基于会话边界控制的SIP协议NAT穿越方法

针对现有NAT穿越方案中存在的问题,提出了一种基于SBC的SIP协议NAT穿越方案,通过对控制信息流和媒体流的同时中继实现NAT穿越.对SBC的系统架构进行了说明,详细分析了不同应用场景下的NAT穿越流程,并对该穿越方案进行了功能验证与性能测试.结果表明,与其他传统穿越方案相比,该方案能够在不更改任何网络配置和网络设备的前提下实现透明的NAT穿越,并解决了传统NAT穿越方案中的效率问题.     

在P2P网络环境下基于UDP协议穿越NAT的研究

随着IPV4地址逐步被用完,互联网转而使用NAT技术解决了的IP地址紧缺问题,但同时给P2P网络通信带了很大的困难.针对P2P网络中NAT穿越的问题,首先本文分析了NAT对P2P网络通信影响后,提出了几种穿越NAT的方法.其次运用UDP打洞技术使UDP协议来达到P2P网络穿越NAT.最后举例说明了UDP打洞技术的工作流程.结果证实UDP打洞技术可适用于P2P网络,可以很好地确保网络安全和鲁棒性.     

基于SSL VPN的NAT动态反向连接方案

提出了一种基于SSL VPN的NAT动态反向连接方案,通过利用SSL VPN能穿越NAT设备的特性,结合目前的NAT动态反向连接方案,将SSL VPN融入其中,实现了一种更优的NAT动态反向连接方案。SSL VPN的实现利用现有的开源软件OpenVPN,通过对实现流程的分析、系统安全性分析,证明了这种方案在目前网络环境下部署的可行性,以及这种方案的优点和实用价值。     

一种改进的STUN协议方案

在基于对STUN协议方案分析研究的基础上,本文提出一种更灵活的基于SIP的NAT穿越方案——S-STUN,该方案通过简化和改进现有协议STUN,实现了SIP对各类型NAT的穿越,解决了原STUN无法穿越对称型NAT的问题。     

TCP的NAT穿越技术研究

本文针对目前普遍使用的TCP穿越NAT方案NATBlaster存在的"要求选择适当的TTL值、要求NAT设备忽略ICMP错误、如果NAT设备有改变SYN包的序列号的不良行为特性,那么NATBlaster技术就将会失败"的问题,通过认真分析NAT技术及TCP穿越NAT技术的基本原理,再结合其他TCP穿越NAT技术的方法,提出一种新的TCP穿越技术,该穿越技术克服了NATBlaster存在的问题,提高了信息传输的成功率,很好的解决了TCP穿越NAT的问题。     

基于SIP的P2P NAT穿越解决方案

NAT设备的广泛使用限制了很多P2P应用软件的使用,能否顺利地穿透各种类型的NAT是P2P软件成功的重要因素。提出了P2P的NAT 穿越方法,借助于SIP协议,不仅能顺利地实现UDP的NAT穿越,同时也能实现TCP的NAT无缝穿透,SIP 服务器只应用在穿透之前,连接建立之后即可独立工作,效率高。在各种NAT的分类的基础上,介绍了使用SIP协议实现UDP的NAT穿越的方案,提出了基于SIP的TCP的NAT穿越方案。     

IPSec与NAT的冲突问题及其解决方案研究

分析了网络安全协议IPSec和网络地址转换协议NAT之间的冲突问题,并对IETF提出的现有UDP封装草案进行了改进,提出了一种新的封装格式,将主机自身的IP地址一同进行封装,以解决不兼容问题.从NAT网关内部发往NAT网关外部的数据包,在经过UDP解封装后,其源地址被更改为原始IP地址,因此目标主机的IP层以上各层将以原始地址为目的地址进行通信.利用改进后的UDP封装方案,实现了IPSec报文对NAT设备的透明穿越.该方案通过对IPSec协议的扩展,有效地支持了IPSec数据流传输路径中的NAT转换.     

IPSec与NAT协同工作的一种解决方案

Internet网络层安全协议IPSEC和网络地址协议NAT不兼容,这严重限制了IPSEC的应用范围.解决的方法必须是既能使IPSEC数据流穿越NAT,又不必修改路由器和NAT,部署方便.本文分析了现有解决方案的局限性,对IETF(因特网工程任务组)提出的基于UDP封装的IPSec穿越NAT方案进行了改进,提出了一种新的封装格式,即封装整个IPSec数据报,将主机自身的IP地址一同进行封装,经过UDP封装后,其源地址被更改为原始IP地址,保护了原始IP地址和端口号,了IPSec报文对NAT设备的透明穿越.该方案通过对IPSec协议的扩展,有效地支持了IPSec数据流传输路径中的NAT转换.     

