大家好，欢迎来到IT知识分享网。

随着因特网规模的飞速发展，联网设备数量不断增加，地址空间大小只有2^32的IPv4地址正面临着枯竭，而作为下一代网络层协议的IPv6虽然拥有巨大的地址数量，但面对庞大的历史遗留问题也显得力不从心。在这种情况下，NAT（Network Address Translation，网络地址转换）技术应运而生。NAT的作用，是让多个拥有独立内网IP的设备，能够共用一个外网IP和外部进行通信。由于不同内网IP互不干涉，不同内网下的设备可以使用同一个内网IP，这样一来，IP地址的短缺现象就大大缓解了。

NAT基本原理和大致流程

NAT技术搭载在路由器上，通过修改经由该路由器转发的数据报来达到目的。众所周知，无论是TCP还是UDP传输协议，都涉及到四个属性：源地址、源端口、目标地址和目标端口。假设设备HostA要向设备HostB发送数据，它会把自己的地址，以及HostB的IP地址放入IP数据报的首部。在没有NAT存在的情况下，两个设备之间的路由器会根据这个首部信息和自身的路由表，将数据报转发向另一个更接近HostB的路由器，直至数据报最终到达HostB。在这个过程中，虽然数据报经过了多个路由器的转发，但它的IP数据报首部是不变的。
然而，使用了NAT技术的路由器（以下称它为Nat）会打破这个规则。Nat会把自己的管理的网段分为内外两侧，位于两侧的主机进行的一切通信都要经过N的转发。在每个外侧网段，Nat都需要一个全球唯一的外网IP地址，除非这个网段位于另一个NAT设备的内部网段，这种情况下，外网IP只需在该网段内唯一即可。而在内侧网段，所有主机，包括Nat自身的IP都可以任意决定，但为了避免和已有的外网IP冲突导致分不清内外侧的主机，一般都会是一些特殊格式，例如我们常见的“192.168.x.x”。
假设HostA位于Nat的内侧，那么在HostA第一次用自己的端口PortA向位于外部网段的HostB发送数据的时候，Nat首先会遵循传统路由器的行为，根据路由表找出HostB位于哪个外侧网段上。然后，它会在自身的内存中新建一对映射关系 (HostA, PortA) <-> (HostX, PortX)，其中 HostX 是Nat在对应外侧网段的IP地址，而 PortX 是为此关系动态分配的一个空闲端口。建立映射后，Nat会偷偷修改IP数据报的首部，把源地址从 HostA 改成 HostX，还会修改数据报的内容，把源端口从 PortA 改成 PortX（注意“端口”是传输层的概念，位于TCP或UDP数据包的首部，不属于IP数据报的首部）。最后，它又会像一个传统路由器那样，把数据报转发向下一跳路由器。这样一来，由于数据报的源地址和端口都被改成了Nat的，位于外侧网段的HostB不会意识到HostA的存在，而所有来自HostA的通信都像是由Nat发起的。于是，它会被“蒙在鼓里”，将属于Nat的 (HostX, PortX) 作为目标地址和目标端口来发送响应。Nat在收到响应后，会利用数据报中的 (HostX, PortX) 作为 key，从映射表中查找出 (HostA, PortA)，然后根据条目内容再一次修改数据报，把目的地址改成HostA，目的端口改成PortA，最后把数据报转发给内网的HostA。HostA也不会意识到Nat对这个数据报动的手脚，因为Nat只改动了目的地址，而没有改动源地址。在HostA看来，这个数据报的来源就是 (HostB, PortB)，没有任何异常之处。于是，它就高兴地接受了这个数据报。在后续的通信中，这个映射关系也会一直保留下去，直到一段时间没有使用后被Nat删除（这也是TCP长连接需要发送心跳包保活的主要原因）。
以上就是NAT的完整工作流程了。从上面的描述中可以看出，NAT是一种跨越网络层和传输层的，对通信双方和中间路由透明的外网地址复用手段。由于内网中的所有IP经NAT转换后，都只对应着一个由NAT设备持有，和它们毫不相干的外网IP，自然就不用考虑为每个内网设备分配一个在外网中唯一的IP了。

