NAT分类及NAPT子类的鉴别

0.引用与说明

REF1

TARS的穿透

1.分类

1.1 对称NAT

对称NAT (Symmetric NAT)，NAT路由器会为私网机器的每一个网络进程都会分配一个地址与
端口，从而将私网网络进程（iAddr1 : iPort1)与公网地址（pAddr1 : pPort1)进行绑定。

后续NAT路由器会把私网机器地址端口(iAddr1: iPort1)与公网地址端口(pAddr1 :pPort1)
完全相同的报文看作一个连接。如图1-1所示。


私网机器的网络进程每与一台公网机器通信，NAT路由器都会重新分配一个地址端口。
这样使得每一个通信链路都是经过NAT路由器不同的端口。公网机器往私网发送报文也是经过
不一样的端口。

1.2 完全锥形NAT

完全锥型NAT (Full Cone NAT),私网机器的网络进程(iAddr: iPort)被NAT路由器映射为
公网地址( pAddr:pPort),后续该网络进程的所有数据报文都被转换为公网地址(pAddr: pPort),
公网任何一台机器发送报文到( pAddr: pPort)，会被转发到私网机器的网络进程(iAddr:iPort).
如图1-2所示.

1.3 IP限制锥形NAT(即限制锥形NAT）

限制锥型NAT，只允许存在于“映射关系”中的对应公网IP地址机器，传输数据到私网机器。
其他的公网IP地址机器发送数据给NAT路由器的公网IP地址与端口时，则会被NAT路由器丢弃。

如何让对应的公网IP存在于映射关系中呢？
需要由私网中的进程首先发报通过锥形限制NAT路由转发给相关公网，否则无法建立映射关系.

1.4 端口限制锥形NAT

端口限制锥形NAT (Port Restricted Cone NAT)，在IP限制锥型NAT的基础上，又添加了一层
端口限制,限制了发送报文进入私网的IP地址与端口.
比如说，私网机器(192.168.1.3:2341)发送报文数据到公网机器(180.93.45.46:8080)的过程中，
在端口限制型NAT路由器上产生了(112.93.114.33:34523）记录.


有以下两种情形讨论：

情形一:私网机器网络进程没有发送报文给公网机器(180.93.45.46)其他端口,则端口限制锥形NAT
路由器只允许公网地址:端口号(180.93.45.46:8080)的数据报文进入私网;

情形二:私网机器网络进程发送数据给公网机器(180.93.45.46)的其他端口,端口限制锥形NAT路由
器生成一条NAT记录,则允许该端口的数据报文到达网络进程.

2.NAPT子类的鉴别

如今大部分用的都是NAPT类型的路由，在用的是NAPT类型的路由器的这个前提下，
我们最多分三个大步骤可鉴别出具体的路由类型：
(1)判断是对称NAT还是锥形NAT；
(2)如果是锥形NAT,判断是限制锥形NAT还是完全锥形NAT；
(3)如果是限制锥形NAT,判断是IP限制锥形NAT还是端口限制锥形NAT.

注：此处将IP限制锥形NAT与端口限制锥形NAT统称为限制锥形NAT.

3.UDP打洞

** 使用 NAT 穿透 (UDP 打洞) - 它可能是不稳定的 **

此 VPN 客户端通过使用 NAT 穿透 (UDP 打洞) 技术连接到 VPN 服务器 'rms-PC'。

NAT穿透允许位于NAT盒后面的VPN服务器接受来自NAT盒中的、没有任何端口映射设置的VPN客户端的
VPN连接。

然而，基于 NAT 穿透的 VPN 会话有时会变得不稳定，因为NAT穿透使用的是基于 UDP 的协议。
例如，如果在 VPN 服务器和 VPN 客户端之间有一个不好的 NAT 盒子， VPN 隧道每 5 分钟断开
一次。一些大规模 NAT 网关使用便宜的互联网服务供应商，有时会造成 NAT 穿透的同样问题。这
是路由器或互联网服务供应商的问题。这不是 SoftEther VPN 软件的问题。

为了解决这个不稳定的隧道问题，您应该直接连接到 VPN 服务器的 TCP 监听端口，而不是使用NAT
穿透功能。要使用 TCP 直接连接到 VPN 服务器， VPN 服务器的监听端口必须通过在 NAT 盒的端
口映射设置暴露到互联网上。请询问 NAT 盒的管理员或参阅 NAT 盒的手册在 NAT 盒上添加端口映
射设置。

如果此消息仍是VPN服务器暴露了一个TCP端口到互联网后，检查VPN客户端连接设置屏幕上的
"禁用NAT-T"复选框。