NAT穿透技术、穿透原理和方法详解

本文源自网络，仅作技术学习交流分享。若存在侵权，请联系删除。今天我们来探讨一下网络地址翻译技术中的NAT技术。

一、NAT技术的定义

NAT，即网络地址翻译技术，它的核心功能是将内部私有IP地址转换成可以在公网上使用的公网IP地址。想象一下，当你的设备需要从内部网络连接到外部网络时，NAT技术就起到了至关重要的作用。

二、NAT技术的诞生原因

我国公网IP地址资源紧张，NAT技术的出现正是为了解决这个问题。它使得有限的公网IP地址能够满足更多设备的需求。

三、NAT技术的分类

1. 基础型NAT：仅仅将内网主机的私有IP地址转换为公网IP地址，不涉及TCP/UDP端口的转换。分为静态NAT和动态NAT两种。

2. NAPT（网络地址端口转换）：除了转换IP地址，还会转换IP数据报的TCP/UDP端口。下面我们来详细了解一下其中的锥型NAT。

锥型NAT：

完全锥型NAT：想象一下，内网中的主机A和B都连接到服务器C。服务器C会记住它们的公网地址和NAT分配的端口号，并共享这些信息。这意味着A和B的通信孔可以向任何主机开放。例如，一个私网主机发送的所有请求都会映射到一个公网地址，同时这个私网主机可以接收任何发送到该公网地址的数据报文。

受限制锥型NAT：主机A和B需要建立连接并互相分享地址信息。它们通常只能与服务器通信，但可以通过特定步骤直接通信。例如，主机A发送一个UDP消息到主机B的公网地址，并通过服务器C发送一个邀请信息给主机B。一旦新的UDP会话建立，A和B就可以直接通信了。

端口受限锥型NAT：与受限制锥型NAT类似，但还需要指定端口号。

还有对称NAT（Symmetric NAT），它为每个请求分配一个独特的端口。与之相对的是非对称NAT（Cone NAT），多个请求可以共享一个端口。

四、NAT技术的安全系数

对称型NAT的安全系数最高，其次是端口受限锥型NAT、受限锥型NAT和全锥型NAT。这些差异反映了它们在处理网络请求时的不同方式和安全特性。

五、网络打洞

2.2 打洞流程详解

网络拓扑的不同，NAT（网络地址转换）打洞的方法和流程也会有所区别。让我们一步步深入理解这一过程。

2.2.1 在同一NAT设备下的打洞流程

当Client A与Server S建立UDP连接时，公共NAT（如155.99.25.11）会为Client A分配一个独特的公网端口，比如62000。同样，当Client B与Server S连接时，它会被分配另一个公网端口，如62005。

当Client A想要与Client B建立连接时，它通过Server S发送一个请求。Server S会回应，提供B的公网和私网地址，并同时转发A的地址信息给B。接下来，A和B会尝试直接发送UDP数据报文。这一步骤的成功与否，取决于NAT设备是否支持“hairpin translation”（端口回流）。这一功能的作用相当于，来自Client A的数据经过NAT设备转发后才能到达Client B，这就像数据从外网NAT接口绕了一个圈再回到同一个子网里的Client B。虽然这样的路径增加了数据传输的复杂性，但它也能有效防止内部攻击。

2.2.2 不同NAT设备下的挑战与解决方案

当Client A使用4321端口与Server S连接时，NAT会为这次会话在公网中分配一个如62000的端口。Client B也会经过类似的流程，获得一个不同的外网地址端口。

在注册过程中，Client A的私有地址（如10.0.0.1:4321）会被Server S保存。S会为A分配一个临时的公网地址（如155.99.25.11:62000）。类似的，Client B也会注册其地址并获得一个临时的公网地址。

接下来是打洞的过程。Client A发送请求消息，希望与B建立连接。Server S会回应，提供B的内网和外网地址给A，同时向B发送A的地址信息。然后，A和B开始尝试直接发送UDP报文给对方。但由于A和B分别处于不同的私有网络，且之前没有直接对话过，这个过程并不顺利。具体来说，A需要在其NAT私有网络上“打洞”，为新的识别地址（如10.0.0.1:4321和138.76.29.7:31000）建立UDP会话。这个过程的首个报文可能会被拒绝，然后才能正常通信。如果A发送到B的公网地址的消息在B的NAT之前到达，那么B的NAT可能会将A的消息解释为未请求通信量并丢弃它。同理，B也需要进行类似的“打洞”过程。之后，它们就可以正常进行P2P通信了。

2.2.3 多层NAT下的复杂情形

NAT C是一个由ISP部署的大型工业NAT设备，用于将多个客户的多路复用映射到几个公共IP地址上。当Client A和Client B想要进行P2P通信时，由于它们属于NAT C的局域网地址，只能通过hairpin translation进行通信。如果NAT C不支持这一功能，那么它们的P2P通信会变得非常困难。每个客户机都会像之前那样启动到服务器S的连接，引发各自的公共/私有转化会话。然后NAT C会为每个会话建立公共/私有翻译。例如：session A-S（18.181.0.31:1234 10.0.1.1:45000）和session B-S（18.181.0.31:1234 10.0.1.2:5500）。整个过程相当复杂，需要所有设备的协同工作才能实现顺畅的通信。Client A向Client B的公网地址（155.99.25.11:62005）发送了一条消息。

接着，NAT A接收到这条消息，并将原数据报文从10.0.0.1:4321端口翻译后发送到10.0.0.1:45000端口。数据报随后到达了NAT C，它识别出这条数据报的目标地址是它自己的公共地址之一。

如果NAT C状态良好，它将能够解析出数据报文的源地址（即Client A的NAT转换后的地址）和目标地址（即Client B的NAT转换后的地址），并通过“回环”将数据包返回到私有网络。接着，NAT B对数据包进行再次翻译，最终将数据报文送达Client B。

Client B接收消息后，以类似的流程回应Client A。

接下来是“打洞组合”的部分。不同的NAT组合在打洞时的表现各不相同。一些组合能够实现打洞，而另一些则不能。例如，如果两个设备都是对称型NAT，那么它们就无法实现打洞。

在关联技术方面，ALG（应用程序级技术）能在应用层协议的通信过程中，对报文中的地址信息进行相应的NAT转换。UPnP则是一种让设备寻找可路由的公网IP地址的技术，以避开端口限制。STUN（简单UDP网络穿越）是一种常见的数据穿越方式。TURN（使用Relay NAT进行穿越）则是将所有数据交换都通过服务器完成，以避免NAT的阻碍。ICE（交互式连接建立）是对上述各种技术的综合应用，但这也增加了复杂性。

关于对称NAT设备的常见场景，它们常常出现在使用第三方宽带、移动互联网以及采用对称NAT的大公司路由器中。“打洞”过程会受到许多因素的影响，其中一点是对称NAT会以一种可预测的方式为连续的会话分配端口号，这可能会导致端口冲突。如果Client被分配到多个公网地址，也可能导致打洞失败。

最后推荐一家专业的IDC服务商——天下数据。他们专注于国内外服务器业务十几年，拥有多样化产品，适合外贸、网站、游戏等多种业务使用。如有需要，欢迎咨询客服400-638-8808或访问官网