NAT基本的技術(shù)原理和應(yīng)用

1概述

1.1簡介

1.1.1名詞解釋

公有IP地址：又稱全局地址，是指合法的IP地址，是由NIC(網(wǎng)絡(luò)信息中心)或ISP(網(wǎng)絡(luò)服務(wù)提供商)分配的地址代表一個或多個內(nèi)部地址，是全球統(tǒng)一的地址。

私有IP地址：又稱內(nèi)部地址，屬于非注冊地址，專門用于組織內(nèi)部。因特網(wǎng)分配編號委員會（IANA）保留了3塊IP地址為私有IP地址：

10.0.0.0———10.255.255.255

172.16.0.0———172.16.255.255

192.168.0.0———192.168.255.255

地址池:地址池有一些外部地址(世界上唯一的地址)IP地址)組合，我們稱這樣的地址為地址池。當內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包通過地址轉(zhuǎn)換到外部網(wǎng)絡(luò)時，將在地址池中選擇一個IP地址作為數(shù)據(jù)包的來源IP可以有效利用用戶的外部地址，提高訪問外部網(wǎng)絡(luò)的能力。

1.1.2關(guān)于NAT

NAT英文全稱是“NetworkAddressTranslation”，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個IETF(InternetEngineeringTaskForce,Internet工程任務(wù)組)標準，允許一個整體機構(gòu)使用公共機構(gòu)IP（InternetProtocol）地址出現(xiàn)在Internet上。顧名思義，它是一種內(nèi)部私人網(wǎng)絡(luò)地址（IP地址)翻譯成合法網(wǎng)絡(luò)IP如下圖所示。顧名思義，它是一種內(nèi)部私人網(wǎng)絡(luò)地址（IP地址)翻譯成合法網(wǎng)絡(luò)IP如下圖所示，地址技術(shù)。因此，我們可以認為，NAT能在一定程度上有效解決公網(wǎng)地址不足的問題。

簡單地說，NAT是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，當內(nèi)部節(jié)點與外部網(wǎng)絡(luò)通信時，將內(nèi)部地址替換為公共地址（可以理解為出口，如庭院門），以便在外部公共網(wǎng)絡(luò)中（internet）正常使用，NAT多臺計算機臺計算機Internet連接，這一功能很好地解決了公共IP地址短缺。通過這種方法，請一個合法的IP地址，將計算機連接到整個局域網(wǎng)Internet中。通過這種方法，請一個合法的IP地址，將計算機連接到整個局域網(wǎng)Internet中。這時，NAT屏蔽內(nèi)部網(wǎng)絡(luò)，所有內(nèi)部網(wǎng)絡(luò)計算機對公共網(wǎng)絡(luò)都是看不見的，內(nèi)部網(wǎng)絡(luò)計算機用戶通常不會意識到NAT的存在。如下圖所示。這里提到的內(nèi)部地址是指在內(nèi)部網(wǎng)絡(luò)中分配給節(jié)點的私有地址IP該地址只能用于內(nèi)部網(wǎng)絡(luò)，不能由路由轉(zhuǎn)發(fā)。

NAT路由器、防火墻通常集成功能ISDN路由器或單獨的NAT設(shè)備中。比如Cisco該功能已添加到路由器中，網(wǎng)絡(luò)管理員只需在路由器中IOS中設(shè)置NAT功能可以屏蔽內(nèi)部網(wǎng)絡(luò)。再比如防火墻WEBServer的內(nèi)部地址192.168.1.2021年映射外部地址.96.23.11，外部訪問202.96.23.11地址實際上就是訪問訪問192.168.1.1。此外，對于資金有限的小企業(yè)以通過軟件實現(xiàn)這一功能。Windows98SE、Windows這個功能包含在2000年。

NAT靜態(tài)有三種類型NAT(StaticNAT)、動態(tài)地址NAT(PooledNAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port-LevelNAT）。

