一：為什么需要NAT

由于IP地址隨著互聯(lián)網(wǎng)的發(fā)展而逐漸稀缺，難以使得每臺(tái)主機(jī)都擁有一個(gè)公網(wǎng)上的IP地址壁熄，且并不是所有主機(jī)都需要一個(gè)公網(wǎng)上的地址帚豪，于是就有了NAT技術(shù)。

NAT（The IP Network Address Translator）網(wǎng)絡(luò)地址轉(zhuǎn)換草丧，其基本工作原理是：當(dāng)私有網(wǎng)主機(jī)與公共網(wǎng)逐漸通信的IP經(jīng)過NAT網(wǎng)關(guān)時(shí)狸臣，將IP包中的源IP或目的IP在私有IP和NAT的公共IP之間進(jìn)行轉(zhuǎn)換。

假設(shè)NAT網(wǎng)關(guān)有2個(gè)網(wǎng)絡(luò)端口昌执，其中公共網(wǎng)絡(luò)端口的IP地址是統(tǒng)一分配的公共IP烛亦，為202.204.65.2；私有網(wǎng)絡(luò)端口的IP地址是保留地址懂拾，為192.168.1.1煤禽。私有網(wǎng)中的主機(jī) 192.168.1.2向公共網(wǎng)中的主機(jī)166.111.80.200發(fā)送了1個(gè)IP包（Des=166.111.80.200,Src=192.168.1.2）。

當(dāng)IP包經(jīng)過NAT網(wǎng)關(guān)時(shí)岖赋，NAT會(huì)將IP包的源IP轉(zhuǎn)換為NAT的公共 IP并轉(zhuǎn)發(fā)到公共網(wǎng)檬果，此時(shí)IP包（Des=166.111.80.200，Src=202.204.65.2）中已經(jīng)不含任何私有網(wǎng)IP的信息唐断。由于IP 包的源IP已經(jīng)被轉(zhuǎn)換成NAT的公共IP选脊，響應(yīng)的IP包（Des=202.204.65.2,Src=166.111.80.200）將被發(fā)送到NAT。 這時(shí)栗涂，NAT會(huì)將IP包的目的IP轉(zhuǎn)換成私有網(wǎng)中主機(jī)的IP知牌，然后將IP包（Des=192.168.1.2，Src=166.111.80.200）轉(zhuǎn) 發(fā)到私有網(wǎng)斤程。對于通信雙方而言角寸，這種地址的轉(zhuǎn)換過程是完全透明的菩混。

二、NAT類型

（一）Full-cone NAT:

一旦一個(gè)內(nèi)網(wǎng)地址 (iAddr:iPort) 被映射到一個(gè)外部地址 (eAddr:ePort), 來自 iAddr:iPort 的任何數(shù)據(jù)包將通過 eAddr:ePort 發(fā)送扁藕。

任何外部主機(jī)能夠通過eAdder:ePort這個(gè)地址發(fā)送數(shù)據(jù)包到iAddr:iPort

（二）Address-restricted-cone NAT：

一旦一個(gè)內(nèi)網(wǎng)地址（iAdder：iPort）被映射到一個(gè)外部地址（eAddr:ePort),來自iAddr：iPort的任何數(shù)據(jù)包將通過eAddr:ePort發(fā)送沮峡。

僅只有接收到主機(jī)(iAddr:iPort)通過eAddr:ePort發(fā)送的數(shù)據(jù)包的外部主機(jī)通過該主機(jī)的任何端口發(fā)送到eAddr:ePort的數(shù)據(jù)包才能夠被正確的轉(zhuǎn)發(fā)到iAddr:iPort.也就是說主機(jī)有關(guān)端口無關(guān)。

（三）Port-restricted cone NAT

類似于address restricted cone NAT, 但是端口號有限制.

