168.0.10:1010 2 d:211.83.100.110:1111 s:211.83.100.100:2020 3 d:211.83.100.100:2020 s:211.83.100.100:2020 4 d:192.168.0.10:1010 s:211.83.100.100:2020 5 d:211.83.100.120:2222 s:192.168.11.11:3030 6 d:211.83.100.120:2222 s:211.83.100.120:4040 7 d:211.83.100.120:4040 s:211.83.100.120:2222 8 d:192.168.11.11:3030 s:211.83.100.120:2222 A與B接收到STUN的響應(yīng)消息就得到信令和媒體流在NAT上的映射地址，并將這些地址寫到SIP消息中的Via,Contact字段以及SDP中的媒體流傳送地址，代替原有的私網(wǎng)地址。如A的SDP帶的端口為10000，B的SDP帶的端口為20000，A、B相互告知對(duì)端它的端口，最后終端注冊(cè)時(shí)直接用這個(gè)轉(zhuǎn)換后的公有IP地址注冊(cè)。所以端口10000 B NAT是打開的，端口20000 A NAT是打開的，所以RTP包可路由。d:211.83.100.120:4040 s:211.83.100.100:8888 10 d:211.83.100.100:8888 s:211.83.100.120:4040

2.4需要注意

1)NAT/PAT對(duì)于地址轉(zhuǎn)換關(guān)系是有一定生命期的，某個(gè)地址轉(zhuǎn)換后在一段時(shí)間內(nèi)沒有被使用將會(huì)被清除，當(dāng)這個(gè)業(yè)務(wù)流再次出現(xiàn)時(shí)，將會(huì)建立一個(gè)新的地址轉(zhuǎn)換關(guān)系，這就意味著STUN的詢問過程以及終端的注冊(cè)過程都需要再執(zhí)行一遍才能保證通信的正確。解決這個(gè)問題一個(gè)比較通行的方案是采用某種方式保持NAT/PAT的轉(zhuǎn)換關(guān)系，例如在NAT/PAT生命期內(nèi)重復(fù)注冊(cè)一次，比如NAT/PAT的生命期是3分鐘，那么就將注冊(cè)重復(fù)周期設(shè)置為2分鐘。2)另外STUN server并非指一個(gè)專用的服務(wù)器，而是指一種功能、一個(gè)協(xié)議，我們可以在softswitch或者任何一個(gè)需要此功能的服務(wù)器上內(nèi)置此協(xié)議, 后面代碼也包含一個(gè)簡(jiǎn)單的Server實(shí)現(xiàn)。

3)但是在NAT采用對(duì)稱模式(symmetric NAT)工作時(shí)，STUN的方案就會(huì)出現(xiàn)問題。假如我們?cè)趕oftswitch上提供STUN server功能，終端A通過STUN可以獲得NAT為終端A與softswitch之間通信分配的地址A'，并將這個(gè)地址注冊(cè)在softswitch上，當(dāng)一個(gè)公網(wǎng)上的終端B呼叫終端A時(shí)，A'和B通過softswitch完成呼叫建立過程。當(dāng)B試圖向A'發(fā)送媒體流時(shí)，問題就出現(xiàn)了。因?yàn)閷?duì)稱NAT只允許從softswitch發(fā)送數(shù)據(jù)給地址A'，從B發(fā)送的媒體流將被丟棄。所以STUN無法應(yīng)用于工作在對(duì)稱模式的NAT.4)STUN協(xié)議最大的優(yōu)點(diǎn)是無需現(xiàn)有NAT/FW設(shè)備做任何改動(dòng),同時(shí)STUN方式可在多個(gè)NAT串聯(lián)的網(wǎng)絡(luò)環(huán)境中使用.STUN的局限性在于STUN并不適合支持TCP連接的穿越,同時(shí)STUN方式不支持對(duì)對(duì)稱NAT（Symmetric NAT）.5)解決穿透NAT問題的另一思路是，私網(wǎng)中的VOIP終端通過某種機(jī)制預(yù)先得到出口NAT上的對(duì)外地址，然后在凈載中所填寫的地址信息直接填寫出口 NAT上的對(duì)外地址，而不是私網(wǎng)內(nèi)終端的私有IP地址，這樣凈載中的內(nèi)容在經(jīng)過NAT時(shí)就無需被修改了，只需按普通NAT流程轉(zhuǎn)換報(bào)文頭的IP地址即可，凈載中的 IP地址信息和報(bào)文頭地址信息是一致的。STUN協(xié)議就是基于此思路來解決應(yīng)用層地址的轉(zhuǎn)換問題。

6)一旦客戶端得知了Internet端的UDP端口，通信就可以開始了。如果NAT是完全圓錐型的，那么雙方中的任何一方都可以發(fā)起通信。如果NAT是受限圓錐型或端口受限圓錐型，雙方必須一起開始傳輸。

7)需要注意的是，要使用STUN RFC中描述的技術(shù)并不一定需要使用STUN協(xié)議——還可以另外設(shè)計(jì)一個(gè)協(xié)議并把相同的功能集成到運(yùn)行該協(xié)議的服務(wù)器上。

8)SIP之類的協(xié)議是使用UDP分組在Internet上傳輸音頻和／或視頻數(shù)據(jù)的。不幸的是，由于通信的兩個(gè)末端往往位于NAT之后，因此用傳統(tǒng)的方法是無法建立連接的。這也就是STUN發(fā)揮作用的地方。

9)STUN是一個(gè)客戶機(jī)－服務(wù)器協(xié)議。一個(gè)VoIP電話或軟件包可能會(huì)包括一個(gè)STUN客戶端。這個(gè)客戶端會(huì)向STUN服務(wù)器發(fā)送請(qǐng)求，之后，服務(wù)器就會(huì)向STUN客戶端報(bào)告NAT路由器的公網(wǎng)IP地址以及NAT為允許傳入流量傳回內(nèi)網(wǎng)而開通的端口。