1.2.1靜態(tài)NAT

手動設(shè)置Internet客戶的通信可以映射到特定的私人網(wǎng)絡(luò)地址和端口。如果要連接到Internet計算機可以在私人網(wǎng)絡(luò)上使用服務(wù)器（如網(wǎng)站服務(wù)器）和應(yīng)用程序（如游戲），因此靜態(tài)映射是必要的。靜態(tài)映射不會從NAT刪除轉(zhuǎn)換表。
如果在NAT轉(zhuǎn)換表中存在某個映射，那么NAT只是單向Internet將數(shù)據(jù)傳輸?shù)剿接芯W(wǎng)絡(luò)。NAT它在一定程度上保護了連接到私有網(wǎng)絡(luò)部分的計算機。但是，如果考慮的話Internet的安全性，NAT配合全功能防火墻使用。

對于上述網(wǎng)絡(luò)拓撲圖，當內(nèi)網(wǎng)主機10.1.1.如果201年想與外網(wǎng)主機合作.0.0.通信時，主機（IP：10.1.1.1)當數(shù)據(jù)包通過路由器時，路由器通過搜索NATtable將IP數(shù)據(jù)包的源IP地址（10.1.1.1)改為與之對應(yīng)的全局IP地址（201.0.0.1），而目標IP地址201.0.0.11保持不變，使數(shù)據(jù)包達到201.0.0.11。而當主機HostB(IP:201.0.0.11)當響應(yīng)數(shù)據(jù)包到達與內(nèi)網(wǎng)連接的路由器時，路由器也會搜索NATtable，將IP數(shù)據(jù)包的目的IP地址改成10.1.1.1.這樣，內(nèi)網(wǎng)主機就可以收到外網(wǎng)主機發(fā)送的數(shù)據(jù)包。在靜態(tài)NAT方式，內(nèi)部IP地址與公有IP地址是一對一的映射關(guān)系，所以這樣做的前提是組織可以申請足夠的全局IP地址。

1.2.2動態(tài)NAT

動態(tài)地址NAT只是轉(zhuǎn)換IP它是每個內(nèi)部的地址IP地址分配臨時外部IP地址主要用于撥號，也可用于頻繁的遠程連接NAT。當遠程用戶聯(lián)系時，動態(tài)地址NAT會給他一個IP當用戶斷開地址時，此地址IP地址將被釋放并留待以后使用。

動態(tài)NAT適用于當機構(gòu)申請的全局IP地址少，內(nèi)部網(wǎng)絡(luò)主機多。內(nèi)網(wǎng)主機IP與全局IP地址是多對一的。當數(shù)據(jù)包進出內(nèi)網(wǎng)時，就有了NAT功能設(shè)備正確IP處理和靜態(tài)數(shù)據(jù)包NAT只是NATtable如果內(nèi)網(wǎng)主機在一定時間內(nèi)不與外部網(wǎng)絡(luò)通信，則表中的記錄是動態(tài)的IP地址映射關(guān)系將被刪除，全局將被刪除IP地址分配給新的IP使用數(shù)據(jù)包形成新的數(shù)據(jù)包NATtable映射記錄。

1.2.3網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT

網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（NetworkAddressPortTranslation）內(nèi)部地址映射到外部網(wǎng)絡(luò)IP不同端口的地址。它可以將中小型網(wǎng)絡(luò)隱藏在法律上IP地址后面。NAPT與動態(tài)地址NAT不同的是，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中IP在地址上，同時在地址上加一個NAT選用設(shè)備的端口號。

NAPT使用最常見的轉(zhuǎn)換方法，它還包括兩種轉(zhuǎn)換方法：SNAT和DNAT。

(1)源NAT（SourceNAT，SNAT）：修改數(shù)據(jù)包的源地址。NAT更改第一個數(shù)據(jù)包的來源地址，它將永遠在數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)之前完成，數(shù)據(jù)包偽裝是一個SNAT的例子。

(2)目的NAT（DestinationNAT，DNAT）：修改數(shù)據(jù)包的目的地地址。DestinationNAT剛好與SNAT相反，它改變了第一個數(shù)據(jù)包的目的地地址，如平衡負載、端口轉(zhuǎn)發(fā)和透明代理DNAT。

