本發明涉及一種利用STUN協議實現基于VXLAN隧道技術的NAT穿越處理的方法，包括以下步驟：(1)私網設備定時發送封裝在VXLAN報文里的STUN報文；(2)公網設備根據接收的報文里的ID信息匹配隧道，獲取對應的私網IP和端口信息，并與當前的公網IP和端口信息對應，并向私網設備回復STUN報文。采用了本發明的利用STUN協議實現基于VXLAN隧道技術的NAT穿越處理的方法，通過采用基于VXLAN和STUN的NAT穿越機制，可以解決SD?WAN大二層的互通場景中，中間存在NAT設備，私網CPE設備和公網POP設備之間無法通過VXLAN隧道連接的問題。

技術領域

本發明涉及網絡互聯領域，尤其涉及私網設備和公網設備連接領域，具體是指一種利用STUN協議實現基于VXLAN隧道技術的NAT穿越處理的方法。

背景技術

企業的分支機構和總部間一般通過租用ISP的Internet或專線互聯，來提供數據共享、E-MAIL,Web應用及視頻會議等服務。在ISP鏈路的選擇上，Internet鏈路帶寬成本低，但質量難以滿足高清視頻會議等QOS敏感型服務；專線帶寬成本高，用于帶寬密集型業務則會給企業帶來不必要的架設成本。綜合這兩者的特點，并考慮到網絡容災的風險，采用ISP多出口+專線，服務按需實時選擇的方式，可以更好在服務質量和網絡成本間達到平衡，實現客戶的核心利益。

業界現行的分支總部互聯方案，POP點一般采用封閉操作系統的嵌入式CPE設備，基本網絡連通和加解密功能已比較成熟。但業務選路常用靜態配置方式，在網絡質量實時變化時，對業務按需調整選路則力不從心，更多需要管理員進行事后人工干預。歸結其原因有如下幾條。

1、傳統CPE的業務識別和網絡監控能力薄弱，難以對選路決策進行支撐。

2、傳統CPE靜態配置，自主邏輯，缺少與編排系統協作能力，很難做全局性有效判斷。

3、傳統CPE型號眾多，命令和功能支持情況各異，缺少統一策略下發的基礎。

除了多出口等關鍵功能的短板外，傳統CPE的還存在開通周期過長(3個月)，新業務上線慢(軟硬件耦合開發周期長)，配置復雜(封閉，私有)等諸多問題。用戶不能根據自身的業務，對網絡進行靈活的定制。明顯制約了政企用戶的業務部署需求，增加了運維成本。在此背景下，SD-WAN應運而生。

SD-WAN(Software-defined WAN),通過利用虛擬化技術，應用級的策略和overlay網絡，可能還有on-site的CPE設備，能夠實現下面兩個目的：

1、綜合利用多條共有或私有鏈路，讓普通鏈路能夠達到專線的網絡質量，降低了流量成本，提高了帶寬。

2、根據現網情況及配置的策略，自動選擇最佳路徑，實現負載均衡，保證了網絡質量。

同時，技術的發展讓開通新的分支機構也非常簡單，通常只需要插上網線，應用就能夠自動“phone home”來獲取初始化配置，完成應用更新，系統初始化并建立與企業總部的鏈路。

SD-WAN中，通過Internet實現分支和總部的連接，通常是通過Overlay的隧道進行連接。這又分為兩種應用場景：

1、使用隧道做三層的Overlay的連接。傳統的技術方案是使用IPsec隧道。

2、使用隧道做二層的Overlay的連接。對于某些業務，需要大二層的互通，這時通常使用VXLAN隧道進行互聯。

在第二種場景中，分支和總部(或POP)間，通常會存在NAT設備，即分支設備的IP是私網IP，而總部(或POP)的IP是公網IP，中間通過NAT設備進行IP的轉換。由于VXLAN隧道技術不支持NAT穿越，公網設備無法得知私網設備經過NAT穿越后的公網IP和PORT，在這種情況下，公網設備無法封裝發給私網設備的VXLAN報文頭。