10)以上的響應(yīng)同時(shí)還使得STUN客戶端能夠確定正在使用的NAT類型——因?yàn)椴煌腘AT類型處理傳入的UDP分組的方式是不同的。四種主要類型中有三種是可以使用的：完全圓錐型NAT、受限圓錐型NAT和端口受限圓錐型NAT——但大型公司網(wǎng)絡(luò)中經(jīng)常采用的對(duì)稱型NAT（又稱為雙向NAT）則不能使用。

3.TURN 3.1工作原理

TURN的全稱為Traversal Using RelayNAT，即通過Relay方式穿越NAT，TURN應(yīng)用模型通過分配TURNServer的地址和端口作為客戶端對(duì)外的接受地址和端口，即私網(wǎng)用戶發(fā)出的報(bào)文都要經(jīng)過TURNServer進(jìn)行Relay轉(zhuǎn)發(fā)。這種方式又稱SPAN(Simple Protocol for Augmenting NATs)方式.TURN方式解決NAT問題的思路與STUN相似，也是基于私網(wǎng)接入用戶通過某種機(jī)制預(yù)先得到其私有地址對(duì)應(yīng)在公網(wǎng)的地址（STUN方式得到的地址為出口NAT上的地址，TURN方式得到地址為TURNServer上的地址），然后在報(bào)文負(fù)載中所描述的地址信息直接填寫該公網(wǎng)地址的方式，實(shí)際應(yīng)用原理也是一樣的。這種方式除了具有STUN方式的優(yōu)點(diǎn)外，還解決了STUN應(yīng)用無法穿透對(duì)稱NAT（Symmetric NAT）以及類似的Firewall設(shè)備的缺陷，即無論企業(yè)網(wǎng)/駐地網(wǎng)出口為哪種類型的NAT/FW，都可以實(shí)現(xiàn)NAT的穿透，同時(shí)TURN支持基于TCP的應(yīng)用，如H323協(xié)議。此外TURN Server控制分配地址和端口，能分配RTP/RTCP地址對(duì)(RTCP端口號(hào)為RTP端口號(hào)加1)作為私網(wǎng)終端用戶的接受地址，避免了STUN方式中出口NAT對(duì)RTP/RTCP地址端口號(hào)的任意分配，使得客戶端無法收到對(duì)端發(fā)來的RTCP報(bào)文(對(duì)端發(fā)RTCP報(bào)文時(shí)，目的端口號(hào)缺省按RTP端口號(hào)加 1發(fā)送)。

TURN的局限性在于需要VOIP終端支持TURN Client，這一點(diǎn)同STUN一樣對(duì)網(wǎng)絡(luò)終端有要求。此外所有報(bào)文都必須經(jīng)過TURN Server轉(zhuǎn)發(fā)，增大了包的延遲和丟包的可能性。3.2網(wǎng)絡(luò)拓?fù)鋱D

3.3工作流程示意圖

A：192.168.0.10

A NAT：192.168.1.1

211.83.100.100 STUN SERVER：211.83.100.110 B：192.168.11.11 B NAT：192.168.11.1

211.83.100.120 分析：

d:211.83.100.110:1111 s:192.168.0.10:1010 2 d:211.83.100.110:1111 s:211.83.100.100:2020 3 d:211.83.100.100:2020 s:211.83.100.100:2020 4 d:192.168.0.10:1010 s:211.83.100.100:2020 5 d:211.83.100.120:2222 s:192.168.11.11:3030 6 d:211.83.100.120:2222 s:211.83.100.110:4040 7 d:211.83.100.110:4040 s:211.83.100.120:2222 8 d:192.168.11.11:3030 s:211.83.100.120:2222 A與B接收到TURN的響應(yīng)消息就得到信令和媒體流在NAT上的映射地址，并將這些地址寫到SIP消息中的Via,Contact字段以及SDP中的媒體流傳送地址，代替原有的私網(wǎng)地址。如A的SDP帶的端口為10000，B的SDP帶的端口為20000，A、B相互告知對(duì)端它的端口，所以端口10000 B NAT是打開的，端口20000 A NAT是打開的，所以RTP包可路由。d:211.83.100.110:1111 s:211.83.100.100:5556 10 d:211.83.100.120:2222 s:211.83.100.110:1111 d:192.168.11.11:3030 s:211.83.100.120:2222 11 d:211.83.100.110:4040 s:211.83.100.120:6555 12 d:211.83.100.100:5556 s:211.83.100.110:4040 d:192.168.0.10:1010 s:211.83.100.100:2020

4.ICE 4.1工作原理

交互式連通建立方式ICE(Interactive Connectivity Establishment)并非一種新的協(xié)議，它不需要對(duì)STUN、TURN或RSIP進(jìn)行擴(kuò)展就可適用于各種NAT。ICE是通過綜合運(yùn)用上面某幾種協(xié)議，使之在最適合的情況下工作，以彌補(bǔ)單獨(dú)使用其中任何一種所帶來的固有缺陷。ICE跟STUN和TURN不一樣，ICE不是一種協(xié)議，而是一個(gè)framework，它整合了STUN和TURN。使用ICE方式穿透NAT，必須映射ICE定義的參數(shù)到SIP消息格式中，同時(shí)對(duì)其SDP屬性進(jìn)行簡(jiǎn)單擴(kuò)展—在SDP的Media塊中定義一個(gè)新的屬性“alt”來支持ICE。它包含一個(gè)候選IP地址和端口，SDP的接受端可以用該地址來替換m和c中的地址。Media塊中可能會(huì)有多個(gè)alt屬性，這時(shí)每個(gè)alt應(yīng)該包括不重復(fù)的IP地址和端口。對(duì)于SIP來說，ICE只需要定義一些SDP(Session Description Protocol)附加屬性即可，對(duì)于別的多媒體信令協(xié)議也需要制定一些相應(yīng)的機(jī)制來實(shí)現(xiàn)。其思想是：建立媒體流信道時(shí)，發(fā)出很多種選擇，有本地端口，STUN端口，TURN端口，并給出這些端口的優(yōu)先級(jí)，由被叫方自主選擇端口，根據(jù)一定的算法和聯(lián)通性測(cè)試，選出最好的端口來通信。