源NAT舉例：對于以上網(wǎng)絡(luò)拓撲圖，內(nèi)網(wǎng)的主機數(shù)量比較多，但是該組織只有一個合法的IP當內(nèi)網(wǎng)主機(10.1.1.3)發(fā)送數(shù)據(jù)包時，需要修改數(shù)據(jù)包IP地址和TCP/UDP比如將

源IP：10.1.1.3

源port：1493

改成

源IP：201.0.0.1

源port：1492(注:源端口號可以和原來的一樣或不同)

外網(wǎng)主機(201).0.0.11響應(yīng)內(nèi)網(wǎng)主機(10).1.1.3)時，應(yīng)將：

目的IP：201.0.0.1

目的port：1492

改成

目的IP：10.1.1.3

目的port：1493

通過修改IP地址和端口的方法可以使內(nèi)網(wǎng)中的所有主機都能訪問外網(wǎng)。NAT只適用于一個合法的組織或機構(gòu)IP地址的情況也是動態(tài)的NAT一個特例。

目的NAT例如：這種方法適用于需要為外網(wǎng)提供某些服務(wù)的內(nèi)網(wǎng)服務(wù)器。

例如，上述拓撲結(jié)構(gòu)，內(nèi)網(wǎng)服務(wù)器組（ip地址分別為：10.1.1.1,10.1.1.2,10.1.1.3.需要為外網(wǎng)提供服務(wù)WEB服務(wù)，當外網(wǎng)主機HostB訪問內(nèi)網(wǎng)時發(fā)送的數(shù)據(jù)包的目的IP地址為10.1.1.127.端口號為:80。當數(shù)據(jù)包到達連接到內(nèi)網(wǎng)的路由器時，路由器搜索NATtable，通過修改路由器的目的IP地址和端口號，將外網(wǎng)的數(shù)據(jù)包平均發(fā)送到不同的主機上（10.1.1.1,10.1.1.2,10.1.1.3等)，從而實現(xiàn)負載均衡。

1.3NAT實現(xiàn)方式

1.3.1全錐NAT（FullConeNAT）

一旦內(nèi)部地址（iAddr:port1)映射到外部地址（eAddr:port2)，一切都來自iAddr:port1的包都經(jīng)由eAddr:port2向外發(fā)送。任何外部主機都可以通過給予。eAddr:port2發(fā)包到達iAddr:port1。

1.3.2限制性錐NAT（Address-RestrictedConeNAT）

一旦內(nèi)部地址（iAddr:port1)映射到外部地址（eAddr:port2)，一切都來自iAddr:port1的包都經(jīng)由eAddr:port2向外發(fā)送。任何外部主機（hostAddr:any）都能通過給eAddr:port2發(fā)包到達iAddr:port1的前提是：iAddr:port以前發(fā)過包到hostAddr:any。"any"也就是說，端口不受限制。

1.3.三端口限制錐NAT（PortRestrictedConeNAT）

端口限制錐NAT與限制性錐NAT類似地，只是對端口號的限制。

一旦內(nèi)部地址（iAddr:port1)映射到外部地址（eAddr:port2)，一切都來自iAddr:port1的包都經(jīng)由eAddr:port2向外發(fā)送。外部主機（hostAddr:port3)能發(fā)包到達iAddr:port1的前提是：iAddr:port以前發(fā)過包到hostAddr:port3.

1.3.4對稱NAT（SymmetricNAT）

2、NAT原理

2.1地址轉(zhuǎn)換

NAT私有網(wǎng)主機和公共網(wǎng)主機通信的基本工作原理是IP包經(jīng)過NAT網(wǎng)關(guān)時，將IP包中的源IP或目的IP在私有IP和NAT的公共IP轉(zhuǎn)換之間。

如下圖所示，NAT網(wǎng)關(guān)有兩個網(wǎng)絡(luò)端口，其中公共網(wǎng)絡(luò)端口IP公共地址統(tǒng)一分配IP，為202.20.65.5.私有網(wǎng)絡(luò)端口IP地址為1922.168.1.1。私有網(wǎng)絡(luò)主機192.168.1.202向公共網(wǎng)絡(luò)主機.20.65.4發(fā)送了1個IP包(Dst=202.20.65.4,Src=192.168.1.2)。

