用語定義

1.內(nèi)部Tuple：指內(nèi)部主機的私有地址和端口號所構(gòu)成的二元組，即內(nèi)部主機所發(fā)送報文的源地址、端口所構(gòu)成的二元組
2.外部Tuple：指內(nèi)部Tuple經(jīng)過NAT的源地址/端口轉(zhuǎn)換之后，所獲得的外部地址、端口所構(gòu)成的二元組，即外部主機收到經(jīng)NAT轉(zhuǎn)換之后的報文時，它所看到的該報文的源地址（通常是NAT設(shè)備的地址）和源端口
3.目標Tuple：指外部主機的地址、端口所構(gòu)成的二元組，即內(nèi)部主機所發(fā)送報文的目標地址、端口所構(gòu)成的二元組

詳細釋義

1. Full Cone NAT：所有來自同一 個內(nèi)部Tuple X的請求均被NAT轉(zhuǎn)換至同一個外部Tuple Y，而不管這些請求是不是屬于同一個應(yīng)用或者是多個應(yīng)用的。除此之外，當X-Y的轉(zhuǎn)換關(guān)系建立之后，任意外部主機均可隨時將Y中的地址和端口作為目標地址 和目標端口，向內(nèi)部主機發(fā)送UDP報文，由于對外部請求的來源無任何限制，因此這種方式雖然足夠簡單，但卻不那么安全

2. Restricted Cone NAT： 它是Full Cone的受限版本：所有來自同一個內(nèi)部Tuple X的請求均被NAT轉(zhuǎn)換至同一個外部Tuple Y，這與Full Cone相同，但不同的是，只有當內(nèi)部主機曾經(jīng)發(fā)送過報文給外部主機（假設(shè)其IP地址為Z）后，外部主機才能以Y中的信息作為目標地址和目標端口，向內(nèi)部 主機發(fā)送UDP請求報文，這意味著，NAT設(shè)備只向內(nèi)轉(zhuǎn)發(fā)（目標地址/端口轉(zhuǎn)換）那些來自于當前已知的外部主機的UDP報文，從而保障了外部請求來源的安 全性

3. Port Restricted Cone NAT：它是Restricted Cone NAT的進一步受限版。只有當內(nèi)部主機曾經(jīng)發(fā)送過報文給外部主機（假設(shè)其IP地址為Z且端口為P）之后，外部主機才能以Y中的信息作為目標地址和目標端 口，向內(nèi)部主機發(fā)送UDP報文，同時，其請求報文的源端口必須為P，這一要求進一步強化了對外部報文請求來源的限制，從而較Restrictd Cone更具安全性

4. Symmetric NAT：這是一種比所有Cone NAT都要更為靈活的轉(zhuǎn)換方式：在Cone NAT中，內(nèi)部主機的內(nèi)部Tuple與外部Tuple的轉(zhuǎn)換映射關(guān)系是獨立于內(nèi)部主機所發(fā)出的UDP報文中的目標地址及端口的，即與目標Tuple無關(guān)； 在Symmetric NAT中，目標Tuple則成為了NAT設(shè)備建立轉(zhuǎn)換關(guān)系的一個重要考量：只有來自于同一個內(nèi)部Tuple 、且針對同一目標Tuple的請求才被NAT轉(zhuǎn)換至同一個外部Tuple，否則的話，NAT將為之分配一個新的外部Tuple；打個比方，當內(nèi)部主機以相 同的內(nèi)部Tuple對2個不同的目標Tuple發(fā)送UDP報文時，此時NAT將會為內(nèi)部主機分配兩個不同的外部Tuple，并且建立起兩個不同的內(nèi)、外部 Tuple轉(zhuǎn)換關(guān)系。與此同時，只有接收到了內(nèi)部主機所發(fā)送的數(shù)據(jù)包的外部主機才能向內(nèi)部主機返回UDP報文，這里對外部返回報文來源的限制是與Port Restricted Cone一致的。不難看出，如果說Full Cone是要求最寬松NAT UDP轉(zhuǎn)換方式，那么，Symmetric NAT則是要求最嚴格的NAT方式，其不僅體現(xiàn)在轉(zhuǎn)換關(guān)系的建立上，而且還體現(xiàn)在對外部報文來源的限制方面。