基于Vocal的私网穿透的SBC(Session Border Controller)设计

随着技术的成熟，VoIP技术以更加迅猛的势头得到发展和普及，但是在这个过程中电不可避免的碰到一些困难和问题，VoIP应用如何穿越NAT的问题就是其中之一。VOCAL是完全摹于SIP的VoIP开放源代码方案。如何穿越NAT也是用VOCAL系统开发VoIP服务必须解决的问题。研究了NAT技术给VoIP服务带来的问题，并且就当前主流的NAT穿透方案进行探讨，然后在此基础上选择一个无须对现有设备进行任何改动的VOCAL系统穿越NAT方案——SBc。并以VO—CAL系统为对象，研究SBC在VOCAL系统中的设计。     

基于ICE方式多网络视频会议系统中SIP穿越NAT的研究与设计

作为下一代会话信令控制协议，SIP被得到广泛的应用，在视频会议系统的多网络背景下，参与会话的各成员之间具有良好的互通性极为重要，基于S／P的NAT穿越则是解决这个问题的关键．从系统实际出发，针对目前各种实现方案，阐述了基于ICE的NAT穿越方案，并得到了很好的实现．     

基于802.1x的认证技术在校园网中的应用

IEEE802．1x是基于端口的访问控制协议,802．1x的体系结构由申请者系统(Supplicant System)、认证者系统(Authenticator System)、认证服务器(Authentication Server)三部分组成,采用“可控端口”和“不可控端口”的逻辑功能,实现了认证与业务的分离,保证了网络传输的效率。结合本校校园网的实际情况,提出了在校园网改造中使用802．1x作为接入认证协议的网络拓扑方案。针对校园网中未授权用户盗用校园网资源的现象,分析了合法用户私自设置代理服务器或提供NAT服务的代理行为。根据代理服务器和NAT的工作原理提出了检测用户代理行为的途径,设计和实现了能够检测用户代理行为的802．1x客户端程序。     

A punching scheme for crossing NAT in end hopping

End hopping is one of the good methods to defend against network attack,but has problems with network address translation(NAT) because packets sent from an unknown endpoint would be dropped by NAT.To avoid the dropping of packets,we propose a punching scheme:a client sends a punching packet to create mapping rules in NAT,so that the packets from the server would be able to pass through effectively with such rules.In this paper,some preliminaries and definitions are provided for building the model of end hopping.Then we discuss the main reason of such packet dropping and specify all the failure situations based on the model.What’s more,we analyze how the punching scheme helps end hopping cross NAT.Finally,we validate the feasibility of this scheme with empirical results:if the client is behind a NAT and with punching scheme,the service rate increases to 100%.Therefore,our proposed scheme can greatly improve the performance of crossing NAT in end hopping with little security and computational overhead.     

一种NAT端口映射保持的自适应算法

本文通过对NAT的原理分析,针对在两台不同NAT设备后两个内网主机之间相互通信的问题提出了解决的基本思想,分析了UDP穿透NAT的基本原理,给出了简单又健壮性很好的UDP Hole Punching技术以实现NAT的穿越,并在最后提出一种NAT端口映射保持的自适应算法,解决了NAT中动态端口地址映射的保持问题。     

校园网IP地址管理中的几种策略与实现

主要叙述了校园网IP地址管理中用到的几种策略：VLAN技术、内部地址分配、双出口环境中代理服务器地址的设置和其中运用的策略路由技术以及由此扩展开的国际大流量主机的地址转换，并介绍了这些策略的实现方法．     

P2P时代中小ISP的应对

针对P2P类软件大量使用使NAT服务器面临巨大压力、直接造成网络质量下降甚至中断及中小ISP面临巨大的挑战的情况，提出了缓解乃至解决NAT服务器负载过重的方法。分析表明造成服务器负载过重的原因是NAT数目过多。要减少NAT数目有两个主要方法：一是对P2P用户分配静态公网IP地址；二是清除已有的NAT记录。     

浅谈P2P的NAT穿越

NAT设备的广泛使用限制了很多P2P应用软件的使用,能否顺利地穿透各种类型的NAT是P2P软件成功的重要因素。NAT设备很好地解决了IPv4的地址稀缺和网络安全等问题,因而被广泛应用。同时,也给P2P提出了新的难题,比如内网和外网使用2种不同的IP地址,而且很多NAT设备会过滤掉外部网络的IP包。如何在NAT环境中,实现P2P应用是学术界和工业界普遍关注的问题。     

校园网多ISP接入的设计与实现

在综合各ISP的性价比的条件下，通过利用网络地址翻译技术和基于源地址的策略路由技术，实现为校园网络用户既能充分利用CERNET网络资源，又能提供高速接入CHINANET的网络服务，从而合理有效的解决扩展网络出口带宽的问题。     

采用P4的数据平面NAT-DP技术方案

针对协议转换（network address translation protocol translation,NAT PT）技术服务于 IPv4和IPv6节点之间的通信,无法实现多协议节点之间的数据包通信,缺乏协议扩展功能的问题,提出一种基于P4的网络地址 可编程数据平面协议转换（network address translation programmable data plane protocol translation,NAT DP）技术方案。该方案运用可编程协议无关报文处理语言完成解析器、控制流和匹配动作表的定义,实现多协议数据包在数据平面的解析、协议转换与重组。实验结果表明,该技术方案可以有效解决NAT PT的协议扩展性问题,并使管理员在数据平面实现协议转换机制的可重配置。