當IP包經(jīng)過NAT網(wǎng)關(guān)時，NATGateway會將IP包的源IP轉(zhuǎn)換為NATGateway的公共IP此時轉(zhuǎn)發(fā)到公共網(wǎng)絡(luò)，IP包（Dst=202.20.65.4，Src=202.20.65.5)沒有私有網(wǎng)絡(luò)IP的信息。由于IP包的源IP已轉(zhuǎn)換成NATGateway的公共IP，WebServer發(fā)出的響應(yīng)IP包（Dst=202.20.65.5,Src=202.20.65.4)將被送到NATGateway。

這時，NATGateway會將IP包的目的IP轉(zhuǎn)換為私人網(wǎng)絡(luò)中的主機IP，然后將IP包（Des=192.168.1.2，Src=202.20.65.4)轉(zhuǎn)發(fā)到私有網(wǎng)絡(luò)。對于通信雙方來說，這個地址的轉(zhuǎn)換過程是完成的全透明。轉(zhuǎn)換圖如下。

如果內(nèi)網(wǎng)主機發(fā)出的請求包未通過NAT，那么當WebServer收到請求包，回復(fù)的響應(yīng)包中的目的地址就是私有網(wǎng)絡(luò)IP地址，在Internet無法正確交付，導(dǎo)致連接失敗。

在上述過程中，NATGateway在收到響應(yīng)包后，就需要判斷將數(shù)據(jù)包轉(zhuǎn)發(fā)給誰。此時如果子網(wǎng)內(nèi)僅有少量客戶機，可以用靜態(tài)NAT手工指定；但是，如果內(nèi)網(wǎng)有多個客戶機，并且各自訪問不同的網(wǎng)站，則需要連接跟蹤（connectiontrack）。如下圖所示：

在NATGateway收到客戶機發(fā)送的請求包后，轉(zhuǎn)換源地址并保存連接記錄NATGateway收到服務(wù)器的響應(yīng)包后，搜索TrackTable，確定轉(zhuǎn)發(fā)目標，轉(zhuǎn)換目的地址，轉(zhuǎn)發(fā)給客戶機。

以上述客戶機訪問服務(wù)器為例，當只有一臺客戶機訪問服務(wù)器時，NATGateway只須更改數(shù)據(jù)包的源IP或目的IP即可正常通訊。但是如果ClientA和ClientB同時訪問WebServer，那么當NATGateway收到響應(yīng)包時，無法判斷將數(shù)據(jù)包轉(zhuǎn)發(fā)給哪臺客戶機，如下圖所示。

此時NATGateway會在ConnectionTrack添加端口信息進行區(qū)分。如果兩個客戶機訪問同一服務(wù)器的源端口不同，則在TrackTable可以通過添加端口信息來區(qū)分。如果源端口正好相同，SNAT和DNAT同時，源端口也應(yīng)進行相應(yīng)的轉(zhuǎn)換，如下圖所示。

3、應(yīng)用

NAT數(shù)據(jù)包偽裝、平衡負平衡負載、端口轉(zhuǎn)發(fā)、透明代理等功能。

數(shù)據(jù)偽裝：可將內(nèi)網(wǎng)數(shù)據(jù)包中的地址信息更改為統(tǒng)一的外部地址信息，防止內(nèi)網(wǎng)主機直接暴露在互聯(lián)網(wǎng)上，以確保內(nèi)網(wǎng)主機的安全。同時，該功能通常用于共享互聯(lián)網(wǎng)。例如，當內(nèi)網(wǎng)主機訪問外網(wǎng)時，為了隱藏內(nèi)網(wǎng)拓撲結(jié)構(gòu)，使用全球地址來替換私人地址。

