NAT是為了節(jié)省IP地址而設(shè)計(jì)的，但它隱藏了內(nèi)網(wǎng)機(jī)器的地址，“意外”起到了安全的作用。對外不可見，不透明的內(nèi)部網(wǎng)絡(luò)也與互聯(lián)網(wǎng)的“公平” 應(yīng)用，“相互共享”的思想所不容，尤其是P2P網(wǎng)絡(luò)中“相互服務(wù)”的宗旨，所以穿越NAT，讓眾多內(nèi)部網(wǎng)絡(luò)的機(jī)器也參與到P2P網(wǎng)絡(luò)中的大集體中來，一直 是P2P開發(fā)者的所希望的。穿越NAT需要借助外部的支持，說白了就是“內(nèi)外勾結(jié)”，騙過NAT。很多P2P網(wǎng)絡(luò)成功地實(shí)現(xiàn)了這一目標(biāo)，但還是有一些“遺 憾”---并非所有的情況下都可以。由于客戶端是主動登錄P2P網(wǎng)絡(luò)才可穿越，所以P2P的方式也沒有違背企業(yè)的內(nèi)部管理原則，畢竟“自由世界”的加入都 是自覺自愿的。

　　NAT原理：

　　NAT(Network Address Translation)網(wǎng)絡(luò)地址轉(zhuǎn)換/網(wǎng)絡(luò)地址翻譯。

　　工作原理：NAT主要的通過對數(shù)據(jù)包頭的地址替換來完成內(nèi)網(wǎng)計(jì)算機(jī)訪問外網(wǎng)服務(wù)的。當(dāng)內(nèi)部機(jī)器要訪問外部網(wǎng)絡(luò)時(shí)，NAT設(shè)備把內(nèi)部的IP1與端 口號1(網(wǎng)絡(luò)層地址與傳輸層地址)，轉(zhuǎn)換成NAT的外部IP2與新的端口號2，再送給外部網(wǎng)絡(luò)，數(shù)據(jù)返回時(shí)，再把目的為IP2:端口2的數(shù)據(jù)包替換為 IP1:端口1，送給內(nèi)網(wǎng)機(jī)器。若通訊協(xié)議的內(nèi)容中有IP地址的傳遞，如FTP協(xié)議，NAT在翻譯時(shí)還要注意數(shù)據(jù)包內(nèi)涉及協(xié)議地址交互的地方也要替換，否 則協(xié)議就會出現(xiàn)地址混亂。在NAT設(shè)備中維護(hù)了這個要替換地址的映射表，并根據(jù)內(nèi)部計(jì)算機(jī)的通訊需求維護(hù)該表。外部網(wǎng)絡(luò)來數(shù)據(jù)包能否進(jìn)入NAT，主要是看 是否已經(jīng)有可映射的表項(xiàng)，若沒有就會丟棄。

　　NAT的外部公網(wǎng)地址可以是一個IP，也可以是一個網(wǎng)段，形成地址池。NAT還可以把某個外網(wǎng)地址直接影射給內(nèi)網(wǎng)的某個服務(wù)器，讓外網(wǎng)的用戶可以直接訪問到這臺服務(wù)器。NAT的工作的隱藏內(nèi)網(wǎng)的機(jī)器，但允許內(nèi)網(wǎng)主動打開到外網(wǎng)的通訊“通道”，也就是建立映射表項(xiàng)。

　　NAT給P2P帶來的問題是：NAT只允許單方面發(fā)起連接，通訊的雙方不是平等的，P2P網(wǎng)絡(luò)的基礎(chǔ)有了問題，具體的表現(xiàn)為：

　　內(nèi)網(wǎng)主機(jī)IP是私有的，外部主機(jī)看不到，也無法主動發(fā)起連接

　　即使知道了內(nèi)網(wǎng)IP，但NAT會丟棄沒有在影射表的數(shù)據(jù)包

　　內(nèi)網(wǎng)主機(jī)可以作為客戶端訪問外網(wǎng)，但不能作為服務(wù)器提供服務(wù)

　　當(dāng)兩個主機(jī)都位于各自的NAT之后，要實(shí)現(xiàn)P2P的連接，就不僅是誰主動的問題，而是如何解決在兩個NAT上同時(shí)有對方映射表項(xiàng)的問題。

STUN協(xié)議(IETF RFC 3489)：

　　STUN協(xié)議是一種通道協(xié)議，可以作為正式通訊前的通路建立，它采用的是用戶終端干預(yù)的一種方法，可以解決應(yīng)用協(xié)議內(nèi)部傳遞IP地址給NAT帶 來的麻煩。用戶通過其他方法得到其地址對應(yīng)在NAT出口上的對外地址，然后在報(bào)文負(fù)載中所描述的地址信息就直接填寫NAT上對外地址，而不是內(nèi)網(wǎng)的私有 IP，這樣報(bào)文的內(nèi)容在經(jīng)過NAT時(shí)就按普通的NAT流程轉(zhuǎn)換報(bào)文頭部的IP地址即可，負(fù)載內(nèi)的IP地址信息無需再修改。利用STUN的思路可以穿越 NAT。STUN協(xié)議是客戶端/服務(wù)器協(xié)議，分兩種請求方式：一是UDP發(fā)送的綁定請求(Binding Requests)，二是TCP發(fā)送的秘密請求(Shared Secret Requests)。綁定請求用于確定NAT分配的綁定地址。