ICE算法流程分為以F幾個(gè)過程：

(1)收集本地傳輸?shù)刂?/p>

會(huì)話者從服務(wù)器上獲得主機(jī)上一個(gè)物理(或虛擬)接口綁定一個(gè)端口的本地傳輸?shù)刂贰?/p>

(2)啟動(dòng)STUN 與傳統(tǒng)的STUN不同，ICE用戶名和密碼可以通過信令協(xié)議進(jìn)行交換。

(3)確定傳輸?shù)刂返膬?yōu)先級(jí)

優(yōu)先級(jí)反映了UA在該地址上接收媒體流的優(yōu)先級(jí)別，取值范圍0到1之間，按照被傳輸媒體流量來確定。

(4)構(gòu)建初始化信息(Initiate Message)初始化消息由一系列媒體流組成，每個(gè)媒體流的任意Peer之間實(shí)現(xiàn)最人連通可能性的傳輸?shù)刂肥怯晒W(wǎng)L轉(zhuǎn)發(fā)服務(wù)器(如TURN)提供的地址。

(5)響應(yīng)處理

連通性檢查和執(zhí)行ICE算法中描述的地址收集過程。(6)生成接受信息(Accept Message)若接受則發(fā)送Accept消息，其構(gòu)造過程與InitiateMessage類似。

(7)接受信息處理

接受過程需要發(fā)起者使用Send命令，由服務(wù)器轉(zhuǎn)發(fā)至響應(yīng)者。(8)附加ICE過程

Initiate或Accept消息交換過程結(jié)束后，雙方可能仍將繼續(xù)收集傳輸?shù)刂贰?/p>

(9)ICE到SIP的映射

4.2網(wǎng)絡(luò)拓?fù)鋱D

4.3工作流程示意圖

舉例：通信雙方同時(shí)處于對(duì)稱式NAT/FW內(nèi)部，現(xiàn)在SIP終端A要與B進(jìn)行VoIP通信。A所在的內(nèi)部地址是10.0.1.9，外部地址是211.35.29.30；B的內(nèi)部地址是192.168.1.6，外部地址是202.205.80.130；STUN/TURN服務(wù)器的地址是218.65.228.110。

首先A發(fā)起請(qǐng)求，進(jìn)行地址收集，如下圖，收集了STUN服務(wù)映射的地址M：211.36.2930：9988，第二次收集了TURN服務(wù)映射的地址M：218.65.228.110：8076，第二次的IP和端口都改變了是因?yàn)镹AT是對(duì)稱型，重新映射一條路徑。

B進(jìn)行地址收集，和A的過程是一致的。如下圖，收集了STUN服務(wù)映射的地址M：202.205.80.130:10892，第二次收集了TURN服務(wù)映射的地址M：218.65.228.110:8078

B的連通性檢查，如圖，第1步，B對(duì)于A的私有地址是不可路由的

第3步，由于目標(biāo)地址d：211.35.29.30:9988被源地址S：218.65.228.110:3478所映射，所以B對(duì)于A又不可路由，所以B到A的媒體流將發(fā)送至218.65.228.110:8076地址。

A的聯(lián)通性檢查，如圖，與Ｂ原理一樣，A對(duì)于B的私有地址和STUN來源地址的連通性檢查結(jié)果均為失敗，而到B的TURN來源地址和到B的peer-derived地址成功(本例中它們都具有相同的優(yōu)先級(jí)0.4)。相同優(yōu)先級(jí)下我們通常采用peer-derived地址，所以A發(fā)送到B的媒體流將使用218.65.228.110:5556地址。

第二篇：SIP優(yōu)勢(shì)總結(jié)

SIP優(yōu)勢(shì)總結(jié)

1、自動(dòng)回呼功能。

啟用該功能后，如果您呼叫的對(duì)象沒有接聽到電話，系統(tǒng)會(huì)記錄下此次呼叫，一旦對(duì)方使用了VOIP電話，系統(tǒng)就會(huì)判定該對(duì)象已經(jīng)回來并向雙方的電話發(fā)起振鈴，摘機(jī)后就可以建立通話。該功能解決了中國人不愛使用電話留言功能的問題。

2、語音點(diǎn)播功能。

說明如下：

1、將重要文件或通知錄制成文件存放在VOIP系統(tǒng)中并掛接上特殊的號(hào)碼，用戶只要撥打該號(hào)碼并輸入密碼驗(yàn)證，就可以收聽錄音；

2、如果企業(yè)有常用的培訓(xùn)錄音，也可以放在系統(tǒng)中，用戶撥打培訓(xùn)電話號(hào)碼，就可以遠(yuǎn)程反復(fù)收聽培訓(xùn)錄音了；

3、對(duì)于緊急重要的通知，也可以通過系統(tǒng)制作錄音，并通過群呼的方式向所有VOIP話機(jī)呼叫。

3、企業(yè)統(tǒng)一通信錄應(yīng)用。

公司內(nèi)部網(wǎng)頁可集成“企業(yè)統(tǒng)一通信錄”，其中包含各部門員工通信錄名片，甚至合作單位通信錄名片，通訊錄名片可以鏈接多個(gè)用戶號(hào)碼（如VOIP分機(jī)號(hào)碼、普通固定電話號(hào)碼、移動(dòng)手機(jī)號(hào)碼等）。

員工上班時(shí)以專有用戶身份登錄系統(tǒng)，除了可以查詢公共通訊錄外，還可以建立自己私人的通訊錄。員工需要電話呼叫同事或客戶時(shí)，只需要在“企業(yè)統(tǒng)一通信錄”上找出呼叫對(duì)象，點(diǎn)擊后，雙方聽到電話振鈴后摘機(jī)便可開始對(duì)話。