端口轉(zhuǎn)發(fā):內(nèi)網(wǎng)主機提供外部服務(wù)時，使用內(nèi)部私有IP外網(wǎng)無法直接訪問地址。因此，有必要在網(wǎng)關(guān)上轉(zhuǎn)發(fā)端口，并將特定服務(wù)的數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)網(wǎng)主機。例如，公司小王在自己的服務(wù)器上設(shè)置了一個Web網(wǎng)站，他的IP地址為192.168.0.5.使用默認端口80?，F(xiàn)在他想讓局域網(wǎng)外的用戶直接訪問他Web站點。利用NAT這個問題很容易解決，服務(wù)器IP地址為210.59.120.89，然后為小王分配一個端口，如81，即所有訪問210.59.120.89:81請求自動轉(zhuǎn)向192.168.0.5:80，這個過程對用戶是透明的。

負載平衡：目的地地址轉(zhuǎn)換NAT一些服務(wù)器可以重定向連接到其他隨機選定的服務(wù)器。例如，1.2.3所講的目的NAT的例子。

故障結(jié)束：目的地地址轉(zhuǎn)換NAT它可以用來提供高可靠性的服務(wù)。如果一個系統(tǒng)有一個通過路由器訪問的關(guān)鍵服務(wù)器，一旦路由器檢測到服務(wù)器，它可以使用目的地址轉(zhuǎn)換NAT將連接轉(zhuǎn)移到備份服務(wù)器上，以提高系統(tǒng)的可靠性。

透明代理：例如，自己的服務(wù)器空間不足，需要指向另一個服務(wù)器空間的某些鏈接；或者沒有安裝在計算機上IIS服務(wù)，但希望網(wǎng)民訪問計算機上的內(nèi)容，此時使用IIS的Web網(wǎng)站重定向可以輕松幫助我們完成。

4、NAT的缺陷

NAT一開始很完美，但是隨著網(wǎng)絡(luò)的發(fā)展，各種新的應(yīng)用層出不窮，此時NAT也暴露了缺點。NAT缺陷主要表現(xiàn)在以下幾個方面：

(1)嵌入式IP地址或端口

NAT設(shè)備不能翻譯嵌入應(yīng)用數(shù)據(jù)部分的設(shè)備IP地址或端口信息只能翻譯正常位置IP第一部電影中的地址信息和位置TCP/UDP第一部中的端口信息。如下圖所示，對方將使用嵌入在接收到的數(shù)據(jù)包中的地址和端口進行通信(例如FTP協(xié)議)，如果通信雙方都使用公網(wǎng)，可能會導(dǎo)致連接故障。IP，這不會造成任何問題，但如果嵌入式地址和端口是內(nèi)網(wǎng)，顯然連接不可能成功，原因就像開頭說的。MSNMessenger使用這種方法傳遞一些功能IP以及端口信息，導(dǎo)致NAT客戶端網(wǎng)絡(luò)應(yīng)用程序設(shè)備后連接故障。

一些NAT為了適應(yīng)更多的場景，服務(wù)提供適應(yīng)各種協(xié)議，如支持FTP、SCTP、IMCP、DNS等等，這種技術(shù)叫ALG（ApplicationLevelGateway），即在應(yīng)用層對IP與端口進行一定的抽取，生成NAT映射表記錄。但這些也大大增加了NAT復(fù)雜性，特別是在自定義協(xié)議的情況下，應(yīng)考慮更復(fù)雜的機制來滲透NAT。

(2)內(nèi)部網(wǎng)絡(luò)服務(wù)不能從公網(wǎng)訪問

因為內(nèi)網(wǎng)是私有的IP，因此，內(nèi)部網(wǎng)絡(luò)服務(wù)不能直接從公網(wǎng)訪問，比如WEB我們可以通過建立靜態(tài)映射來解決這個問題。例如，218有一個靜態(tài)映射.70.201.185:80與192.168.0.88:80映射，當公網(wǎng)用戶訪問內(nèi)部時WEB當服務(wù)器首先連接到218時.70.201.185:80，然后NAT設(shè)備將請求傳遞給192.168.0.88:80，192.168.0.88把響應(yīng)返回NAT設(shè)備，再由NAT將設(shè)備傳輸給公網(wǎng)訪問用戶。

