转载

NAT穿透介绍

由于 IP 地址资源有限，目前我们使用的各种终端设备都位于局域网后面，也就是多台设备共享同一个公网 IP 。

例如，如果位于局域网里面的一个终端 Agent A 要与互联网上的另一个终端 Agent B 通信，当 A 发送的 data packet 经过局域网出口处的 NAT 设备时， NAT 会将 data packet 里面的 source address 字段替换成相应的公网 IP 和 Port ，然后再发送 data packet 到 Agent B 。 Agent B 看到的 source address 就是经过转换后的 IP 和 Port ，并不知道 Agent A 的局域网地址；当 Agent B 的响应到达 Agent A 的 NAT 设备后， NAT 设备查找内存中保存的和这个外网地址相对应的内网地址，找到后就将这个 data packet 转发到这个地址，这样就实现了通信。

然而由于目前存在着各种不同类型的 NAT 设备，对 NAT 有着不同的实现方式（将内外地址映射成外网地址的时候有着不同的行为方式），这就给 NAT 的穿透带来了麻烦。

NAT类型

Full-cone NAT（also known as one-to-one NAT）

一旦一个内网地址 (iAddr:iPort) 被映射到一个外部地址 (eAddr:ePort), 来自 iAddr:iPort 的任何数据包将通过 eAddr:ePort 发送。
任何外部主机能够通过eAddr:ePort这个地址发送数据包到iAddr:iPort.

Address-restricted-cone NAT

一旦一个内网地址 (iAddr:iPort) 被映射到一个外部地址 (eAddr:ePort), 来自 iAddr:iPort 的任何数据包将通过 eAddr:ePort 发送.
仅只有接收到主机(iAddr:iPort)通过eAddr:ePort发送的数据包的外部主机通过该主机的任何端口发送到eAddr:ePort的数据包才能够被正确的转发到iAddr:iPort.也就是说主机有关端口无关.

Port-restricted cone NAT

类似于address restricted cone NAT, 但是端口号有限制.

一旦一个内网地址 (iAddr:iPort) 被映射到一个外部地址 (eAddr:ePort), 来自 iAddr:iPort 的任何数据包将通过 eAddr:ePort 发送.
仅只有接收到主机(iAddr:iPort)通过eAddr:ePort发送的数据包的外部主机通过该主机的相同端口发送到eAddr:ePort的数据包才能够被正确的转发到iAddr:iPort.

Symmetric NAT

来自相同内部ip和port发送到相同目的地ip和port的请求被映射到唯一的外部ip和port地址；如果相同的内部主机采用相同的ip和port地址发送到不同的目的地，那么重新分配映射地址。
只有先前收到内部主机发送的包的外部主机才能够发送返回包到内部主机。

针对前面三种NAT类型（即cone NAT）只要通信双方彼此知道对方的内部地址和外部地址的映射关系，然后通过UDP打洞的方式就可以建立相互连接的通信；但是第四种也就是Symmetric NAT的话由于每次向不同目的地发送数据包时采用不同的外部地址，也就没办法通过直接的方式建立P2P连接。

各种网络环境下的P2P通信方法

1、如果通信双方在同一个局域网内，这种情况下可以不借助任何外力直接通过内网地址通信即可；

2、如果通信双方都在有独立的公网地址，这种情况下当然可以不借助任何外力直接通信即可；

3、如果通信双方一方拥有独立的公网地址另一方在NAT后面，那么可以由位于NAT后面的一方主动发起通信请求；

4、如果通信双方都位于NAT后面，且双方的NAT类型都是cone NAT，那么可以通过一个STUN服务器发现自己的NAT类型以及内网和外网传输地址映射信息，然后通过Signaling(信令服务器，实现了SIP协议的主机)交换彼此的NAT类型及内网和外网传输地址映射信息，然后通过UDP打洞的方式建立通信连接；

5、如果通信双方有一方的NAT类型是Symmetric NAT，则无法直接建立P2P连接，这个时候就需要借助TURN(Traversal Using Relay NAT)即转发服务器来实现间接通信；

协议及用到的相关技术

SDP(Session Description Protocol)

当初始化多媒体电视会议、IP电话、视频流等会话的时候，参与者之间会要求传送媒介的详细、传输地址和其他会话描述元数据等信息；SDP为这些信息提供一种和传输方式无关的标准的表现形式。也就是说SDP仅仅只是一种描述会话信息的格式。它主要被各种不同的传输协议作为一种信息交换的格式使用列如：HTTP、RTSP、SIP、Email等各种协议。

