Технологии решения проблем, связанных с использованием NAT

Для решения проблем взаимодействия посредством NAT используются различные технологии:

• · STUN — набор средств для прохождения сессий через NAT, в том числе реализующих алгоритм определения типа [4].
• · TURN — средства для обхода NAT на основе транслирующих серверов [6].
• · ICE — техника интерактивной установки соединения STUN или TURN [2].
• · Teredo — туннелирование ipv6 UDP трафика через NAT.

STUN — сетевой протокол для прохождения сессий через NAT, позволяющий клиенту определить свой внешний ip-адрес, способ трансляции адреса и порт во внешней сети, связанный с определённым внутренним номером порта, а также реализующий алгоритм определения типа NAT [4].

На данный момент существует два варианта протокола: первый вариант стандарта (Classic STUN) и текущий вариант стандарта (STUN). Classic STUN предлагает алгоритм определения типа NAT и позволяет определять внешний ip адрес и порт, которые привязываются локальному узлу NAT транслятором. Использование STUN подразумевает, что есть некий сервер, реализующий данный протокол, который имеет два публично доступных ip адреса.

Следует учитывать, что в таком режиме могут быть пройдены только различные варианты конического NAT. Симметричный NAT обладает другими характеристиками фильтрации пакетов и способами привязки ip адреса и порта, что не позволяет использовать полученные внешний ip адрес и порт, так как-либо при обращении к сервису он будет другой, либо пакеты от сервиса не будут переданы клиенту. Для решения описанной проблемы необходимо использовать технологии TURN для обхода NAT на основе транслирующего сервера, который будет непосредственного взаимодействовать с клиентом. При этом сам транслирующий сервер имеет внешний ip адрес и далее дополнительных трансляций адресов не выполняется. TURN позволяет узлу за NAT получать входящие данные через TCP или UDP соединения и предназначен для решения ситуаций, которые возникают в случае использования NAT, привязывающих ip адреса и порты в зависимости от ip адреса адресата, или от ip адреса и порта адресата. Схема сети, в которой осуществляется взаимодействие TURN, представлена на рисунке 2.

Рисунок 2 — Схема сети TURN.

Взаимодействие в сети TURN осуществляется по определенному алгоритму. Клиент инициирует создание передающего адреса и в дальнейшем управляет этой привязкой. Если адресат хочет отправить некоторые данные клиенту, то он отправляет их на передающий адрес, а затем TURN сервер передает их в виде TURN пакета клиенту. Взаимодействие возможно с несколькими адресатами одновременно через один передающий адрес, индикация адресата задается в TURN пакете. За счет того, что ip адрес и порт TURN сервера, с которыми осуществляется взаимодействие, являются фиксированными, способ привязки ip адреса и порта, а также фильтрация трафика перестают оказывать негативное влияние на передачу данных.

Таким образом, использование TURN позволяет избежать проблем, возникающих при использовании NAT, привязывающих ip адреса и порты в зависимости от ip адреса адресата, либо от ip адреса и порта адресата. На данный момент TURN считается включенным в STUN, как один из способов прохода NAT. Рекомендуется использовать TURN только, как крайнюю меру, в случае, когда использование STUN не позволяет осуществить передачу данных, использование TURN во всех случаях передачи данных приводит к тому, что весь трафик взаимодействия между узлами начинает проходить через TURN сервер. Определить наиболее подходящий метод для конкретных условий передачи потоковых данных позволяет ICE протокол [2], который регламентирует механизм выбора между STUN или TURN.

Teredo изначально предназначался для передачи ipv6 пакетов по ipv4, однако может использоваться и самостоятельно. Данная технология осуществляет взаимодействия с NAT аналогичным STUN, отличие заключается в том, что используется привязка не ipv4 адреса, а ipv6 и взаимодействие осуществляется путем обертывание ipv6 пакета в ipv4 [1] рисунк 3.

Рисунок 3. Схема сети Teredo.

Недостатком метода Teredo является то, что он не позволяет работать с симметричным NAT. Узел, расположенный за симметричным NAT, будет иметь два разных адреса при взаимодействии с teredo реле и teredo сервером.

Альтернативным вариантом решения проблем, связанных с использованием NAT, является разработка самостоятельного решения, которое может быть интегрировано в сервис. Существенное отличие его от представленных выше вариантов заключается в том, что при обеспечении взаимодействия сервиса и конкретного ПО клиента можно добиться сокращения издержек, за счет мультиплексирования сигнальной информации и потоковых данных на одном ip адресе и порту, а также протокола для определения внешнего ip адреса и порта клиента. Благодаря такой парадигме может быть использована урезанная версия STUN, всего с одним ip адресом.

Выводы. В статье были рассмотрены различные типы NAT для передачи потоковых данных из локальных сетей, на основе взаимодействия пользователя и некоторого сервиса, обеспечивающего обработку потоковых данных. На основе сравнения различных вариантов стандартизованных технологий использования NAT был получен вывод, что полностью решить проблему прохождения NAT позволяет использование протокола ICE. Отмечено, что данный протокол является достаточно сложным в реализации, поэтому альтернативным способом является использование собственного способа для прохождения NAT, который позволит применить стандартизованных технологий в сокращенном варианте, при условии сохранении работоспособности сервиса.

Работа поддерживается Министерством образования и науки Российской Федерации, ГК 14.514.11.4012.