15. STUN协议和ICE工作原理

NET介绍

NAT是一种地址转换技术，它可以将IP数据报文头中的IP地址转换为另一个IP地址，并通过转换端口号达到地址重用的目的。
在大多数网络环境中，我们都需要通过 NAT 来访问 Internet。
NAT作为一种缓解IPv4公网地址枯竭的过渡技术，由于实现简单，得到了广泛应用。

NAT解决了什么问题？

随着网络应用的增多，IPv4地址枯竭的问题越来越严重。
尽管IPv6可以从根本上解决IPv4地址空间不足问题，但目前众多网络设备和网络应用大多是基于IPv4的；
因此，在IPv6广泛应用之前，使用一些过渡技术（如CIDR、私网地址等）是解决这个问题的主要方式，NAT就是这众多过渡技术中的一种。
当私网用户访问公网的报文到达网关设备后，如果网关设备上部署了NAT功能，设备会将收到的IP数据报文头中的IP地址转换为另一个IP地址，端口号转换为另一个端口号之后转发给公网。
在这个过程中，设备可以用同一个公网地址来转换多个私网用户发过来的报文，并通过端口号来区分不同的私网用户，从而达到地址复用的目的。
早期的NAT是指Basic NAT，Basic NAT在技术上实现比较简单，只支持地址转换，不支持端口转换。
因此，Basic NAT只能解决私网主机访问公网问题，无法解决IPv4地址短缺问题。
后期的NAT主要是指网络地址端口转换NAPT（Network Address Port Translation），NAPT既支持地址转换也支持端口转换，允许多台私网主机共享一个公网IP地址访问公网，因此NAPT才可以真正改善IP地址短缺问题。
在这里插入图片描述

NAT的实现方式（三种）

1、静态转换（Static Nat）
在这里插入图片描述
内部每台电脑一对一转换成公有IP地址，是固定不变得。相当于每一台电脑都绑定了一个ip地址，即使这个地址没有被使用，其他的电脑也不能拿来转换使用。一般是用于在内网中对外提供服务的特定设备的访问。
2、动态转换（Dynamic Nat）
在这里插入图片描述
是指内部每台电脑的IP地址转换为公有IP地址时，是动态的，不是固定的，随机分配。只要在这个IP资源池内，都可以随机使用。

3、端口多路复用（OverLoad）
是指改变外出数据包的源端口并进行端口转换，采用端口多路复用方式。也就是说，内部电脑都可以使用一个合法的IP地址实现对因特网的访问，可以节省大量的IP资源。目前使用最多的就是这种方式。
在这里插入图片描述

内容概述

在现实Internet网络环境中，大多数计算机主机都位于防火墙或NAT之后，只有少部分主机能够直接接入Internet。很多时候，我们希望网络中的两台主机能够直接进行通信，即所谓的P2P通信，而不需要其他公共服务器的中转。由于主机可能位于防火墙或NAT之后，在进行P2P通信之前，我们需要进行检测以确认它们之间能否进行P2P通信以及如何通信。这种技术通常称为NAT穿透（NAT Traversal）。最常见的NAT穿透是基于UDP的技术，如RFC3489中定义的STUN协议。

STUN，首先在RFC3489中定义，作为一个完整的NAT穿透解决方案，英文全称是Simple Traversal of UDP Through NATs，即简单的用UDP穿透NAT。

在新的RFC5389修订中把STUN协议定位于为穿透NAT提供工具，而不是一个完整的解决方案，英文全称是Session Traversal Utilities for NAT，即NAT会话穿透效用。RFC5389与RFC3489除了名称变化外，最大的区别是支持TCP穿透。

TURN，首先在RFC5766中定义，英文全称是Traversal Using Relays around NAT:Relay Extensions to Session Traversal Utilities for NAT，即使用中继穿透NAT:STUN的扩展。简单的说，TURN与STURN的共同点都是通过修改应用层中的私网地址达到NAT穿透的效果，异同点是TURN是通过两方通讯的“中间人”方式实现穿透。

ICE跟STUN和TURN不一样，ICE不是一种协议，而是一个框架（Framework），它整合了STUN和TURN。

STUN协议介绍

STUN(session traversal utilities for NAT),一种处理NAT传输的协议，即简单的用UDP穿透NAT，是个轻量级的协议，是基于UDP的完整的穿透NAT的解决方案，主要作为工具来服务其他协议。它允许位于NAT（或多重NAT后的客户端找出自己的公网地址，查出自己位于那种类型的NAT之后以及NAT为某一个本地端口所绑定的internet端口），这些信息被用来两个同时处于NAT路由器之后的主机之间建立UDP通信。目的就是找到外界连接内部地址所需的信息。