如ICE里面的SDP内容为：

v=0
o=ice4j.org 0 0 IN IP4 192.168.106.215
s=-
t=0 0
a=ice-options:trickle
a=ice-ufrag:bc01a
a=ice-pwd:1boove7ehnpo1lqho7unefni36
m=audio 3030 RTP/AVP 0
c=IN 192.168.106.215 IP4
a=mid:audio
a=candidate:1 1 udp 2130706431 192.168.106.215 3030 typ host
a=candidate:2 1 udp 1694498815 121.15.130.xxx 64923 typ srflx raddr 192.168.106.215 rport 3030

STUN(Session Traversal Utilities for NAT)

NAT会话穿透工具；STUN提供了一种方式使一个端点能够确定NAT分配的和本地私有IP地址和端口相对应的公网IP地址和端口以及NAT的类型信息。它也为端点提供了一种方式保持一个NAT绑定不过期。NAT绑定过期则表示为相同的内网地址重新分配外网地址也就是端口号。

TURN(Traversal Using Relay NAT)

TURN是STUN协议的扩展，在实际应用中他也可以充当STUN的角色；如果一个位于NAT后面的设备想要和另外一个位于NAT后面的设备建立通信，当采用UDP打洞技术不能改实现的时候就必须要一台中间服务器扮演数据包转发的角色，这台TURN服务器需要拥有公网的IP地址；

SIP(Session Initiation Protocol)

是一种Signaling（信令）通信协议；有许多互联网应用需要创建有多个参与者的会话和管理参与者之间相互的数据交换，然而如果这些工作让应用的参与者来实现是比较复杂的如：用户也许在端点之间移动、通过多个名称寻址和也许同时使用几种不同的媒介通信。有许多协议能够实现各种形式的多媒体会话进行数据传送例如声音、视频或者文本消息。SIP能够和这些协议一同合作，使一个客服端能够发现参与这个会话的其他客服端并共享同一会话。为了定位后面加入会话的参与者等功能，SIP能够为代理服务器创建基础设施，客服端可以通过这个代理服务器实现会话注册、邀请参与会话等功能。SIP是一个创建、修改和终止会话的灵活的多种用途的工具，不依赖于底层的传输协议并且不依赖于被创建的会话类型。

ICE(Interactive Connectivity Establishment)

是实现NAT穿透的一种技术方案；ICE是一种NAT穿透技术，通过offer/answer模型建立基于UDP的媒介流。ICE是offer/answer模型的扩展，通过在offer和answer的SDP里面包含多种IP地址和端口，然后对本地SDP和远程SDP里面的IP地址进行配对，然后通过P2P连通性检查进行连通性测试工作，如果测试通过即表明该传输地址对可以建立连接。其中IP地址和端口（也就是地址）有以下几种：本机地址、通过STUN服务器反射后获取的server-reflexive地址（内网地址被NAT映射后的地址）、relayed地址（和TURN转发服务器相对应的地址）及Peer reflexive地址等。

ICE进行NAT穿透的基本过程

在通常的ICE部署环境中，我们有两个客服端想要建立通信连接，他们可以直接通过signaling服务器（如SIP服务器）执行offer/answer过程来交换SDP消息。

在ICE过程开始的时候，客服端忽略他们各自的网络拓扑结构，不管是不是在NAT设备后面或者多个NAT后面，ICE允许客服端发现他们的所在网络的拓扑结构的信息，然后找出一个或者更多的可以建立通信连接的路径。

NAT穿透介绍

上图显示了一个典型的ICE部署环境，客服端L和R都在各自的NAT设备后面，下面简单描述下ICE建立通信的过程：

（1）L和R先分别通过STUN和TURN服务器获取自己的host address,server-reflexive address、relayed address（和TURN转发服务器相对应的地址），其中server-reflexive address和relayed address通过定时刷新保证地址不过期。这些地址通常叫做candinate地址。

（2）给这些candinate地址分配优先级排序并格式化成SDP格式，通过SIP服务器交换彼此的SDP；

（3）交换完成后根据一定的原则把本地的候选和远程的候选进行配对，每一对都有自己的优先级并根据优先级进行排序后放入Check列表里面（两边都会有相同的Check列表）。

（4）然后进行连接性测试，测试前会选择一个客服端扮演Controlled角色和另一个扮演Controling角色，连通性检查完成后扮演Controling角色的客服端负责在有效的Candinate对列表里面选择一个作为一个被选中的传输通道并通知Controlled的客服端。

（5）利用被选中的candinate地址对进行通信。

原文 https://segmentfault.com/a/1190000008044600

正文到此结束