NAT

参考：

https://zh.wikipedia.org/wiki/%E7%BD%91%E7%BB%9C%E5%9C%B0%E5%9D%80%E8%BD%AC%E6%8D%A2

http://baike.baidu.com/view/1580678.htm

 

网络地址转换 Network Address Translation

1 分类：

1.1 完全圆锥型NAT 

Full cone NAT: one-to-one NAT

一旦一个内部地址(iAddr:port1)映射到外部地址(eAddr:port2),所有发自iAddr:port1的包都经由eAddr:port2向外发送.任意外部主机都能通过给eAddr:port2发包到达iAddr:port1

1.2 受限圆锥型NAT

Address-Restricted cone NAT

一旦一个内部地址(iAddr:port1)映射到外部地址(eAddr:port2),所有发自iAddr:port1的包都经由eAddr:port2向外发送.

任意外部主机(hostAddr:any)都能通过给eAddr:port2发包到达iAddr:port1的前提是：iAddr:port1之前发送过包到hostAddr:any. "any"也就是说端口不受限制

1.3 端口受限圆锥型NAT

Port-Restricted cone NAT

一旦一个内部地址(iAddr:port1)映射到外部地址(eAddr:port2),所有发自iAddr:port1的包都经由eAddr:port2向外发送.

一个外部主机(hostAddr:port3)能够发包到达iAddr:port1的前提是：iAddr:port1之前发送过包到hostAddr:port3.

1.4 对称NAT

Symmetric NAT

• 每一个来自相同内部IP与port的请求到一个特定目的地的IP地址和端口，映射到一个独特的外部来源的IP地址和端口。同一个内部主机发出一个信息包到不同的目的端，不同的映射使用
• 只有曾经收到过内部主机封包的外部主机，才能够把封包发回来

2 ICE STUN TURN

2.1 STUN

如果NAT是完全圆锥型的，那么双方中的任何一方都可以发起通信。如果NAT是受限圆锥型或端口受限圆锥型，双方必须一起开始传输.

 原理示意图： 

 https://upload.wikimedia.org/wikipedia/commons/6/63/STUN_Algorithm3.svg

思路：

私网中的VOIP终端通过某种机制预先得到出口NAT上的对外地址，然后在净载中所填写的地址信息直接填写出口NAT上的对外地址，而不是私网内终端的私有IP地址，这样净载中的内容在经过NAT时就无需被修改了，只需按普通NAT流程转换报文头的IP地址即可，净载中的 IP地址信息和报文头地址信息是一致的。

实现：

应用程序（即STUN CLIENT）向NAT外的STUN SERVER通过UDP发送请求STUN 消息，STUN SERVER收到请求消息，产生响应消息，响应消息中携带请求消息的源端口，即STUN CLIENT在NAT上对应的外部端口。然后响应消息通过NAT发送给STUN CLIENT，STUN CLIENT通过响应消息体中的内容得知其NAT上的外部地址，并将其填入以后呼叫协议的UDP负载中，告知对端，本端的RTP接收地址和端口号为NAT 外部的地址和端口号。由于通过STUN协议已在NAT上预先建立媒体流的NAT映射表项，故媒体流可顺利穿越NAT.

特点：

• 无需现有NAT/FW设备做任何改动。
• 需要VOIP终端支持STUN CLIENT的功能，同时STUN并不适合支持TCP连接的穿越，因此不支持H323.另外STUN方式不支持对防火墙的穿越，不支持对称NAT （Symmetric NAT）类型（在安全性要求较高的企业网中，出口NAT通常是这种类型）穿越。

2.2 TURN

 Traversal Using Relay NAT   TURN是一个client-server协议。

思路：

与STUN类似

实现：

TURN的NAT穿透方法与STUN类似，都是通过取得应用层中的公有地址达到NAT穿透。但实现TURN client的终端必须在通讯开始前与TURN server进行交互，并要求TURN server产生"relay port", 也就是relayed-transport-address。这时 TURN server会建立peer, 即远端端点（remote endpoints）, 开始进行中继（relay）的动作，TURN client利用relay port将资料传送至peer, 再由peer转传到另一方的TURN client。

特点：

通过Relay方式穿越NAT.TURN应用模型通过分配TURN Server的地址和端口作为私网中VOIP终端对外的接受地址和端口，即私网终端发出的报文都要经过TURN Server进行Relay转发，这种方式除了具有STUN方式的优点外，还解决了STUN应用无法穿透对称NAT（Symmetric　NAT）以及类似的Firewall设备的缺陷，同时TURN支持基于TCP的应用，如H323协议。此外TURN Server控制分配地址和端口，能分配RTP/RTCP地址对（RTCP端口号为RTP端口号加1）作为私网终端用户的接受地址，避免了STUN方式中出口NAT对RTP/RTCP地址端口号的任意分配，使得客户端无法收到对端发来的RTCP报文（对端发RTCP报文时，目的端口号缺省按RTP端口号加 1发送）。

2.3 ICE

Interactive Connectivity Establishment

目前在NAT穿透中最常用的方式。ICE（交互式连接建立）- Interactive Connectivity Establishment 是一种综合性的NAT穿越的技术。

交互式连接建立是由IETF的MMUSIC工作组开发出来的一种framework，可整合各种NAT 穿透技术，如STUN、TURN（Traversal  Using Relay NAT）、RSIP（Realm Specific  IP，特定域IP）等。

该framework可以让SIP的客户端利用各种NAT穿透方式打穿远程的防火墙。