STUN存在的目的就是进行NAT穿越
STUN是典型的客户端/服务器模式。客户端发送请求，服务端进行响应。

STUN是一种Client/Server的协议，也是一种Request/Response的协议，默认端口号是3478。

STUN协议架构

1.请求/响应（request/response）类型，由客户端给服务器发送请求，并等待服务端返回响应，用于确定一个NAT给客户端分配的具体绑定。客户端通过事务ID将请求响应连接起来。
2.指示类型（indication transaction），由服务器或者客户端发送指示，另一方不产生响应，用于保持绑定的激活状态。事务ID通常作为debugging aid使用。

所有的STUN报文信息都包含有一个固定头部，包含了方法，类和事务ID。方法表示是具体哪一种传输类型。STUN中只定义了一种方法，即binding（绑定），其他方法可以由使用者自行扩展；Binding方法可以用于请求/响应类型和指示类型。

STUN基于客户机-服务器协议。如一个VoIP电话或者软件可能会包含一个STUN客户端。这个客户端向STUN服务器发送请求，之后，服务器就会向STUN客户端报告NAT路由器的公网IP地址以及NAT为允许传入流量传回内网而开通的端口。同时还使得STUN客户端能够确定正在使用的NAT类型——因为不同的NAT类型处理传入的UDP分组的方式不同。

STUN报文格式

包括20字节的STUN header
BODY中可以有0个或多个attribute

STUN header格式

在这里插入图片描述

最高两位：为0，在STUN协议与其他协议端口复用时，用于区分STUN和其他数据包，如RTP数据包。
STUN Message Type（16bits）：消息类型。定义消息类型如下：
0x0001:捆绑请求
0x0101:捆绑响应
0x0111:捆绑错误响应
0x0002:共享私密请求
0x0102:共享私密响应
0x0112:共享私密错误响应
Message Length:（16bits）,消息长度，不包含STUN Header的20个字节。所有的STUN属性都是20字节对齐的。
Magic Cookie：（32bits），固定值0x2112A442，用于反射地址的异或（XOR）运算。
Transaction ID：（96bits），事务ID标识符，请求对应的响应具有相同的标识符。

STUN Message Type

前两位必须是00，以区分复用同一端口时STUN协议
2位用于分类，即C0和C1
12位用于定义请求/指示

在这里插入图片描述
一共14位。C0和C1用于分类的。并且不是挨着的。

C1-C0两位表示类编码
0b00：request
0b01：indication
0b10：success response
0b11：error response
M11-M0表示方法
STUN目前定义了一个绑定方法，Binding方法可以用于请求/响应类型和指示类型。method=0b000000000001 (Binding)

大小端模式

大端模式:数据的高字节保存在内存的低地址中
就是比如说，15中10是高字节，保存在内存的低地址中
小端模式:数据的高字节保存在内存的高地址中
跟上面相反

网络字节顺序∶采用大端排序方式

然后对于Message Type
在这里插入图片描述
这个可以分成4段。

这个也符合低字节放在高地址。

Transaction ID

在这里插入图片描述

STUN Message Body

上面介绍了消息头，下面是消息体

消息头后有0或多个属性
每个属性进行TLV编码:Type, Length, Value

在这里插入图片描述

0x0014: REALM
0x0015:NONCE
0x0020:XOR-MAPPED-ADDRESS
0x8022:SOFTWARE
0X8023:ALTERNATE-SERVER
0X8024:FINGERPRINT
在ICE中，包含STUN中用到的几个属性，具体如下所示：
0x0024 PRIORITY
0x0025 USE-CANDIDATE
0x8029 ICE-CONTROLLED
0x802A ICE-CONTROLLING
6 和 7 是最关键的用于验证

接下来看看怎么使用的：
在这里插入图片描述

ICE框架

简介
ICE的全称Interactive Connectivity Establishment（互动式连接建立），由IETF的MMUSIC工作组开发出来的，它所提供的是一种框架，使各种NAT穿透技术可以实现统一。ICE跟STUN和TURN不一样，ICE不是一种协议，而是一个框架（Framework），它整合了STUN和TURN。

ICE ,Interactive Connectivity Establishment