該應(yīng)用革新了企業(yè)的通信管理概念，避免了傳統(tǒng)電話通信中找號(hào)碼、撥電話的麻煩，解決了企業(yè)傳統(tǒng)通信錄在更新、管理過程中容易泄密的問題。

4、郵件自動(dòng)呼叫應(yīng)用

將企業(yè)的郵件系統(tǒng)集成自動(dòng)呼叫功能，員工在閱讀郵件的時(shí)候，只需點(diǎn)擊郵件相關(guān)人員，系統(tǒng)就可在該員工和相關(guān)人員之間建立語音連接，甚至可同時(shí)連接多方電話，組成電話會(huì)議共同討論郵件內(nèi)容。

該應(yīng)用的顯著特點(diǎn)是提高業(yè)務(wù)處理效率。員工不必翻查通信錄，直接點(diǎn)擊相關(guān)聯(lián)系人即可快速解決問題。

5、電話會(huì)議應(yīng)用。

系統(tǒng)提供基于Web的電話會(huì)議系統(tǒng)，該系統(tǒng)以功能模塊方式集成在軟交換服務(wù)器中，不需要額外添加電話會(huì)議設(shè)備。

利用此套電話會(huì)議系統(tǒng)可方便的召開跨部門、跨地區(qū)會(huì)議，而無需占用會(huì)議室、無需長(zhǎng)途旅行費(fèi)用開支、無需向運(yùn)營(yíng)商支付通訊費(fèi)用。

此外，針對(duì)黑龍江人壽目前應(yīng)用的PLOYCOM和AVCON視頻會(huì)議系統(tǒng)，VOIP通信系統(tǒng)也可以通過三種方式實(shí)現(xiàn)其價(jià)值：

第一種，由于PLOYCOM能夠提供模擬接口，所以VOIP系統(tǒng)可通過語音網(wǎng)關(guān)的模擬接口與之對(duì)接，作為VOIP系統(tǒng)的任何一部分機(jī)都可以加入視頻會(huì)議系統(tǒng)（只有語音）；

第二種，通過PLOYCOM和AVCON視頻會(huì)議系統(tǒng)的媒體服務(wù)器所提供的標(biāo)準(zhǔn)H.323協(xié)議，與VOIP系統(tǒng)互聯(lián)也可加入視頻會(huì)議系統(tǒng)（只有語音）。

第三種，由于視頻會(huì)議系統(tǒng)價(jià)格昂貴，在部署時(shí)只是有針對(duì)性的部署在重點(diǎn)地市。而相對(duì)來講VOIP通信系統(tǒng)所提供的電話會(huì)議成本低、部署廣，可以作為視頻電話會(huì)議系統(tǒng)的一個(gè)有效補(bǔ)充。

6、網(wǎng)絡(luò)安全。

1、號(hào)碼認(rèn)證體系。我們的系統(tǒng)提供了嚴(yán)格的號(hào)碼認(rèn)證體系，除了針對(duì)用戶名、密碼進(jìn)行認(rèn)證外，還可以針對(duì)對(duì)方的IP地址進(jìn)行認(rèn)證。

2、加密體系。我們的系統(tǒng)有一套非常完善的加密措施來保證通話安全。

3、跨網(wǎng)間通話質(zhì)量保證。我們的系統(tǒng)有措施確保在不同網(wǎng)絡(luò)運(yùn)營(yíng)商之間通話質(zhì)量良好。

7、電話錄音功能。

保險(xiǎn)行業(yè)通常有一些業(yè)務(wù)是需要錄音的，比如電話回訪，目的是保證回訪員的工作質(zhì)量；此外對(duì)于一些催款部門，電話錄音也可以作為催款參考憑據(jù)。我們的系統(tǒng)可以方便實(shí)現(xiàn)這種應(yīng)用，軟交換服務(wù)器錄音后可保存當(dāng)本地硬盤。服務(wù)器上安裝數(shù)據(jù)庫工具，可以實(shí)現(xiàn)對(duì)錄音文件的查詢管理。如果錄音文件過大，還可以設(shè)置定期將錄音文件傳送到公司其它存儲(chǔ)設(shè)備上。

8、“幫助單系統(tǒng)”自動(dòng)呼叫應(yīng)用。

給IT部門的“幫助單系統(tǒng)”集成自動(dòng)呼叫功能，當(dāng)IT部門員工收到“幫助請(qǐng)求單”后，可以直接點(diǎn)擊幫助請(qǐng)求人，系統(tǒng)將自動(dòng)呼叫并接通對(duì)方電話。

9、IT部門專用Call Center 該應(yīng)用利用軟交換服務(wù)器集成的多級(jí)可編程IVR功能，可以把企業(yè)IT應(yīng)用系統(tǒng)的故障幫助請(qǐng)求分門別類，分別引導(dǎo)；企業(yè)員工只需要撥打IT部門公布的服務(wù)號(hào)碼（VOIP號(hào)碼），其呼叫請(qǐng)求即被引導(dǎo)、轉(zhuǎn)接到合適的IT服務(wù)坐席或語音錄音。通過“IT部門專用Call Center”應(yīng)用，可以將各地市人壽分公司的IT部門員工都納入到統(tǒng)一的服務(wù)體系，實(shí)現(xiàn)多中心聯(lián)網(wǎng)服務(wù)，形成網(wǎng)絡(luò)服務(wù)的優(yōu)勢(shì)。

該應(yīng)用無需特別的設(shè)備投資，卻可以充分利用各地區(qū)的IT人力資源，給企業(yè)創(chuàng)造更多的服務(wù)價(jià)值，體現(xiàn)IT部門高效、完美的服務(wù)形象。

此外，我們系統(tǒng)即將推出高智能終端，可以通過液晶觸摸屏實(shí)現(xiàn)通訊錄查找、自動(dòng)呼叫、電話錄音等功能。這些功能在H323系統(tǒng)中是不容易實(shí)現(xiàn)的。

