1、基礎知識
- 1.1、什么是NAT？
- 1.2、為什么會有NAT？
- 1.3、NAT有什么優缺點？
2、NAT的實現方式
- 2.1、靜態NAT
- 2.2、NAPT
3、NAT的主要類型
- 3.1、完全錐型NAT（Full Cone NAT，后面簡稱FC）
- 3.2、受限錐型NAT（Restricted Cone NAT）
- 3.3、端口受限型NAT（Port Restricted Cone NAT）
- 3.4、對稱型NAT（Symmetric NAT）
- 3.5、小結
6、NAT路由類型判斷
7、STUN協議介紹
- 7.1、STUN基本介紹
- 7.2、STUN的檢測過程
- 7.3、STUN協議的判斷過程

1、基礎知識

1.1、什么是NAT？

NAT（Network Address Translation，網絡地址轉換），也叫做網絡掩蔽或者IP掩蔽。NAT是一種網絡地址翻譯技術，主要是將內部的私有IP地址（private IP）轉換成可以在公網使用的公網IP（public IP）。

1.2、為什么會有NAT？

時光回到上個世紀80年代，當時的人們在設計網絡地址的時候，覺得再怎么樣也不會有超過32bits位長即2的32次冪臺終端設備連入互聯網，再加上增加ip的長度（即使是從4字節增到6字節）對當時設備的計算、存儲、傳輸成本也是相當巨大的。后來逐漸發現IP地址不夠用了，然后就NAT就誕生了！（雖然ipv6也是解決辦法，但始終普及不開來，而且未來到底ipv6夠不夠用仍是未知）。

因此，NAT技術能夠興起的原因還是因為在我們國家公網IP地址太少了，不夠用，所以才會采取這種地址轉換的策略。可見，NAT的本質就是讓一群機器公用同一個IP，這樣就暫時解決了IP短缺的問題。

1.3、NAT有什么優缺點？

優勢其實上面已經剛剛討論過了，根據定義，比較容易看出，NAT可以同時讓多個計算機同時聯網，并隱藏其內網IP，因此也增加了內網的網絡安全性；此外，NAT對來自外部的數據查看其NAT映射記錄，對沒有相應記錄的數據包進行拒絕，提高了網絡安全性。

那么，NAT與此同時也帶來一些弊端：首先是，NAT設備會對數據包進行編輯修改，這樣就降低了發送數據的效率；此外，各種協議的應用各有不同，有的協議是無法通過NAT的（不能通過NAT的協議還是蠻多的），這就需要通過穿透技術來解決。我們后面會重點討論穿透技術。

簡單的背景了解過后，下面介紹下NAT實現的主要方式，以及NAT都有哪些類型。

2、NAT的實現方式

2.1、靜態NAT

也就是靜態地址轉換。是指一個公網IP對應一個私有IP，是一對一的轉換，同時注意，這里只進行了IP轉換，而沒有進行端口的轉換。

舉個栗子：
在這里插入圖片描述

2.2、NAPT

端口多路復用技術。與靜態NAT的差別是，NAPT不但要轉換IP地址，還要進行傳輸層的端口轉換。具體的表現形式就是，對外只有一個公網IP，通過端口來區別不同私有IP主機的數據。

再舉個栗子：
在這里插入圖片描述
通過上面NAT實現方式的介紹，我們其實不難看出，現實環境中NAPT的應用顯然是更廣泛的。因此下面就重點介紹下NAPT的主要類型有哪些。

3、NAT的主要類型

對于NAPT我們主要分為兩大類：錐型NAT和對稱型NAT。其中錐型NAT又分：完全錐型，受限錐型和端口受限錐型。

概括的說：對稱型NAT是一個請求對應一個端口；錐型NAT（非對稱NAT）是多個請求（外部發向內部）對應一個端口，只要源IP端口不變，無論發往的目的IP是否相同，在NAT上都映射為同一個端口，形象的看起來就像錐子一樣。