NAT的固有缺陷

俗话说“没有银弹”，看似美好的NAT技术也有着一个致命的缺陷：NAT内侧的设备无法作为连接的接受方，换句话说，不能作为服务器。理由很显然：在HostA没有主动向外侧发起连接的情况下，NAT设备中根本没有对应的映射关系，无论外网设备访问Nat的哪个端口，都没办法让Nat将数据转发给A，除非在Nat中手动配置一个静态的关系（家用路由器中的“端口映射”设置就是做这个的）。这个问题在传统的C/S模式下还没那么严重，因为服务器一般都有自己的公网IP；但在P2P网络中，每个主机都需要扮演服务器的角色，被动接受其他主机的连接。因此，NAT后的主机根本无法成为有效的P2P节点。例如，P2P下载速度在国内很慢的主要原因，就是国内的ISP大量使用了NAT技术，导致用户只能从他人处下载数据，而无法接受他人的下载请求，长久一来，其他下载者也不愿意向用户提供数据了。因此，人们对P2P应用的需求，催生了各种NAT穿透技术。

NAT类型

在讲解NAT穿透的各种方式前，首先有必要了解NAT的不同类型，以便 “逐个击破”。总的来说，NAT主要分为两大类：

• 锥型（Cone）
• 对称型（Symmetric）（D类）

其中锥形NAT还分为以下三个子类：

• 完全（Full）（A类）
• 地址受限型（Address Restricted）（B类）
• 端口受限型（Port Restricted）（C类）

习惯上，还可以用后面括号中的字母代指NAT类型。

锥型NAT vs 对称型NAT

锥型NAT和对称型NAT的主要区别，在于内部主机向不同的外部地址发送数据时，NAT设备的行为。下面我们假设Nat中已经存在了映射关系 (HostA, PortA) <-> (HostX, PortX)，而这个关系是HostA通过访问 (HostB, PortB) 建立的。

• 在锥型NAT中，只要HostA继续用PortA发送数据，不管发送给谁，这个数据的外网侧源端口都会被转换成PortX。
• 在对称型NAT中，只要 (HostB, PortB) 中的任意一项发生了变化，哪怕源端口依然是PortA，路由器也会建立一个新的映射关系，分配一个新的外网端口向这个目标进行转发。

用形式化的说法来总结的话，锥型NAT的映射函数是 (内网源IP, 源端口) <-> (外网IP, 外网端口)，而对称型NAT的映射函数是 (内网源IP, 源端口, 目标IP, 目标端口) <-> (外网IP, 外网端口)。显然，对称型NAT对内网设备的限制更大，穿透难度也更大。
此外，一个NAT设备在同一外网网段中还可能会拥有多个IP，在建立映射关系的过程中，NAT设备会根据实际的网络使用情况，从IP地址池中为每条映射关系分配一个合适的外网IP。为简略起见，在之后的讨论中，我们忽略外网IP的选择和后续路由过程，直接假设NAT设备只有唯一一个外网IP，也就是将映射右侧的 (HostX, PortX) 简化为 (PortX)。

锥型NAT的三个子类

锥型NAT三个子类的主要区别，在于外部主机向Nat上已经建立过映射关系的端口发送数据时，NAT设备的行为。下面我们依然假设存在映射关系 (HostA, PortA) <-> (PortX)，而这个关系是HostA通过访问 (HostB, PortB) 建立的。

• 在完全锥型NAT中，NAT设备会无条件将PortX收到的数据报转发给 (HostA, PortA)，不论数据报来自何处。
• 在地址受限型NAT中，只有来自HostB的数据报才会被转发，但不限制来自HostB的哪个端口。
• 在端口受限型NAT中，只有来自 (HostB, PortB) 的数据报才会被转发。
• 对称型NAT在这方面的行为和端口受限型NAT一致。
  可见，三个子类的限制依次加强，穿透难度也依次增加。

NAT穿透

首先给出（笔者个人）对NAT穿透的定义：一种在外网中继节点的帮助下，让两个位于各自NAT后的主机建立点对点连接的手段。从以上定义中可以看出：

• 只有通信双方都位于NAT后面时，才需要进行穿透。如果任意一方拥有外网地址，只需让该主机作为连接接受方，另一方作为连接发起方即可。
• NAT穿透必须有一个拥有外网IP的中继节点的帮助，但连接建立后发送的数据并不经过中继节点，否则就和流量转发没有区别了。

接下来，我们将通信双方的NAT类型分为三种情况，分别讨论对应的穿透手段。下面我们假设HostA和HostB之间要建立连接，它们所属的NAT设备分别为NatA（外网地址为 HostNA）和NatB（外网地址为 HostNB），中继节点为Relay。

