NAT and Traversal NAT分析和总结分析和总结.docxVIP

NAT and Traversal NAT NAT and Traversal NAT（TURN/STUN/ICE） NAT NAT 有 4 种不同的类型 Full Cone 这种 NAT 内部的机器A 连接过外网机器C 后,NAT 会打开一个端口.然后外网的任何发到这个打开的端口的 UDP 数据报都可以到达 A.不管是不是 C 发过来的. 例如 A:192.168.8.100 NAT:202.100.100.100 C:292.88.88.88 A(192.168.8.100:5000) - NAT(202.100.100.100:8000) - C(292.88.88.88:2000) 任何发送到 NAT(202.100.100.100:8000)的数据都可以到达 A(192.168.8.100:5000) Address Restricted Cone 这种 NAT 内部的机器A 连接过外网的机器C 后,NAT 打开一个端口.然后 C 可以用任何端口和A 通信.其他的外网机器不行. 例如 A:192.168.8.100 NAT:202.100.100.100 C:292.88.88.88 A(192.168.8.100:5000) - NAT(202.100.100.100 : 8000) - C(292.88.88.88:2000) 任何从C 发送到 NAT(202.100.100.100:8000)的数据都可以到达 A(192.168.8.100:5000) Port Restricted Cone 这种 NAT 内部的机器A 连接过外网的机器C 后,NAT 打开一个端口.然后 C 可以用原来的端口和A 通信.其他的外网机器不行. 例如 A:192.168.8.100 NAT:202.100.100.100 C:292.88.88.88 A(192.168.8.100:5000) - NAT(202.100.100.100 : 8000) - C(292.88.88.88:2000) C(202.88.88.88:2000)发送到 NAT(202.100.100.100:8000)的数据都可以到达 A(192.168.8.100:5000) 以上三种 NAT 通称 Cone NAT(圆锥形 NAT).我们只能用这种 NAT 进行 UDP 打洞. Symmetric（对称形） 对于这种 NAT。连接不同的外部 Server，NAT 打开的端口会变化。也就是内部机器A 连接外网机器B 时，NAT 会打开一个端口，连接外网机器C 时又会打开另外一个端口。 对于双方都是 Port Restricted Cone NAT 的时候，则需要利用 UDP 打洞原理进行“先打洞，然后才能直接通信”。 对于 Cone NAT.要采用UDP 打洞.需要一个公网机器server C来充当”介绍人”.处于 NAT 之后的内网的A,B 先分别和C 通信,打开各自的 NAT 端口.C 这个时候知道A,B 的公网 IP: Port. 现 在A 和B 想直接连接.比如A 给B 直接发包，除非B 是 Full Cone，否则不能通信.反之亦然. 为什么啊？因为对于处于 NAT 之后的 A,B。如果想 A 要与外界的D 通信，则首先必须要A 发包到D，然后A 经过 NAT 设备 NA，NA 把A 的内网地址和端口转换为NA 的外网地址和端口。 和D 通信之后，D 才能经过 NA 和A 通信。也就是说，只能A 和外界主动通信，外界不能主动和处于NA 之后的A 通信。这种包会被 NA 直接丢弃的。这也就是上面所说的Port Restricted Cone 的情形啊！ A(192.168.8.100:5000) - NA(202.100.100.100:8000) - D(292.88.88.88:2000)但是我们可以这样. A --- NA --- Server C --- NB --- B ? A,B 为主机； ? NA, NB 为 NAT 设备； ? Server C 为外网的机器； 如果A 想与B 通信； A 首先连接 C, C 得到A 的外网 NA 的地址和端口； B 也要连接C，C 得到B 的外网 NB 的地址和端口； A 告诉C 说我要和B 通讯； C 通过 NB 发信息给B，告诉B A 的外网 NA 的地址和端口； B 向 NA 发数据包（肯定会被 NA 丢弃，因为 NA 上并没有 A-NB 的合法 session），但是 NB 上就建立了有B-NA 的合法 session 了； B 发数据包给C，让 C 通知 A，我已经把洞打好了； A 接受到通知后向 B 的外网发 NB 数据包，这样就不会被丢弃掉了。因为对于NB 来说，它看到的是A 的外