NAT/FW穿越技术探讨及其比较

本论文分析了NAT/FW造成问题的原因,研究了目前现网所使用的各种NAT/FW穿越方案,总结了解决方案的基本思路,并对各个方案进行了系统的比较分析,可以为网络部署提供一定的参考和指导.     

基于SIP的多媒体业务穿越网络地址转换/防火墙研究与设计

研究了IETF关于NGN网络中会话业务穿透NAT技术的各种草案,结合网络的实际情况,对目前SIP业务开展可以使用的几种NAT穿越技术和方案进行了比较,提出了一种结合SIP协议扩展和MIDCOM协议构架的方法,解决了由于传统NAT/FW设备不支持SIP协议,而造成的私网内SIP终端同Internet上的SIP终端之间业务无法互通问题.通过用SIP信令建立的语音会话仿真表明,该方法具有可行性和有效性.     

基于会话边界控制的SIP协议NAT穿越方法

针对现有NAT穿越方案中存在的问题,提出了一种基于SBC的SIP协议NAT穿越方案,通过对控制信息流和媒体流的同时中继实现NAT穿越.对SBC的系统架构进行了说明,详细分析了不同应用场景下的NAT穿越流程,并对该穿越方案进行了功能验证与性能测试.结果表明,与其他传统穿越方案相比,该方案能够在不更改任何网络配置和网络设备的前提下实现透明的NAT穿越,并解决了传统NAT穿越方案中的效率问题.     

Voip通讯中的NAT穿透问题及一个基于代理转发的解决方案

分析了NAT穿透问题产生的原因,并提出了一种基于SIP协议的NAT穿透解决方案.该方案通过修改中转的SIP消息的媒体信息,使终端将媒体信息发送到Proxy处转发,从而实现了防火墙穿透.     

对SIP NAT问题解决方案的介绍与分析

SIP作为下一代网络中的会话信令控制协议被广泛的得到应用,但是SIP在IP地址匮乏的IPv4网络中遇到的一个实际问题就是如何穿越NAT.本文将从NAT分类入手,分析SIP穿越NAT的问题,介绍目前出现的多种基于SIP的NAT穿越解决方案,列举出技术特点与适用范围,以及对它们进行分析比较.     

IPSec与NAT协同工作的一种解决方案

Internet网络层安全协议IPSEC和网络地址协议NAT不兼容,这严重限制了IPSEC的应用范围.解决的方法必须是既能使IPSEC数据流穿越NAT,又不必修改路由器和NAT,部署方便.本文分析了现有解决方案的局限性,对IETF(因特网工程任务组)提出的基于UDP封装的IPSec穿越NAT方案进行了改进,提出了一种新的封装格式,即封装整个IPSec数据报,将主机自身的IP地址一同进行封装,经过UDP封装后,其源地址被更改为原始IP地址,保护了原始IP地址和端口号,了IPSec报文对NAT设备的透明穿越.该方案通过对IPSec协议的扩展,有效地支持了IPSec数据流传输路径中的NAT转换.     

TCP的NAT穿越技术研究

本文针对目前普遍使用的TCP穿越NAT方案NATBlaster存在的"要求选择适当的TTL值、要求NAT设备忽略ICMP错误、如果NAT设备有改变SYN包的序列号的不良行为特性,那么NATBlaster技术就将会失败"的问题,通过认真分析NAT技术及TCP穿越NAT技术的基本原理,再结合其他TCP穿越NAT技术的方法,提出一种新的TCP穿越技术,该穿越技术克服了NATBlaster存在的问题,提高了信息传输的成功率,很好的解决了TCP穿越NAT的问题。     

在P2P网络环境下基于UDP协议穿越NAT的研究

随着IPV4地址逐步被用完,互联网转而使用NAT技术解决了的IP地址紧缺问题,但同时给P2P网络通信带了很大的困难.针对P2P网络中NAT穿越的问题,首先本文分析了NAT对P2P网络通信影响后,提出了几种穿越NAT的方法.其次运用UDP打洞技术使UDP协议来达到P2P网络穿越NAT.最后举例说明了UDP打洞技术的工作流程.结果证实UDP打洞技术可适用于P2P网络,可以很好地确保网络安全和鲁棒性.     

