SDWAN方案中STUN技术的实现

如何知道是客户端：由设备上启用的功能决定（如启用NAT穿越的VPN），功能模块内置或调用STUN客户端逻辑

在SDWAN方案中，STUN（Session Traversal Utilities for NAT）技术用于探测NAT类型并获取公网映射地址和端口，以支持CPE设备之间建立直接隧道。

关于您的问题：“CPE设备是如何知道自己是STUN客户端并主动向STUN Server发起消息的，且分支设备没有配置？”

答案如下：

CPE设备在出厂或部署时，通常已预置了STUN客户端功能及其相关配置策略。这些策略可能通过以下方式实现：

1. **零配置上线（Zero-Touch Provisioning, ZTP）**：CPE设备首次上线时，通过DHCP、DNS或公网可解析的域名等方式，自动获取控制器（如RR）的地址信息。系统根据预定义策略识别自身角色为“分支CPE”，并自动启用STUN客户端功能。

2. **集中策略下发**：在SDWAN架构中，RR（或控制器）会向CPE设备下发配置策略，明确指示其启用STUN功能，并指定STUN服务器的IP地址和端口（通常RR自身也作为STUN服务器运行）。

3. **内置逻辑识别角色**：CPE设备根据其在网络中的部署位置（如位于私网边缘、使用私有IP地址等）和系统角色判断，自动启用NAT探测机制，包括启动STUN客户端流程。

因此，虽然分支设备现场无需手动配置，但其“作为STUN客户端”的行为是由**预置功能、集中管理策略或自动化配置机制**决定的。设备上线后，依据策略自动向指定的STUN服务器发起第一个Binding Request消息，启动NAT探测流程。

总结：CPE设备通过预置逻辑或集中下发策略识别自身角色，自动启用STUN客户端功能，并主动向STUN服务器发起探测，无需现场手工配置。

STUN采用C/S模式，由STUN客户端（STUN Client）和STUN服务器（STUN Server）组成，典型组网如图1-1所示。

·     STUN客户端：是一个发送STUN捆绑请求和接受STUN捆绑响应的设备。

·     STUN服务器：是一个发送STUN捆绑响应和接受STUN捆绑请求的设备。STUN服务器通常部署在公网上。

图1-1 STUN典型组网

STUN客户端和STUN服务器通过交互如下类型的协议报文，探测NAT转换后的IP地址和端口号，以及NAT类型。

STUN客户端和STUN服务器交互的协议报文类型包括如下两种：

·     Binding Request：捆绑请求。

·     Binding Response：捆绑响应。