下面分別介紹這四種類型及其差異。

3.1、完全錐型NAT（Full Cone NAT，后面簡稱FC）

特點：IP和端口都不受限。

表現形式：將來自內部同一個IP地址同一個端口號（IP_IN_A : PORT_IN_A）的主機監聽/請求，映射到公網IP某個端口（IP_OUT_B : PORT_OUT_B）的監聽。任意外部IP地址與端口對其自己公網的IP這個映射后的端口訪問（IP_OUT_B : PORT_OUT_B），都將重新定位到內部這個主機（IP_IN_A : PORT_IN_A）。該技術中，基于C/S架構的應用可以在任何一端發起連接。是不是很繞啊。再簡單一點的說，就是，只要客戶端，由內到外建立一個映射（NatIP:NatPort -> A1）之后，其他IP的主機B或端口A2都可以使用這個洞給客戶端發送數據。見下圖（圖片來自網絡）。
在這里插入圖片描述

3.2、受限錐型NAT（Restricted Cone NAT）

特點：IP受限，端口不受限。

表現形式：與完全錐形NAT不同的是，在公網映射端口后，并不允許所有IP進行對于該端口的訪問，要想通信必需內部主機對某個外部IP主機發起過連接，然后這個外部IP主機就可以與該內部主機通信了，但端口不做限制。舉個栗子。當客戶端由內到外建立映射(NatIP:NatPort –> A1)，A機器可以使用他的其他端口（P2）主動連接客戶端，但B機器則不被允許。因為IP受限啦，但是端口隨便。見下圖（綠色是允許通信，紅色是禁止通信）。
在這里插入圖片描述

3.3、端口受限型NAT（Port Restricted Cone NAT）

特點：IP和端口都受限。

表現形式：該技術與受限錐形NAT相比更為嚴格。除具有受限錐形NAT特性，對于回復主機的端口也有要求。也就是說：只有當內部主機曾經發送過報文給外部主機（假設其IP地址為A且端口為P1）之后，外部主機才能以公網IPORT中的信息作為目標地址和目標端口，向內部主機發送UDP報文，同時，其請求報文的IP必須是A，端口必須為P1（使用IP地址為A，端口為P2，或者IP地址為B，端口為P1都將通信失敗）。例子見下圖。這一要求進一步強化了對外部報文請求來源的限制，從而較Restrictd Cone更具安全性。
在這里插入圖片描述

3.4、對稱型NAT（Symmetric NAT）

特點：對每個外部主機或端口的會話都會映射為不同的端口（洞）。

表現形式：只有來自同一內部IPORT、且針對同一目標IPORT的請求才被NAT轉換至同一個公網（外部）IPORT，否則的話，NAT將為之分配一個新的外部（公網）IPORT。并且，只有曾經收到過內部主機請求的外部主機才能向內部主機發送數據包。內部主機用同一IP與同一端口與外部多IP通信。客戶端想和服務器A（IP_AORT_A）建立連接，是通過NAT映射為NatIP:NatPortA來進行的。而客戶端和服務器B（IP_BORT_B）建立連接，是通過NAT映射為NatIP:NatPortB來進行的。即同一個客戶端和不同的目標IP:PORT通信，經過NAT映射后的公網IP:PORT是不同的。此時，如果B想要和客戶端通信，也只能通過NatIP:NatPortB（也就是紫色的洞洞）來進行，而不能通過NatIP:NatPortA（也就是黃色的洞洞）。
在這里插入圖片描述

3.5、小結

以上，就是NAPT的四種NAT類型。可以看出從類型1至類型4，NAT的限制是越來越大的。

6、NAT路由類型判斷

根據上面的介紹，我們可以了解到，在實際的網絡情況中，各個設備所處的網絡環境是不同的。那么，如果這些設備想要進行通信，首先判斷出設備所處的網絡類型就是非常重要的一步。