第三篇：NAT個(gè)人學(xué)習(xí)總結(jié)

個(gè)人學(xué)習(xí)總結(jié)---NAT

1、NAT本原理

NAT即網(wǎng)絡(luò)地址轉(zhuǎn)換，最初是由RFC1631(目前已由RFC3022替代)定義，用于私有地址向公有地址的轉(zhuǎn)換，以解決公有IP地址短缺的問題。后來隨著NAT技術(shù)的發(fā)展及應(yīng)用的不斷深入，NAT更被證明是一項(xiàng)非常有用的技術(shù)，可用于多種用途，如：提供了單向隔離，具有很好的安全特性；可用于目標(biāo)地址的映射，使公有地址可訪問配置私有地址的服務(wù)器；另外還可用于服務(wù)器的負(fù)載均衡和地址復(fù)用等。

NAT分為源NAT和目的NAT。源NAT是基于源地址的NAT，可細(xì)分為動(dòng)態(tài)NAT、PAT和靜態(tài)NAT。動(dòng)態(tài)NAT和PAT是一種單向的針對(duì)源地址的映射，主要用于內(nèi)網(wǎng)訪問外網(wǎng)，減少公有地址的數(shù)目，隱藏內(nèi)部地址。動(dòng)態(tài)NAT指動(dòng)態(tài)地將源地址轉(zhuǎn)換映射到一個(gè)相對(duì)較小的地址池中，對(duì)于同一個(gè)源IP，不同的連接可能映射到地址池中不同的地址；PAT是指將所有源地址都映射到同一個(gè)地址上，通過端口的映射實(shí)現(xiàn)不同連接的區(qū)分，實(shí)現(xiàn)公網(wǎng)地址的共享。靜態(tài)NAT是一種一對(duì)一的雙向地址映射，主要用于內(nèi)部服務(wù)器向外提供服務(wù)的情況。在這種情況下，內(nèi)部服務(wù)器可以主動(dòng)訪問外部，外部也可以主動(dòng)訪問這臺(tái)服務(wù)器，相當(dāng)于在內(nèi)、外網(wǎng)之間建立了一條雙向通道。

基于目標(biāo)地址的NAT，我們稱為目的NAT，可分為目標(biāo)地址映射、目標(biāo)端口映射、服務(wù)器負(fù)載均衡等。基于目標(biāo)地址的NAT也稱為反向NAT或地址映射。目的NAT是一種單向的針對(duì)目標(biāo)地址的映射，主要用于內(nèi)部服務(wù)器向外部提供服務(wù)的情況，它與靜態(tài)NAT的區(qū)別在于它是單向的。外部可以主動(dòng)訪問內(nèi)部，內(nèi)部卻不可以主動(dòng)訪問外部。另外，可使用目的NAT實(shí)現(xiàn)負(fù)載均衡的功能，即可以將一個(gè)目標(biāo)地址轉(zhuǎn)換為多個(gè)內(nèi)部服務(wù)器地址。也可以通過端口的映射將不同的端口映射到不同的機(jī)器上。另外，掌握NAT的基本原理之后，NAT不僅僅可用于公有地址和私有地址之間的轉(zhuǎn)換，還可用于公有地址與公有地址之間、私有地址與私有地址之間的轉(zhuǎn)換。

2、Nat功能

NAT不僅能解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。1.寬帶分享：這是 NAT 主機(jī)的最大功能。

2.安全防護(hù)：NAT 之內(nèi)的 PC 聯(lián)機(jī)到 Internet 上面時(shí)，他所顯示的 IP 是 NAT 主機(jī)的公共 IP，所以 Client 端的 PC 當(dāng)然就具有一定程度的安全了，外界在進(jìn)行 portscan（端口掃描）的時(shí)候，就偵測(cè)不到源Client 端的 PC。

3、Nat的分類

系統(tǒng)中把NAT的配置分為： 源地址轉(zhuǎn)換（Source）、目的地址轉(zhuǎn)換（Destination）及靜態(tài)地址轉(zhuǎn)換（Static）三種類型。

每條NAT規(guī)則都是和某個(gè)特定的接口關(guān)聯(lián)的，需要注意的是，源地址轉(zhuǎn)換是在離開接口時(shí)進(jìn)行轉(zhuǎn)換的，目的地址轉(zhuǎn)換是在進(jìn)入接口時(shí)進(jìn)行轉(zhuǎn)換的，所以配置源地址轉(zhuǎn)換的時(shí)候必須和對(duì)應(yīng)的出接口關(guān)聯(lián)，而配置目的地址轉(zhuǎn)換的時(shí)候需要和對(duì)應(yīng)的入接口關(guān)聯(lián)。

內(nèi)網(wǎng)環(huán)境：PC1----ge0/1口 外網(wǎng)環(huán)境：PC2----ge0/7口

外部地址：需要轉(zhuǎn)換的外部地址：101.1.1.101 內(nèi)部地址：需要轉(zhuǎn)換的內(nèi)部地址：100.1.1.77 內(nèi)部接口：和內(nèi)部網(wǎng)絡(luò)連接的接口名 ge0/1 外部接口：和外部網(wǎng)絡(luò)相連的接口名ge0/7 3.1 源NAT：

源地址轉(zhuǎn)換是一種單向的針對(duì)源地址的映射，主要用于內(nèi)網(wǎng)訪問外網(wǎng)，減少公有地址的數(shù)目，隱藏內(nèi)部地址。

ips# show ip nat source

ip nat source ge0/7 yuanip mudi any interface enable log 1

ips#

PC1和PC2進(jìn)行通信，在內(nèi)網(wǎng)主機(jī)PC1上顯示，源IP為：100.1.1.77，目的IP為101.1.1.101 報(bào)文的處理流程：接口收包，交三層處理，然后對(duì)其查路由，找到下一跳出接口，在出接口檢查是否做源地址轉(zhuǎn)換。如果要做源地址轉(zhuǎn)換，查NAT表，檢查nat表中是否有對(duì)應(yīng)的轉(zhuǎn)換條目，如果有，做轉(zhuǎn)換；如果沒有，從設(shè)置的全局地址中找要轉(zhuǎn)換的地址，對(duì)源地址做轉(zhuǎn)換。轉(zhuǎn)換后，重新封裝報(bào)文，交下層處理，將報(bào)文從出接口轉(zhuǎn)發(fā)。