(3)有些應(yīng)用程序用A端口發(fā)送數(shù)據(jù)，但需要用B端口接收，但是NAT設(shè)備翻譯時卻不知道這一點，它仍然建立一條針對A端口的映射，結(jié)果對方響應(yīng)的數(shù)據(jù)要傳給B端口時，NAT該設(shè)備將丟棄數(shù)據(jù)包，因為它找不到相關(guān)的映射項目。

(4)一些P2P應(yīng)用在NAT后無法進行
對于那些沒有中間服務(wù)器的純服務(wù)器P2P對于應(yīng)用(如電視會議、娛樂等。)，如果每個人都在那里NAT設(shè)備完成后，雙方無法建立連接。由于中間服務(wù)器沒有中轉(zhuǎn)，NAT設(shè)備后的P2P程序在NAT設(shè)備上不會有映射條目，也就是說對方不能和你發(fā)起連接?，F(xiàn)在有一種叫做P2PNAT通過技術(shù)來解決這個問題。

(5)NAT設(shè)備編輯和修改數(shù)據(jù)包，降低了發(fā)送數(shù)據(jù)的效率；由于技術(shù)的復(fù)雜性，錯誤變得困難。

5.NAT穿透

NAT不僅實現(xiàn)地址轉(zhuǎn)換，還起到防火墻的作用，隱藏內(nèi)部網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，保護內(nèi)部主機。NAT不僅完美解決了lP地址不足的問題也能有效避免網(wǎng)絡(luò)外的攻擊，隱藏和保護網(wǎng)絡(luò)內(nèi)的計算機。對于外部主機來說，內(nèi)部主機是看不見的。但是，對于P2P就應(yīng)用而言，它需要能夠建立端到端連接，因此如何穿透它NAT也是P2P技術(shù)的關(guān)鍵之一。

5.1網(wǎng)絡(luò)拓樸

Server（129.208.12.38)是公網(wǎng)上的服務(wù)器，NAT-A和NAT-B是兩個NAT設(shè)備(可能是集成NAT路由器的功能，防火墻等。)，它們有幾個合法的公共網(wǎng)絡(luò)IP，在NAT-A私有網(wǎng)絡(luò)中有幾臺主機被屏蔽【ClientA-1，ClientA-N】，在NAT-B私有網(wǎng)絡(luò)中也有幾臺主機【ClientB-1，ClientB-N】。為了方便以后解釋問題，只討論主機ClientA-1和ClientB-1。

假設(shè)主機ClientA-1和主機ClientB-1都和服務(wù)器Server建立了“連接”，如下圖所示。

由于NAT所以ClientA-1和ClientB-1不用關(guān)心和Server他們只需要知道通信的過程Server開放服務(wù)地址和端口號即可。假設(shè)在圖1中ClientA-一是進程使用socket（192.168.0.2：7000）和Server通信，在ClientB-一是進程使用socket（192.168.1.12:8000）和Server通信。他們通過自己的方式NAT轉(zhuǎn)換后分別變成socket（202.103.142.29：5000）和socket（221.10.145.84：6000）。

5.2使用UDP穿透NAT

通常，當使用過程時UDP與外部主機通信時，NAT會建立一個Session，這個Session沒有標準保留多久，也許幾秒鐘，幾分鐘，幾個小時。假設(shè)ClientA-在應(yīng)用程序中看到1ClientB-在線，想和ClientB-通信，一種方式是Server作為中間人，負責(zé)轉(zhuǎn)發(fā)ClientA-1和ClientB-1之間的消息，但是服務(wù)器太累了，吃不下。另一種方法是讓步ClientA-1何ClientB-建立端到端連接，然后自行通信。這也就是P2P連接。根據(jù)不同類型NAT，下面分別說明。

（1）全錐NAT，穿透全錐型NAT很容易，根本稱不上穿透，因為全錐型NAT將內(nèi)部主機映射到確定的地址，不會阻止從外部發(fā)送的連接請求，因此無需任何輔助手段即可建立連接。

(2)限制錐NAT端口限制錐NAT(簡稱限制性NAT），穿透限制性錐NAT將其未知的源地址丟棄到內(nèi)部主機的數(shù)據(jù)包中。所以現(xiàn)在ClientA-1直接發(fā)送UDP數(shù)據(jù)包到ClientB-1.那么數(shù)據(jù)包就會被接受NAT-B無情的丟棄。因此，建立以下方法ClientA-1和ClientB-1之間的通信。