舉個例子來說：對于IM中的實時音視頻功能和VoIP軟件，對位于不同NAT內部的主機通信需要靠服務器來轉發完成，這樣就會增加服務器的負擔。為了解決這種問題，要盡量使位于不同NAT內部的主機建立直接通信，其中，最重要的一點就是要判斷出NAT的類型，然后才能根據NAT的類型，設計出直接通信方案。不然的話，兩個都在NAT的終端怎么通信呢？我們不知道對方的內網IP，即使把消息發到對方的網關，然后呢？網關怎么知道這條消息給誰，而且誰允許網關這么做了？

為了解決這個問題，也就是處于內網的主機之間能夠穿越它們之間的NAT建立直接通信，已經提出了許多方法，STUN（Session Traversal Utilities for NAT，NAT會話穿越應用程序）技術就是其中比較重要的一種解決方法，并得到了廣泛的應用。在這個部分，我們將重點介紹下STUN技術的原理。（PS：除此之外，還有UPNP技術，ALG應用層網關識別技術，SBC會話邊界控制，ICE交互式連接建立，TURN中繼NAT穿越技術等等，本文不一一做介紹。）

7、STUN協議介紹

7.1、STUN基本介紹

STUN是一種網絡協議，它允許位于NAT（或多重NAT）后的客戶端找出自己的公網地址，查出自己位于哪種類型的NAT之后以及NAT為某一個本地端口所綁定的Internet端端口。這些信息被用來在兩個同時處于NAT路由器之后的主機之間建立UDP通信。該協議由RFC 5389定義。

STUN由三部分組成：

STUN客戶端；
STUN服務器端；
NAT路由器。

STUN服務端部署在一臺有著兩個公網IP的服務器上，大概的結構參考下圖。STUN客戶端通過向服務器端發送不同的消息類型，根據服務器端不同的響應來做出相應的判斷，一旦客戶端得知了Internet端的UDP端口，通信就可以開始了。
在這里插入圖片描述

7.2、STUN的檢測過程

STUN協議定義了三類測試過程來檢測NAT類型：

Test1：STUN Client通過端口{IP-C1:Port-C1}向STUN Server{IP-S1:Port-S1}發送一個Binding Request（沒有設置任何屬性）。STUN Server收到該請求后，通過端口{IP-S1:Port-S1}把它所看到的STUN Client的IP和端口{IP-M1,Port-M1}作為Binding Response的內容回送給STUN Client。
Test1#2：STUN Client通過端口{IP-C1:Port-C1}向STUN Server{IP-S2:Port-S2}發送一個Binding Request（沒有設置任何屬性）。STUN Server收到該請求后，通過端口{IP-S2:Port-S2}把它所看到的STUN Client的IP和端口{IP-M1#2,Port-M1#2}作為Binding Response的內容回送給STUN Client。
Test2：STUN Client通過端口{IP-C1:Port-C1}向STUN Server{IP-S1:Port-S1}發送一個Binding Request（設置了Change IP和Change Port屬性）。STUN Server收到該請求后，通過端口{IP-S2:Port-S2}把它所看到的STUN Client的IP和端口{IP-M2,Port-M2}作為Binding Response的內容回送給STUN Client。
Test3：STUN Client通過端口{IP-C1:Port-C1}向STUN Server{IP-S1:Port-S1}發送一個Binding Request（設置了Change Port屬性）。STUN Server收到該請求后，通過端口{IP-S1:Port-S2}把它所看到的STUN Client的IP和端口{IP-M3,Port-M3}作為Binding Response的內容回送給STUN Client。

STUN協議的輸出是：

1）公網IP和Port；
2）防火墻是否設置；
3）客戶端是否在NAT之后，及所處的NAT的類型。

因此我們進而整理出，通過STUN協議，我們可以檢測的類型一共有以下七種：

A：公開的互聯網IP：主機擁有公網IP，并且沒有防火墻，可自由與外部通信；
B：完全錐形NAT；
C：受限制錐形NAT；
D：端口受限制形NAT；
E：對稱型UDP防火墻：主機出口處沒有NAT設備,但有防火墻,且防火墻規則如下：從主機UDP端口A發出的數據包保持源地址，但只有從之前該主機發出包的目的IP/PORT發出到該主機端口A的包才能通過防火墻；
F：對稱型NAT；
G：防火墻限制UDP通信。

