NAT? ALG（NAT應用級網(wǎng)）

為某些應用層協(xié)議，因為其報文內容可能攜帶IP相關信息，而普通NAT轉化無法將這些IP轉化，從而導致協(xié)議無法正常運行

例如FTP，DHCP，RSTP，ICMP，IPSEC，GRE等

內網(wǎng)穿透

雙方設備需要互通，可借助FRP服務器而不進行NAT轉換直接進行通訊，常用于遠程控制和游戲跨局域網(wǎng)聯(lián)機

原理就是在公網(wǎng)內找一臺服務器作為FRP服務器，所有數(shù)據(jù)經(jīng)過FRP服務器進行端口映射轉發(fā)給對端，從而實現(xiàn)兩者間通信不使用NAT

NAT網(wǎng)絡類型（STUN定義）

完全錐形NAT

私網(wǎng)IP發(fā)送數(shù)據(jù)到公網(wǎng)時，NAT設備會將私網(wǎng)IP和端口映射為一個公網(wǎng)IP和端口，所有私網(wǎng)IP被轉換為同一個公網(wǎng)IP和端口，策略較為寬松，達成映射關系即可互訪

限制錐形NAT

同上，但是只有當內部主機之前已經(jīng)向公網(wǎng)主機發(fā)送過報文，公網(wǎng)主機才能向私網(wǎng)主機發(fā)送報文

端口限制錐形NAT

與限制錐型NAT類似，但它包括端口號，也就是說只有之前通信過的公網(wǎng)主機IP和端口號才能向私網(wǎng)主機發(fā)送報文

對稱NAT

根據(jù)發(fā)送目的地映射公網(wǎng)IP，不同請求有不同的映射關系，只有收到數(shù)據(jù)的公網(wǎng)主機才可以反過來向私網(wǎng)主機發(fā)送報文

NAT打洞

定義

打洞是指通過中間設備（如路由反射器）的協(xié)助在各自的NAT網(wǎng)關上建立相關表項，使P2P連接雙方發(fā)送的報文能夠直接穿透NAT網(wǎng)關的過程。

過程

1.通訊前兩臺設備進行牽引搭橋，即在公網(wǎng)內尋求一臺服務器

2.雙方發(fā)給服務器自己的私網(wǎng)IP和轉換后的公網(wǎng)IP以及端口

3.服務器收到后向兩臺設備分別發(fā)送對端的信息

4.雙方收到后，用服務器給的公網(wǎng)IP直接進行通訊

注意

1.對稱性NAT無法進行打洞，因為其沒有一個固定的外部可見的IP和端口，外部主機難以主動發(fā)起連接到內部主機

2.完全錐形NAT雖然結構簡單但安全性低，最安全的是對稱NAT

STUN

STUN是一種解決P2P應用NAT穿越問題的常用技術。它允許網(wǎng)絡設備找出通信端點經(jīng)NAT設備后的IP地址和端口號，并利用這些信息在通信雙方之間建立一條可以穿越NAT設備的數(shù)據(jù)通道，實現(xiàn)P2P通信

工作原理

1.NAT類型檢測：STUN通過客戶端與STUN服務器之間的請求和響應來發(fā)現(xiàn)NAT的外部IP地址和端口號?？蛻舳耸紫认騍TUN服務器發(fā)送一個請求，STUN服務器收到請求后，回復一個響應，其中包含了從服務器角度看客戶端的公網(wǎng)IP地址和端口信息

2.NAT打洞：過程同上

TURN

TURN允許位于NAT后面的客戶端通過一個中繼服務器與其他客戶端進行通信，特別是在直接通信（如P2P）由于NAT限制而無法實現(xiàn)時，可以解決對稱NAT無法打洞的問題

工作原理

1. 分配階段：客戶端首先向TURN服務器請求分配一個中繼地址，TURN服務器會響應一個包含分配的中繼地址、客戶端NAT映射后的地址和有效期的消息
2. 轉發(fā)階段：客戶端通過創(chuàng)建轉發(fā)授權請求，允許TURN服務器將數(shù)據(jù)轉發(fā)給指定的對等方?？蛻舳丝梢酝ㄟ^發(fā)送數(shù)據(jù)指示消息（Send Indication）將數(shù)據(jù)發(fā)送給對等方，而對等方可以直接將數(shù)據(jù)發(fā)送到客戶端的中繼地址

總結

NAT給IPv4地址延長壽命的同時，也給一些協(xié)議的正常運行造成了影響，這也是為什么NAT不能從根源解決問題的原因。而NAT擴展協(xié)議的出現(xiàn)不僅提高了網(wǎng)絡安全性，增加了網(wǎng)絡靈活性，解決了因普通NAT導致P2P通信中斷的問題。不過，同時也增加了網(wǎng)絡復雜度，提高設備性能要求。