1．ClientA-1（202.103.142.29:5000Server，請求和ClientB-1（221.10.145.84:6000）通信。

2.Server將ClientA-地址和端口(2020.103.142.29:5000）發(fā)送給ClientB-1，告訴ClientB-1，ClientA-想和它交流。

3.ClientB-1向ClientA-1（202.103.142.29:5000）發(fā)送UDP當然，數(shù)據(jù)包正在到達NAT-A的時候，還是會被丟棄，這并不是關(guān)鍵的，因為發(fā)送這個UDP包只是為了讓NAT-B記住通信的目的地地址：端口號，當以這個地址和端口為源的數(shù)據(jù)下次到達時，它將不會被使用NAT-B丟棄，就這樣NAT-B打了一個從ClientB-1到ClientA-1的孔。

4.為了讓ClientA-知道什么時候才能向前走ClientB-1發(fā)送數(shù)據(jù)，所以ClientB-1在向ClientA-1（202.103.142.29:5000)打孔后要向前走Server發(fā)短信告訴Server它已經(jīng)準備好了。

5.Server給我發(fā)個消息ClientA-1，內(nèi)容為：ClientB-已經(jīng)準備好了，你可以去ClientB-發(fā)消息。

6.ClientA-1向ClientB-1發(fā)送UDP數(shù)據(jù)包。這個數(shù)據(jù)包不會被使用。NAT-B丟棄，以后ClientB-1向ClientA-發(fā)送的數(shù)據(jù)包不會被發(fā)送ClientA-1丟棄，因為NAT-A已經(jīng)知道是ClientA-首先發(fā)起通信。到目前為止，ClientA-1和ClientB-1就可以進行通信了。

5.3使用TCP穿透NAT

使用TCP協(xié)議穿透NAT方法和使用UDP協(xié)議穿透NAT方式幾乎一樣，沒有本質(zhì)區(qū)別，只是沒有連接UDP變成面向連接TCP。值得注意的是：

1.ClientB-1在向ClientA-打孔時，發(fā)送SYN數(shù)據(jù)包也會被使用NAT-A丟棄。ClientB-需要原來的socket上監(jiān)聽，由于重用socket，所以需要將socket屬性設(shè)置為SO_REUSEADDR。

2.ClientA-1向ClientB-1發(fā)送連接請求。同樣，因為ClientB-1到ClientA-方向的孔已經(jīng)打好了，所以連接會成功，握手三次后，ClientA-1到ClientB-建立了1之間的連接。

5.4穿透對稱NAT

上面討論的是如何穿透錐體（Cone）NAT，對稱NAT和錐NAT非常不同NAT，當私網(wǎng)主機與多個不同的外部主機通信時，對稱NAT并不會像錐（Cone，全錐、限制錐、端口限制錐)NAT同一端口的分配。相反，新建一個Session，重新分配一個端口。參考上述穿透限制性錐NAT步驟3：ClientB-1（221.10.145.84:？）向ClientA-打孔時，對稱NAT將給ClientB-1重新分配一個端口號，對于這個端口號Server、ClientB-1、ClientA-都是未知的。同樣，ClientA-在步驟4中，1根本不會收到這個消息，ClientB-1發(fā)送給Server的通知消息中，ClientB-1的socket依舊是（221.10.145.84:6000）。而且，在步驟6時：ClientA-1向它所知但錯誤的方向知道但是錯誤的ClientB-1發(fā)送數(shù)據(jù)包時，NAT-1也會重新給ClientA-1分配端口號。因此，穿透對稱NAT機會很小。以下是兩種穿透對稱的可能性NAT的策略。

5.4.1同時開放TCP（SimultaneousTCPopen）策略

若對稱NAT收到一個來自本地私人網(wǎng)絡(luò)TCPSYN這個包想發(fā)起一個包“引入”的TCP一般來說，連接，NAT該連接請求將被拒絕并扔掉SYN包，或者回一個TCPRST（connectionreset，重建連接)包給請求方。然而，有一種情況會接受這一點“引入”連接。