7.3、STUN協議的判斷過程

輸入和輸出準備好后，附上一張維基百科的流程圖，就可以描述STUN協議的判斷過程了。
在這里插入圖片描述
STEP1：檢測客戶端是否有能力進行UDP通信以及客戶端是否位于NAT后 – Test1
客戶端建立UDP socket，然后用這個socket向服務器的（IP-1，Port-1）發送數據包要求服務器返回客戶端的IP和Port，客戶端發送請求后立即開始接受數據包。重復幾次。
a）如果每次都超時收不到服務器的響應，則說明客戶端無法進行UDP通信，可能是：G防火墻阻止UDP通信；
b）如果能收到回應，則把服務器返回的客戶端的（IP:PORT）同（Local IP: Local Port）比較：

如果完全相同則客戶端不在NAT后，這樣的客戶端是：A具有公網IP可以直接監聽UDP端口接收數據進行通信或者E。
否則客戶端在NAT后要做進一步的NAT類型檢測（繼續）。

STEP2：檢測客戶端防火墻類型 – Test2
STUN客戶端向STUN服務器發送請求，要求服務器從其他IP和PORT向客戶端回復包：
a）收不到服務器從其他IP地址的回復，認為包前被前置防火墻阻斷，網絡類型為E；
b）收到則認為客戶端處在一個開放的網絡上，網絡類型為A。

STEP3：檢測客戶端NAT是否是FULL CONE NAT – Test2
客戶端建立UDP socket然后用這個socket向服務器的(IP-1,Port-1)發送數據包要求服務器用另一對(IP-2,Port-2)響應客戶端的請求往回發一個數據包，客戶端發送請求后立即開始接受數據包。重復這個過程若干次。
a）如果每次都超時，無法接受到服務器的回應，則說明客戶端的NAT不是一個Full Cone NAT，具體類型有待下一步檢測（繼續）；
b）如果能夠接受到服務器從(IP-2,Port-2)返回的應答UDP包，則說明客戶端是一個Full Cone NAT，這樣的客戶端能夠進行UDP-P2P通信。

STEP4：檢測客戶端NAT是否是SYMMETRIC NAT – Test1#2
客戶端建立UDP socket然后用這個socket向服務器的(IP-1,Port-1)發送數據包要求服務器返回客戶端的IP和Port, 客戶端發送請求后立即開始接受數據包。重復這個過程直到收到回應（一定能夠收到，因為第一步保證了這個客戶端可以進行UDP通信）。
用同樣的方法用一個socket向服務器的(IP-2,Port-2)發送數據包要求服務器返回客戶端的IP和Port。
比較上面兩個過程從服務器返回的客戶端(IP,Port),如果兩個過程返回的(IP,Port)有一對不同則說明客戶端為Symmetric NAT，這樣的客戶端無法進行UDP-P2P通信（檢測停止）因為對稱型NAT，每次連接端口都不一樣，所以無法知道對稱NAT的客戶端，下一次會用什么端口。否則是Restricted Cone NAT，是否為Port Restricted Cone NAT有待檢測（繼續）。

STEP5：檢測客戶端NAT是Restricted Cone 還是 Port Restricted Cone – Test3
客戶端建立UDP socket然后用這個socket向服務器的(IP-1,Port-1)發送數據包要求服務器用IP-1和一個不同于Port-1的端口發送一個UDP 數據包響應客戶端, 客戶端發送請求后立即開始接受數據包。重復這個過程若干次。如果每次都超時，無法接受到服務器的回應，則說明客戶端是一個Port Restricted Cone NAT，如果能夠收到服務器的響應則說明客戶端是一個Restricted Cone NAT。以上兩種NAT都可以進行UDP-P2P通信。

通過以上過程，至此，就可以分析和判斷出客戶端是否處于NAT之后，以及NAT的類型及其公網IP，以及判斷客戶端是否具備P2P通信的能力了。