在外網(wǎng)主機(jī)上面顯示源IP為：101.1.1.1，目的IP為101.1.1.101

內(nèi)部客戶機(jī)向外部網(wǎng)絡(luò)發(fā)送一個(gè)請(qǐng)求時(shí)，本來源地址是100.1.1.77，而目標(biāo)地址應(yīng)該是101.1.1.101。但經(jīng)過源NAT的轉(zhuǎn)換之后，源地址就變成了101.1.1.1，目標(biāo)地址仍會(huì)是101.1.1.101。

反過來，外部網(wǎng)絡(luò)會(huì)回應(yīng)我們的請(qǐng)求，那么這時(shí)源地址將會(huì)是101.1.1.101，目標(biāo)地址是101.1.1.1。同樣地，IPS會(huì)處理這一請(qǐng)求，變成了源地址是101.1.1.1，目標(biāo)地址是101.1.1.101。

實(shí)際上，網(wǎng)絡(luò)中數(shù)據(jù)的傳輸總是雙向的，那么IPS會(huì)同時(shí)轉(zhuǎn)換請(qǐng)求與應(yīng)答設(shè)備的源地址，以達(dá)到路由目的。

3.2 目的NAT 目的地址轉(zhuǎn)換根據(jù)應(yīng)用場(chǎng)不同，可以分為以下三種： 服務(wù)器地址、端口映射：實(shí)現(xiàn)外網(wǎng)地址和內(nèi)部地址的單向映射或同時(shí)實(shí)現(xiàn)轉(zhuǎn)換端口；

服務(wù)器業(yè)務(wù)分流：根據(jù)訪問的業(yè)務(wù)不同，系統(tǒng)把目的地址轉(zhuǎn)換為內(nèi)部不同的服務(wù)器地址；

服務(wù)器負(fù)載分擔(dān)：把一個(gè)外部IP映射到內(nèi)部的一個(gè)地址池中，即一到多的映射功能；

接口映射：根據(jù)外網(wǎng)出接口的IP自動(dòng)更改目的NAT規(guī)則，主要用于PPPoE等撥號(hào)上網(wǎng)獲得動(dòng)態(tài)IP的情況。配置目的nat

ips# show ip nat destination ip nat destination ge0/1 yuan d any f enable log 1 ips# PC1和PC2進(jìn)行通信，在內(nèi)網(wǎng)主機(jī)PC1上顯示，源IP為：100.1.1.77，目的IP為100.1.1.1 報(bào)文的處理流程：接口收包，在入接口檢查是否做目的地址轉(zhuǎn)換。如果要做目的地址轉(zhuǎn)換，查NAT表，檢查nat表中是否有對(duì)應(yīng)的轉(zhuǎn)換條目，如果有，做轉(zhuǎn)換；如果沒有，從設(shè)置的全局地址中找要轉(zhuǎn)換的地址，對(duì)目的地址做轉(zhuǎn)換。轉(zhuǎn)換后，重新封裝報(bào)文，交下層處理，將報(bào)文從出接口轉(zhuǎn)發(fā)。

內(nèi)部客戶機(jī)向外部網(wǎng)絡(luò)發(fā)送一個(gè)請(qǐng)求時(shí)，本來目的地址是100.1.1.77，而目標(biāo)地址應(yīng)該是100.1.1.1。但經(jīng)過目的NAT的轉(zhuǎn)換之后，目的地址就變成了101.1.1.101，源地址仍會(huì)是100.1.1.77。3.3靜態(tài)NAT 靜態(tài)地址轉(zhuǎn)換是一對(duì)一的雙向地址映射。在這種情況下，被映射的內(nèi)部主機(jī)可以主動(dòng)訪問外部，外部也可以主動(dòng)訪問這臺(tái)內(nèi)部主機(jī)，相當(dāng)于在內(nèi)、外網(wǎng)之間建立了一條雙向通道。

外部地址：需要轉(zhuǎn)換的外部地址。101.1.1.102 內(nèi)部地址：需要轉(zhuǎn)換的內(nèi)部地址。100.1.1.77 外部接口：和外部網(wǎng)絡(luò)相連的接口名。ge0/7

ips# show ip nat static ip nat static ge0/7 100.1.1.77 101.1.1.102 enable log 1 ips#

PC1和PC2進(jìn)行通信，在內(nèi)網(wǎng)主機(jī)PC1上顯示，源IP為：100.1.1.77，目的IP為101.1.1.101

在外網(wǎng)主機(jī)PC2上抓包顯示，源IP已經(jīng)變?yōu)椋?01.1.1.102。

4、NAT的意義

1，環(huán)境ip資源的緊缺

2，通過nat的使用，可以很好的隱藏內(nèi)網(wǎng)的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，避免來自外網(wǎng)的攻擊，保護(hù)內(nèi)網(wǎng)的安全。

3，當(dāng)兩個(gè)使用相同的私網(wǎng)網(wǎng)段的私網(wǎng)進(jìn)行互通時(shí)，可以解決地址重疊的問題

4，當(dāng)內(nèi)網(wǎng)存在多個(gè)服務(wù)器時(shí)，可以將外網(wǎng)對(duì)服務(wù)器的訪問映射到不同的服務(wù)器上面，這樣可以達(dá)到負(fù)載分擔(dān)的效果。