RFC規(guī)定:對稱NAT，當收到這個SYN包中的源IP地址：端口、目標IP地址：端口和NAT已激活的注冊人TCP會話中的地址信息一致時，NAT會放手的SYN包。需要特別指出的是：如何激活它？TCP連接？除了真正建立和完成的TCP連接外，RFC規(guī)范指出:如果NAT碰巧看到一個剛發(fā)出去的SYN以及隨后收到的包SYN包中的地址:如果端口信息一致，那么NAT會想到這一點TCP該連接已被激活，并將允許該方向SYN包進入NAT內(nèi)部。同時開放TCP策略是利用這個機會建立聯(lián)系。

如果ClientA-1和ClientB-1能夠正確預(yù)測對方NAT會給下一個TCP公網(wǎng)連接分配TCP端口，兩個客戶端可以同時向?qū)Ψ桨l(fā)起一個“外出”的TCP連接請求，在對方SYN在包到達之前，我剛發(fā)出去SYN所有的包都能順利穿過自己的包NAT的話，端對端TCP連接可以成功建立。

5.4.2端口猜測策略

同時開放TCP該策略非常依賴于猜測對方的下一個端口，并且強烈依賴于發(fā)送連接請求的時間，以及網(wǎng)絡(luò)的不確定性，因此即使是Server充當同步時鐘的角色。以下是通過UDP因為UDP無需建立連接，因此無需考慮“同時開放”的問題。

為了介紹ClientB-1.先介紹一下詭計。STUN協(xié)議。STUN（SimpleTraversalofUDPThroughNATs）該協(xié)議是用來探測被子的輕量級協(xié)議NAT映射后地址：端口。STUN采用C/S結(jié)構(gòu)需要探測自己的被子NAT轉(zhuǎn)換地址：端口Client向Server發(fā)送請求，Server返回Client轉(zhuǎn)換地址：端口。

參考上面UDP穿透NAT的步驟2，當ClientB-1收到Server發(fā)送給它的消息后，ClientB-1即打開3個socket。socket-0向STUNServer發(fā)送請求并收到回復(fù)后，假設(shè)您知道轉(zhuǎn)換后的地址：端口（221.10.145.84:6005），socket-1向ClientA-1發(fā)送一個UDP包，socket-二、再向另一個STUNServer發(fā)送請求，假設(shè)轉(zhuǎn)換后的地址:端口(221.10.145.84:6020）。通常，對稱NAT分配端口有兩種策略，一種是按順序增加，另一種是隨機分配。若此處對稱NAT使用順序增加策略，ClientB-1將兩次收到的地址發(fā)送到端口Server后，Server就可以通知ClientA-1在這個端口范圍內(nèi)猜測剛才ClientB-1發(fā)送給它的socket-1中被NAT映射后地址：端口，ClientA-很有可能在孔有效期內(nèi)成功猜測端口號，從而和ClientB-1成功通信。

5.5問題總結(jié)

以上兩種穿透對稱NAT就方法而言，它們都是基于嚴格的假設(shè)條件。但現(xiàn)實中的大多數(shù)人NAT都是錐NAT，因為資源畢竟很重要，對稱是相反的NAT，因為太不節(jié)省端口號，所以成本相對較高。因此，無論是穿透錐體。NAT，還是對稱NAT，現(xiàn)實中可以做到。除非對稱。NAT真正使用隨機算法來分配可用的端口。

6.結(jié)語

NAT技術(shù)是不可否認的ipv4.緩解地址資源短缺；減少用戶申請ISP服務(wù)成本和提供相對完善的負載平衡功能帶來了許多好處。但是在ipv4地址將在未來幾年枯竭，NAT技術(shù)不能改變ip地址空間不足的本質(zhì)。但在安全機制上也存在潛在威脅，在配置和管理上也存在挑戰(zhàn)。若要從根本上解決ip地址資源問題，ipv6是最根本的路。在ipv4轉(zhuǎn)換到ipv6的過程中，NAT與其他方案相比，技術(shù)確實是一個不錯的選擇。