　　STUN標(biāo)準(zhǔn)中，根據(jù)內(nèi)部終端的地址(P:p)到NAT出口的公網(wǎng)地址(A:b)的影射方式，把NAT分為四種類型：

　　1. Full Cone：來自相同的內(nèi)部地址的請求消息映射為相同的外部地址，與外部地址(目的地址)無關(guān)。映射關(guān)系為P:p↔A:b，任何外部主機(jī)可通過(A:b)發(fā)送到數(shù)據(jù)到(P:p)上。

　　2. Restricted Cone：來自相同的內(nèi)部地址的請求消息映射為相同的外部地址，返回的數(shù)據(jù)只接受該內(nèi)部節(jié)點(diǎn)曾發(fā)數(shù)據(jù)的那個目的計(jì)算機(jī)地址X。映射關(guān)系為P:p↔A:b↔X，只有來自X的數(shù)據(jù)包才可通過(A:b)發(fā)送到數(shù)據(jù)到(P:p)上。

　　3. Port Restricted Cone：來自相同的內(nèi)部地址的請求消息映射為相同的外部地址，返回的數(shù)據(jù)只接受該內(nèi)部節(jié)點(diǎn)曾發(fā)數(shù)據(jù)的那個目的地址X:x。映射關(guān)系為 P:p↔A:b↔X:x，只有來自X:x的數(shù)據(jù)包才可通過(A:b)發(fā)送到數(shù)據(jù)到(P:p)上。

　　4. Symmetric(對稱) NAT：只有來自相同的內(nèi)部地址(P:p)，并且發(fā)送到同一個地址(X:x) 的請求消息，才被映射為相同的外部地址(A:b)，返回的數(shù)據(jù)只接受該內(nèi)部節(jié)點(diǎn)曾發(fā)數(shù)據(jù)的那個目的地址X:x。映射關(guān)系為P:p↔A:b↔X:x，當(dāng) (P:p)訪問(Y:y)時(shí)，映射為P:p↔B:c↔Y:y。

　　P2P利用STUN穿越NAT：

　　位于NAT后面終端A與B要穿越NAT直接通訊，可以借助在公網(wǎng)上的第三者Server來幫助。

　　穿越NAT的情況分為為兩種方式：

    1、一方在NAT之后，一方在公網(wǎng)上。這種情況相對簡單，只要讓NAT之后的終端先發(fā)起通訊，NAT就沒有作用了，它可以從Server上取得另一個Peer的地址，主動連接，回來的數(shù)據(jù)包就可以方便地穿越NAT。

    2、雙方都在NAT之后，連接的成功與否與兩個NAT的類型有關(guān)。主要的思路的先通過終端與Server的連接，獲得兩個終端在NAT外部的地址(IP與 端口號)，再由終端向?qū)Ψ降耐獠康刂钒l(fā)邀請包，獲取自己與對方通訊的外部地址，俗稱為“打洞”。關(guān)鍵是獲取了NAT外部映射的地址，就可以發(fā)包直接溝通， 建立連接。但當(dāng)一方是對稱型，另一方是Port Restricted或?qū)ΨQ型時(shí)，無法有效獲取外部地址，邀請包無法到達(dá)對方，也就無法穿越NAT。具體的分析可以根據(jù)兩個NAT的類型分成若干情況分 析，這里給一般的穿越例子。

實(shí)例：UDP穿越NAT：

　　A登錄Server，NAT A分配端口11000，Server得到A的地址為100.10.10.10:11000

　　B登錄Server，NAT B分配端口22000，Server得到B的地址為200.20.20.20:22000

　　此時(shí)B會把直接來自A的包丟棄，所以要在NAT B上打一個方向?yàn)锳的洞，那么A就可以向200.20.20.20:22000發(fā)送數(shù)據(jù)了

　　打洞的指令來自Server。B向A的地址100.10.10.10:11000發(fā)一個UDP報(bào)文，被NAT A丟棄，但在NAT B上建立映射記錄，NAT B不在丟棄來自A的報(bào)文。

　　Server通知A可以通訊，A發(fā)起數(shù)據(jù)UDP包給B，NAT B放行，B收到A的包，雙方開始通訊

　　注：若是對稱NAT，當(dāng)B向A打洞的端口要重新分配(NAT A不會再分配11000端口)，B無法獲取這個端口，所以不適用本方法。

　　實(shí)例：TCP穿越NAT：

　　A登錄Server，NAT A分配端口11000，Server得到A的地址為100.10.10.10:11000

　　B登錄Server，NAT B分配端口22000，Server得到B的地址為200.20.20.20:22000

　　A向B發(fā)送TCP數(shù)據(jù)包SYN:192.168.10.11:1234=>200.20.20.20:22000，在NAT A上打洞

　　B向A發(fā)送TCP數(shù)據(jù)包SYN:192.168.20.22:1234=>100.10.10.10:11000，在NAT B上打洞

　　通道建立，A與B三次握手建立TCP連接