5、問題補(bǔ)充

5.1我們的設(shè)備端口映射在哪里配置

端口映射配置在目的NAT。目標(biāo)端口映射是目的NAT的一種?；谀繕?biāo)地址的NAT也稱為反向NAT或地址映射。目的NAT是一種單向的針對(duì)目標(biāo)地址的映射，主要用于內(nèi)部服務(wù)器向外部提供服務(wù)的情況。外部可以主動(dòng)訪問內(nèi)部，內(nèi)部卻不可以主動(dòng)訪問外部。另外，可使用目的NAT實(shí)現(xiàn)負(fù)載均衡的功能，即可以將一個(gè)目標(biāo)地址轉(zhuǎn)換為多個(gè)內(nèi)部服務(wù)器地址。也可以通過端口的映射將不同的端口映射到不同的機(jī)器上。

PC1（client）-------------------IPS-------------------PC2（server）100.1.1.77

100.1.1.1

101.1.1.1

101.1.1.101 在PC2創(chuàng)建http server，端口號(hào)設(shè)置成1234

配置目的地址轉(zhuǎn)換，源ip為100.1.1.77 目的ip為100.1.1.1 轉(zhuǎn)換之后的ip為101.1.1.101，轉(zhuǎn)換后的端口配置成1234

在PC1上面的瀏覽器上面訪問http://100.1.1.1:4444 若目的NAT不配置端口轉(zhuǎn)換是無法訪問成功的 配置之后可訪問成功

在PC1上面抓包，查看端口是原來的端口

經(jīng)過IPS的目的地址轉(zhuǎn)換，轉(zhuǎn)換之后的端口號(hào)變成了1234 在server上面抓包觀察報(bào)文如下;

5.2為什么源NAT不支持端口映射？

端口映射是基于目的NAT生效，轉(zhuǎn)換端口之后才能正常訪問server。假如源NAT配置了端口映射，本身client的源端口號(hào)在訪問server的時(shí)候是不關(guān)心的，所以源端口號(hào)轉(zhuǎn)換不轉(zhuǎn)換對(duì)server是沒有任何意義的。

5.3Http和ftp在經(jīng)過NAT時(shí)有沒有區(qū)別？如果有，區(qū)別在哪里？

FTP客戶端的報(bào)文經(jīng)過了路由器NAT之后，服務(wù)器端看到的報(bào)文的客戶端的報(bào)文的IP源地址和端口都已經(jīng)被改變了，當(dāng)然對(duì)于控制連接來說這沒有影響，因?yàn)橛芯W(wǎng)關(guān)或者路由器的NAT模塊在中間做管理，但是對(duì)于正要通過控制連接建立的數(shù)據(jù)連接就有問題了，因?yàn)镹AT改變的僅僅是IP報(bào)文頭，而對(duì)于因?yàn)閳?bào)文中PORT命令中包含的地址和端口信息沒有做任何改動(dòng)，這樣服務(wù)器是無法和一個(gè)內(nèi)部地址建立連接的，所以這個(gè)時(shí)候就出現(xiàn)了ALG這個(gè)功能。ALG就是在發(fā)現(xiàn)如果報(bào)文頭做了NAT，在這個(gè)時(shí)候如果發(fā)現(xiàn)這個(gè)是一個(gè)FTP的連接的時(shí)候，就需要同時(shí)改變PORT命令中的地址和端口。HTTP在經(jīng)過NAT網(wǎng)關(guān)時(shí)只需要使用普通的NAT轉(zhuǎn)換處理，但是對(duì)于FTP，由于FTP在應(yīng)用層中攜帶了IP地址或端口等信息，因此需要ALG的幫助才能正常穿越NAT網(wǎng)關(guān)。FTP協(xié)議PORT模式的FTP在經(jīng)過NAT時(shí)需要ALG的處理，因此NAT網(wǎng)關(guān)需要關(guān)注用戶的每一個(gè)FTP命令，并識(shí)別需要進(jìn)行ALG處理的命令，進(jìn)行相應(yīng)的ALG處理

第四篇：Juniper Netscreen NAT簡(jiǎn)單總結(jié)

Juniper Netscreen NAT簡(jiǎn)單總結(jié)

1、源網(wǎng)絡(luò)地址轉(zhuǎn)換

執(zhí)行源網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT-src)時(shí)，安全設(shè)備將初始源 IP 地址轉(zhuǎn)換成不同的地址。已轉(zhuǎn)換地址可以來自動(dòng)態(tài) IP(DIP)池或安全設(shè)備的出口接口。如果從 DIP 池中提取已轉(zhuǎn)換的地址，安全設(shè)備可以隨機(jī)提取或提取明確的地址，也就是說，既可以從DIP 池中隨機(jī)提取地址，也可以持續(xù)提取與初始源 IP 地址有關(guān)的特定地址?？梢耘渲冒踩O(shè)備，在接口級(jí)或策略級(jí)應(yīng)用 NAT-src。如果配置策略以應(yīng)用 NAT-src，且入口接口處于 NAT 模式下，則基于策略的 NAT-src 設(shè)置會(huì)覆蓋基于接口的 NAT。基于策略的NAT-SRC優(yōu)先級(jí)高于接口級(jí)的NAT-src。

2、目標(biāo)網(wǎng)絡(luò)地址轉(zhuǎn)換

基于策略的 NAT-dst:

MIP：MIP的地址轉(zhuǎn)換雙向執(zhí)行，因此安全設(shè)備可以將到達(dá) MIP 地址的所有信息流中的目標(biāo)

IP 地址轉(zhuǎn)換成主機(jī) IP 地址，并將主機(jī) IP 地址發(fā)出的所有信息流中的源 IP 地址轉(zhuǎn)