双方都是ABC类NAT

这是最简单的情况，流程如下：

1. HostA通过端口PortA，向Relay发送一个数据报，用一个唯一的主机ID进行注册。Relay收到数据报后，可以提取出NatA的外网地址，以及NatA为此次连接新分配的端口号，表示为 (HostNA, PortNA)。
2. 当HostB希望向HostA发起连接时，首先要通过某种手段获取到HostA的主机ID（一般也是通过中继服务器），然后通过端口PortB，向Relay发出请求查询对应的 (HostNA, PortNA)。此时，NatB也会为HostB分配一个新的端口PortNB。Relay收到请求后，不仅向B返回数据，还会向HostA通知HostB的连接意图，并附带上NatB的对应信息 (HostNB, PortNB)。由于HostA刚刚在NatA上建立了和Relay的映射关系，这个消息可以成功到达HostA。
3. HostA通过和之前相同的端口PortA，向 (HostNB, PortNB) 发送一个数据报。由于NatB有可能是B类或C类，而HostA（在NatB看来是NatA）之前没有向NatB发送过任何数据，这个数据报不一定会被转发给HostB，但会在NatA上建立一条目的地址是 (HostNB, PortNB) 的映射关系，让所有来自 (HostNB, PortNB) 并且目的端口为 PortNA 的数据都能转发给 HostA 的 PortA。
4. HostB通过和之前相同的端口PortB，向 (HostNA, PortNA) 发出真正的连接请求。由于第2步中已经建立了PortB到PortNB的映射关系，这个请求在外网的源端口依旧会是PortNB。又由于第3步中HostA已经在NatA上建立了和 (HostNB, PortNB) 相关的映射关系，这个请求以及后续数据会成功地被NatA转发给HostA。
5. HostA向 (HostNB, PortNB) 发送回复。由于第4步中NatB上已建立好映射关系，回复以及后续数据会成功地被NatB转发给HostB。于是，连接成功建立。

注意：1、3、5步HostA发送信息使用的端口PortA必须是同一个，2、4步HostB的端口PortB也必须是同一个。原因留给大家自行思考，结合锥形NAT的定义就能很快得出答案。
第3步中HostA向NatB发送数据报的过程被形象地称为“打洞”，因为这个数据报虽然不一定被NatB所接受，却可以在NatA上开一个“洞”，来自NatB的后续数据都可以从“洞”里进来到达HostA。退一步来说，假设NatA是一个完全锥型NAT，甚至连打洞都不需要，HostB在第2步从Relay获取到 (HostNA, PortNA) 后，直接向该地址发送连接请求即可。

一方是D类NAT，另一方是AB类NAT

这种情况和上一种差不多，但“打洞”的一方必须是位于AB类NAT后的那方。具体流程和上面相同，只是要把AB类NAT后的一方看成HostA，另一方看成HostB即可。
为什么D类NAT不能打洞？这是因为在第3步中，就算HostA使用了和第1步相同的端口PortA，由于目的地址从Relay变成了HostNB，NatA也会建立一条新的映射关系，不会使用之前PortA对应的端口PortNA。如此一来，这个“洞”的信息除了NatA本人以外，没有任何人知道，HostB也就无从得知应该向NatA上的哪个端口发送数据，才能成功“进洞”到达HostA了。

一方是D类NAT，另一方是CD类NAT

不幸的是，这种情况下NAT穿透是不可行的，只能通过位于外网上的中继服务器来转发HostA和HostB之间的一切流量。
照理说，C类NAT也属于锥形，为何面对D类NAT时却不能成功打洞了？原因很简单，如果对面是D类NAT，就算在NatA上打了洞，第4步HostB发起连接时，就算使用和第2步相同的端口PortB，由于目标地址从Relay变为了HostNA，NatB也会建立一条新的映射关系，不会使用之前PortB对应的端口PortNB。这样一来，由于传入数据报的源端口和之前打洞时约定好的PortNB不同，“端口受限型”的NatA就会拒绝将数据转发给HostA，也就是“进不去洞”。假如NatA是AB类的话，只要传入数据报的源IP保持HostNB不变，数据就可以成功“进洞”。

NAT穿透相关协议

• 部署STUN协议的服务器可以检测用户的NAT类型，并且告知用户在公网上的IP地址。
• 部署TURN协议的服务器可以在无法穿透时转发用户的TCP和UDP流量。
• UPnP协议允许应用主动在（任何类型的）NAT上打洞，并且让这个洞的表现看起来像是完全锥型NAT。

这些协议的具体细节就不再详细叙述了，感兴趣的读者可以自行了解。