NAT穿越（一） NAT类型

 NAT分为四种类型：

 

（1）完全透明NAT(Full Cone NAT)：

 

从内部主机　　　　　 (IN IP ipa) +端口(IN PORT porta)  

发送的数据映射为　　  IP(OUT IP IPA)和端口(OUT PORT PORTA) 发送到外网

从服务器直连到映射的  IP(OUT IP IPA)和端口(OUT PORT PORTA)上，数据将会被转发到内部主机(IN IP ipa), (IN PORT porta)上。

举例来说：内部的机器Client1（ipa:porta）连接Server1，经过NAT后,NAT会打开一个端口（IPA:PORTA）。

外网任何发到这个打开的端口（IPA:PORTA）的UDP数据包都可到达Client1（ipa:porta），不管是不是Server1发过来的。

 

（2）IP受限NAT(Restricted Cone)：

 

从相同内部主机    (IN IP ipa) +端口(IN PORT porta) 发送的数据经过NAT后，映射为相同的IP(OUTIP IPA)和端口(OUT PORT PORTA)发送到外网设备Y。

和完全NAT不同的是，只有从外部机器Y发过来的请求可以被转发到内部主机(IN IP ipa) +端口(IN PORT porta) ，其他机器发过来的数据不能转发到内部机器。

也就是说进内部网的数据包的PORT不受限制， IP受限制。

举例来说：这种NAT内部的机器Client1（ipa:porta）连接Server1，经过NAT后,NAT会打开一个端口（IPA:PORTA）。

然后Server1可以用任何端口和Client1（ipa:porta）通信，其他的外网IP不行。

 

（3）端口（和IP）受限NAT(Port Restricted Cone) 

与IP受限NAT不同的是，只有当外部主动请求的的源IP和端口 和 内部网发送请求的目的IP和端口相同时才能通信。

举例：这种NAT内部的机器Client1（ipa:porta）连接Server1，经过NAT后,NAT会打开一个端口（IPA:PORTA）。

然后Server1可以用原来的端口和Client1（ipa:porta）通信。其它端口和外网IP发送给（IPA:PORTA）的数据包会被NAT丢弃。

 

（4）对称NAT 

如果发送的包的目的IP 和 PORT相同，那么映射 IP 和 PORT将相同。内部的同一台机器，同一个端口如果目的地址不同，那么映射的端口也不同，所以只有他主动连的服务器才可能知道他的映射后端口，别的服务器如果想连他只能靠猜测端口。

对于这种NAT，连接不同的外部目标（IP或端口不同），原来NAT打开的映射端口会变化。

举例：这种NAT内部的机器Client1（ipa:porta）连接Server1，经过NAT后,NAT会打开一个端口（IPA:PORTA）。

然后Server1只有在当前连接上才能与Client1（ipa:porta）通信。因为内部机器Client1（ipa:porta）再次连接Server1时，经过NAT后，NAT会打开另一个端口（IPA:PORTB)，导致其它外部IP发给（IPA:PORTA）的数据包被NAT丢弃。

 

总结：前面3种NAT，映射 PORT 和 IP，是根据发送包的的内部网的IP和端口决定的。如果内网IP和端口相同，那么映射后的端口和地址是固定。这个功能为我们的穿透NAT提供了条件，可以实现P2P。

 

对于对称型NAT，打洞后的映射 地址和端口变得不可靠，难穿透。需借助TURN服务进行转发。