換成 MIP 地址。

VIP：是從一個(gè) IP 地址到基于目標(biāo)端口號(hào)的另一個(gè) IP 地址的映射。在同一子網(wǎng)中定義為接口的單個(gè) IP 地址可以托管從若干服務(wù)(使用不同的目標(biāo)端口號(hào)標(biāo)識(shí))到同樣多主機(jī)的映射。VIP 還支持端口映射。與 MIP 不同，VIP的地址轉(zhuǎn)換將單向執(zhí)行。安全設(shè)備可以將到達(dá)VIP 地址的所有信息流中的目標(biāo) IP地址轉(zhuǎn)換成主機(jī) IP 地址。

ScreenOS 不支持同時(shí)將基于策略的 NAT-dst 與 MIP、VIP 配合使用。如果您配置了 MIP 或 VIP，安全設(shè)備會(huì)在應(yīng)用了基于策略的 NAT-dst 的任何信息流上應(yīng)用MIP 或 VIP。換言之，如果安全設(shè)備偶然將 MIP 和 VIP 應(yīng)用于同一信息流，則MIP 和 VIP 將禁用基于策略的 NAT-dst。感覺是MIP，VIP優(yōu)先級(jí)高于基于策略的NAT-DST。

雖然 MIP 和 VIP 的地址轉(zhuǎn)換機(jī)制是雙向的，但基于策略的 NAT-src 和 NAT-dst 能夠?qū)⑷胝竞统稣拘畔⒘鞯牡刂忿D(zhuǎn)換分開，以提供較好的控制與安全性能。基于策略的 NAT-src 和 NAT-dst 各提供一種單一方法，加起來可以取代基于接口的 MIP 和 VIP 功能，而且超過了后者。這一點(diǎn)太重要了，也就是在Netscreen可以用基于策略的NAT-src，NAT-dst實(shí)現(xiàn)所有的NAT功能，而且安全性、靈活性、控制粒度都優(yōu)于其他方法。

Comment:

1、個(gè)人從不讓接口工作在NAT模式，不論是trust, untrust zone,還是DMZ Zone的接口都工作在route mode。

2、對(duì)于轉(zhuǎn)換的IP地址，一定要檢查是否存在該IP的路由。

eg 把trust zone的一臺(tái)服務(wù)器 10.180.0.25 對(duì)外發(fā)布為 59.42.5x.6x, 除了配置相應(yīng)的NAT策略外，還一定 要添加路由59.42.5x.6x/32

set vrouter trust-vr route 59.42.5x.6x/32 interface ethernet13、在工作中嘗試用基于策略NAT-src,NAT-dst完成所有的NAT

第五篇：SIP點(diǎn)滴工作經(jīng)驗(yàn)和教訓(xùn)總結(jié)

(2013-09-10)3650SHHXHelbakoNingbo Huaxiang ElectronicCo.LtdBillliu)

今天幫bill liu做很簡(jiǎn)單的tender submission receipt，為下午的開標(biāo)會(huì)議做準(zhǔn)備，一共四家總包，被邀請(qǐng)投標(biāo)，其實(shí)這個(gè)receipt是個(gè)很簡(jiǎn)單的事情，但是今天做的很不好，主要體現(xiàn)在1，字體格式要統(tǒng)一，整體協(xié)調(diào)。

2、office辦公操作需要加快速度和準(zhǔn)確性。

3、做receipt時(shí)對(duì)contactor的資料閱讀不仔細(xì)，把投標(biāo)人的縮寫寫錯(cuò)，以后一定要加強(qiáng)相關(guān)資料的閱讀能力，做到耐心細(xì)心，膽大心細(xì)。

4、對(duì)word中頁腳的修改也是個(gè)大問題今天，自己只是在在頁面內(nèi)修改，保存后又恢復(fù)原來樣子，應(yīng)該另存修改文件名，然后再頁腳處更新。

5、時(shí)間表示錯(cuò)誤，下午一點(diǎn)半寫成13:30pm，pm只適用于十二小時(shí)制，所以應(yīng)該為1:30pm。好糟糕的一天，必須吸取教訓(xùn)。

文件掃描：流程性操作，及時(shí)沒用過，只要按步驟來很簡(jiǎn)單的，要增強(qiáng)新事物的動(dòng)手能力。

(2013-09-11)3650 SHHXHelbakoGC tenderproject teamand organizations)

今天做的這個(gè)team and organization 其實(shí)就是信息的匯總整合和分析，本身難度不大，但是對(duì)投標(biāo)者的標(biāo)書的內(nèi)容理解要透徹，專業(yè)，分析需要客觀，并且需要滲透到標(biāo)書內(nèi)容的精髓，分辨出施工單位的質(zhì)量，這個(gè)需要有專業(yè)性的素質(zhì)，尤其是對(duì)施工單位的組織結(jié)構(gòu)的理解要透徹。

(2013-09-12)3650 SHHXHelbako

今天好囧，word中cell插入多條斜線頭一開始竟然不會(huì)，由于版本問題，這個(gè)word表格菜單下沒有插入多條斜線頭的按鈕，用畫圖的直線用具只能畫一條，最后得出只能用insert中的shape中的line命令，這些都是很簡(jiǎn)單也最常用的，其實(shí)在一個(gè)正規(guī)的外企中辦公，office，ps，autocad等軟件的嫻熟運(yùn)用是最好的能展現(xiàn)職業(yè)能力和素養(yǎng)的方式，工程經(jīng)驗(yàn)和知識(shí)的展現(xiàn)需要一個(gè)長(zhǎng)期的on-going的積累過程，但是這些職業(yè)能力將直接展現(xiàn)你的辦公效率，昨天幫bill做那個(gè)tender submission receipt 出現(xiàn)的那么多錯(cuò)誤，給別人的印象真的比較差，這個(gè)是個(gè)警示，希望利用周末時(shí)間要快速的提高，這個(gè)是基礎(chǔ)，也將主導(dǎo)人脈和工作事物的資源導(dǎo)向性，好好把握，像張輝哥哥說的那樣，可以犯錯(cuò)但是同樣的錯(cuò)誤絕對(duì)不犯第二次，bill liu那個(gè)submission receipt犯了四次，真的要好好反思。