基于SIP的P2P NAT穿越解决方案

NAT设备的广泛使用限制了很多P2P应用软件的使用,能否顺利地穿透各种类型的NAT是P2P软件成功的重要因素。提出了P2P的NAT 穿越方法,借助于SIP协议,不仅能顺利地实现UDP的NAT穿越,同时也能实现TCP的NAT无缝穿透,SIP 服务器只应用在穿透之前,连接建立之后即可独立工作,效率高。在各种NAT的分类的基础上,介绍了使用SIP协议实现UDP的NAT穿越的方案,提出了基于SIP的TCP的NAT穿越方案。     

DHT网络中一种TCP穿越NAT机制

针对现有的NAT穿透方案或者扩展性不好,或者未采用标准的协议栈,或者对移动性支持较差的问题,提出了一种新的TCP穿越非对称型NAT的机制网络地址转换的TCP穿越(NatTT).利用公网的代理服务器为准备接受TCP连接的位于NAT之后的节点服务.发起TCP连接的节点和接收TCP连接的节点通过代理服务器进行协商,而在NAT上建立了双方都了解的通道.通过这一通道以成功实现TCP的连接.测试结果表明这一方法是有效的.     

基于SSL VPN的NAT动态反向连接方案

提出了一种基于SSL VPN的NAT动态反向连接方案,通过利用SSL VPN能穿越NAT设备的特性,结合目前的NAT动态反向连接方案,将SSL VPN融入其中,实现了一种更优的NAT动态反向连接方案。SSL VPN的实现利用现有的开源软件OpenVPN,通过对实现流程的分析、系统安全性分析,证明了这种方案在目前网络环境下部署的可行性,以及这种方案的优点和实用价值。     

A punching scheme for crossing NAT in end hopping

End hopping is one of the good methods to defend against network attack,but has problems with network address translation(NAT) because packets sent from an unknown endpoint would be dropped by NAT.To avoid the dropping of packets,we propose a punching scheme:a client sends a punching packet to create mapping rules in NAT,so that the packets from the server would be able to pass through effectively with such rules.In this paper,some preliminaries and definitions are provided for building the model of end hopping.Then we discuss the main reason of such packet dropping and specify all the failure situations based on the model.What’s more,we analyze how the punching scheme helps end hopping cross NAT.Finally,we validate the feasibility of this scheme with empirical results:if the client is behind a NAT and with punching scheme,the service rate increases to 100%.Therefore,our proposed scheme can greatly improve the performance of crossing NAT in end hopping with little security and computational overhead.     

校园网中代理服务器和NAT设备的监控与防范

在校园网中私设代理服务和NAT服务的问题长期困扰着网络管理人员,一直没有一个高效、全局的技术方案对上述问题进行有效遏制. 为此,介绍了通过端口扫描及流量分析方法对代理服务器或NAT设备进行检测定位的技术思路,提出了Session控制的方法对代理和NAT服务进行防范,并在北京大学校园网千兆出口处实际采用,取得了较好的控制效果.     

基于邮件协议的NAT穿越远程升级与控制系统

提出了一种新的实现网络地址转换(NAT)穿越的方案:利用邮件服务器的POP3和SMTP协议传递相关IP地址和端口等信息,并通过"打洞"技术,实现客户端和设备结点之间的UDP连接.相比于利用程序服务器进行"打洞"从而实现NAT穿越的方案,该方案运营成本更低,系统稳定性更高,系统可移植性更强.基于该NAT穿越方案,结合多设备结点、多种网络环境的情况,引入固件升级模块,设计与实现了一个物联网智能设备的远程升级和控制系统,并对系统的稳健性进行了探讨.     

Lawsonite-bearing eclogites in the north Qilian and north Altyn Tagh： Evidence for cold subduction of oceanic crust

Laboratory experiments and thermal models predic that lawsonite-bearing eclogite should be the dominan rock types for typical oceanic subduction zone[1,2] However, eclogite containing unaltered lawsonite is rare in nature and has been described only from …     

基于802.1x的认证技术在校园网中的应用

IEEE802．1x是基于端口的访问控制协议,802．1x的体系结构由申请者系统(Supplicant System)、认证者系统(Authenticator System)、认证服务器(Authentication Server)三部分组成,采用“可控端口”和“不可控端口”的逻辑功能,实现了认证与业务的分离,保证了网络传输的效率。结合本校校园网的实际情况,提出了在校园网改造中使用802．1x作为接入认证协议的网络拓扑方案。针对校园网中未授权用户盗用校园网资源的现象,分析了合法用户私自设置代理服务器或提供NAT服务的代理行为。根据代理服务器和NAT的工作原理提出了检测用户代理行为的途径,设计和实现了能够检测用户代理行为的802．1x客户端程序。