一旦一個(gè)內(nèi)網(wǎng)地址 (iAddr:iPort) 被映射到一個(gè)外部地址 (eAddr:ePort), 來自 iAddr:iPort 的任何數(shù)據(jù)包將通過 eAddr:ePort 發(fā)送.

僅只有接收到主機(jī)(iAddr:iPort)通過eAddr:ePort發(fā)送的數(shù)據(jù)包的外部主機(jī)通過該主機(jī)的相同端口發(fā)送到eAddr:ePort的數(shù)據(jù)包才能夠被正確的轉(zhuǎn)發(fā)到iAddr:iPort.

（四）Symmetric NAT

來自相同內(nèi)部ip和port發(fā)送到相同目的地ip和port的請求被映射到唯一的外部ip和port地址亿柑；如果相同的內(nèi)部主機(jī)采用相同的ip和port地址發(fā)送到不同的目的地邢疙，那么重新分配映射地址。

只有先前收到內(nèi)部主機(jī)發(fā)送包的外部主機(jī)才能夠發(fā)送返回包到內(nèi)部主機(jī)望薄。

針對前面三種NAT類型疟游，只要通信雙方彼此知道對方的內(nèi)部地址和外部地址的映射關(guān)系，然后通過UDP打洞的方式就可以建立相互連接的通信痕支；但是第四種也就是Symmetric NAT的話由于每次向不同目的地發(fā)送數(shù)據(jù)包時(shí)采用不同的外部地址颁虐，也就沒辦法通過直接的方式建立P2P連接。

三：為什么要做NAT穿透

我們知道在日常的互聯(lián)網(wǎng)交互中卧须，所有的信息流必須要通過NAT另绩，經(jīng)過服務(wù)器，而這對服務(wù)器的壓力可想而知花嘶。

這時(shí)就有人提出笋籽，我們能不能不從服務(wù)器經(jīng)過，直接對兩個(gè)端口進(jìn)行連接椭员。這樣不僅能減輕服務(wù)器壓力车海，也可以節(jié)省大量的流量。這時(shí)發(fā)現(xiàn)拆撼，之前幫助端口實(shí)現(xiàn)“溝通”的NAT現(xiàn)在成了直接連接的阻力容劳。NAT穿透是實(shí)現(xiàn)P2P所需的基礎(chǔ)。

四：如何做NAT穿透

NAT穿透目前主要有:ALG闸度、MII3COM竭贩、STUN、TURN莺禁、ICE和Full?Proxy等6種方式留量，這里主要介紹一下ICE方式：

ICE是一種NAT穿透技術(shù)，通過offer/answer模型建立基于UDP的媒介流哟冬。ICE是offer/answer模型的擴(kuò)展楼熄，通過在offer和answer的SDP里面包含的IP地址和端口，然后對本地SDP和遠(yuǎn)程SDP里面的IP地址進(jìn)行配對浩峡，然后通過P2P連通性檢查進(jìn)行連通性測試工作可岂，如果測試通過即表明該傳輸?shù)刂穼梢越⑦B接。其中IP地址和端口有以下幾種：本機(jī)地址翰灾、通過STUN服務(wù)器反射后獲取的server-reflexive地址（內(nèi)網(wǎng)地址被NAT映射后的地址）缕粹、relayed地址（和TURN轉(zhuǎn)發(fā)服務(wù)器相對應(yīng)的地址）及Peer reflexive地址等稚茅。

在通常的ICE部署環(huán)境中，我們有兩個(gè)端想要建立通信連接平斩，他們可以直接通過signaling服務(wù)器（如SIP服務(wù)器）執(zhí)行offer/answer過程來交換SDP消息亚享。

在ICE過程開始的時(shí)候，客服端會(huì)忽略他們各自的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)绘面，不管是不是在NAT或多個(gè)NAT后面欺税，ICE允許客服端發(fā)現(xiàn)他們所在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)的信息，然后找出一個(gè)或更多可以建立通信連接的路徑揭璃。