ALG 应用层网关讲解

用来替换应用层信息

Client1使用FTP主动模式建立FTP

主动模式：服务器收到客户端发来的请求FTP的地址和端口

服务器使用20端口直接向客户端建立FTP连接

如果没有开启ALG，使用Client1访问Server1（主动模式）

Client1告诉服务器自己的地址，服务器主动建立连接，此时连接建立失败

此时开启ALG，使用Client1访问Server1（主动模式）

AR1系统视图：nat alg all enable

Client1使用FTP被动模式建立FTP

被动模式：服务器告知客户端自己开启的FTP数据通道的IP地址和端口

然后由客户端主动向服务器发起连接

如果没有开启ALG，使用Client1访问Server1（被动模式）

服务器发给客户端的FTP数据通道的IP地址和端口是私网的，客户端访问不到

此时开启ALG，使用Client1访问Server1（被动模式）

AR2系统视图下：nat alg all enable

STUN讲解

NAT ALG的缺陷

NAT ALG需要读取协议报文内容，对于新的协议或者私有的协议，NAT ALG基本不支持，需要升级NAT ALG特性

此时就提出了STUN（NAT会话穿越应用程序）

NAT过滤方式

endpoint-dependent                      Port -Restricted Cone NAT（端口限制圆锥型）

与外部地址相关、端口无关的NAT过滤方式

endpoint-independent                     Full Cone NAT（完全圆锥型）

与外部地址和端口都无关的NAT过滤方式

endpoint-and-port-dependent      Restricted Cone NAT（限制圆锥型）

与外部地址和端口都有关的NAT过滤方式（缺省）

STUN如何实现

需要在NAT设备修改NAT过滤方式

通过STUN客户端和STUN服务端之间的报文交互，发现NAT设备的存在

确定NAT设备对某个私网所做转换后的IP地址和端口号

然后在设备经过Stun客户端时，就将其转后后的公网IP地址和端口填写入报文中

注意事项

绑定请求和绑定响应的信息如果不一样表示经过了NAT设备，一样表示没有经过NAT设备

STUN典型组网

STUN客户端一般部署在Edge站点，发送绑定请求和接收绑定响应

STUN客户端与STUN服务器进行报文交互后，发现NAT设备，然后STUN客户端之间建立好数据通道，此时站点之间就可以成功建立Overlay隧道