P2P的NAT研究
第一部分：NAT介紹
第二部分：NAT類型檢測

第一部分： NAT介紹
各種不同類型的NAT(according to RFC)
Full Cone NAT:
   內(nèi)網(wǎng)主機建立一個UDP socket(LocalIP:LocalPort) 第一次使用這個socket給外部主機發(fā)送數(shù)據(jù)時NAT會給其分配一個公網(wǎng)(PublicIP:PublicPort),以后用這個socket向外面任何主機發(fā)送數(shù)據(jù)都將使用這對(PublicIP:PublicPort)。此外，任何外部主機只要知道這個(PublicIP:PublicPort)就可以發(fā)送數(shù)據(jù)給(PublicIP:PublicPort)，內(nèi)網(wǎng)的主機就能收到這個數(shù)據(jù)包
Restricted Cone NAT:
   內(nèi)網(wǎng)主機建立一個UDP socket(LocalIP:LocalPort) 第一次使用這個socket給外部主機發(fā)送數(shù)據(jù)時NAT會給其分配一個公網(wǎng)(PublicIP:PublicPort),以后用這個socket向外面任何主機發(fā)送數(shù)據(jù)都將使用這對(PublicIP:PublicPort)。此外，如果任何外部主機想要發(fā)送數(shù)據(jù)給這個內(nèi)網(wǎng)主機，只要知道這個(PublicIP:PublicPort)并且內(nèi)網(wǎng)主機之前用這個socket曾向這個外部主機IP發(fā)送過數(shù)據(jù)。只要滿足這兩個條件，這個外部主機就可以用自己的(IP,任何端口)發(fā)送數(shù)據(jù)給(PublicIP:PublicPort)，內(nèi)網(wǎng)的主機就能收到這個數(shù)據(jù)包
Port Restricted Cone NAT:
    內(nèi)網(wǎng)主機建立一個UDP socket(LocalIP:LocalPort) 第一次使用這個socket給外部主機發(fā)送數(shù)據(jù)時NAT會給其分配一個公網(wǎng)(PublicIP:PublicPort),以后用這個socket向外面任何主機發(fā)送數(shù)據(jù)都將使用這對(PublicIP:PublicPort)。此外，如果任何外部主機想要發(fā)送數(shù)據(jù)給這個內(nèi)網(wǎng)主機，只要知道這個(PublicIP:PublicPort)并且內(nèi)網(wǎng)主機之前用這個socket曾向這個外部主機(IP,Port)發(fā)送過數(shù)據(jù)。只要滿足這兩個條件，這個外部主機就可以用自己的(IP,Port)發(fā)送數(shù)據(jù)給(PublicIP:PublicPort)，內(nèi)網(wǎng)的主機就能收到這個數(shù)據(jù)包
Symmetric NAT:
    內(nèi)網(wǎng)主機建立一個UDP socket(LocalIP,LocalPort),當用這個socket第一次發(fā)數(shù)據(jù)給外部主機1時,NAT為其映射一個(PublicIP-1,Port-1),以后內(nèi)網(wǎng)主機發(fā)送給外部主機1的所有數(shù)據(jù)都是用這個(PublicIP-1,Port-1)，如果內(nèi)網(wǎng)主機同時用這個socket給外部主機2發(fā)送數(shù)據(jù)，第一次發(fā)送時，NAT會為其分配一個(PublicIP-2,Port-2), 以后內(nèi)網(wǎng)主機發(fā)送給外部主機2的所有數(shù)據(jù)都是用這個(PublicIP-2,Port-2).如果NAT有多于一個公網(wǎng)IP，則PublicIP-1和PublicIP-2可能不同，如果NAT只有一個公網(wǎng)IP,則Port-1和Port-2肯定不同，也就是說一定不能是PublicIP-1等于 PublicIP-2且Port-1等于Port-2。此外，如果任何外部主機想要發(fā)送數(shù)據(jù)給這個內(nèi)網(wǎng)主機，那么它首先應(yīng)該收到內(nèi)網(wǎng)主機發(fā)給他的數(shù)據(jù)，然后才能往回發(fā)送，否則即使他知道內(nèi)網(wǎng)主機的一個(PublicIP,Port)也不能發(fā)送數(shù)據(jù)給內(nèi)網(wǎng)主機，這種NAT無法實現(xiàn)UDP-P2P通信。

第二部：NAT類型檢測

前提條件:有一個公網(wǎng)的Server并且綁定了兩個公網(wǎng)IP(IP-1,IP-2)。這個Server做UDP監(jiān)聽(IP-1,Port-1),(IP-2,Port-2)并根據(jù)客戶端的要求進行應(yīng)答。

第一步：檢測客戶端是否有能力進行UDP通信以及客戶端是否位于NAT后？

客戶端建立UDP socket然后用這個socket向服務(wù)器的(IP-1,Port-1)發(fā)送數(shù)據(jù)包要求服務(wù)器返回客戶端的IP和Port, 客戶端發(fā)送請求后立即開始接受數(shù)據(jù)包，要設(shè)定socket Timeout（300ms），防止無限堵塞. 重復(fù)這個過程若干次。如果每次都超時，無法接受到服務(wù)器的回應(yīng)，則說明客戶端無法進行UDP通信，可能是防火墻或NAT阻止UDP通信，這樣的客戶端也就 不能P2P了（檢測停止）。
當客戶端能夠接收到服務(wù)器的回應(yīng)時，需要把服務(wù)器返回的客戶端（IP,Port）和這個客戶端socket的 （LocalIP，LocalPort）比較。如果完全相同則客戶端不在NAT后，這樣的客戶端具有公網(wǎng)IP可以直接監(jiān)聽UDP端口接收數(shù)據(jù)進行通信（檢 測停止）。否則客戶端在NAT后要做進一步的NAT類型檢測(繼續(xù))。

第二步：檢測客戶端NAT是否是Full Cone NAT？

客戶端建立UDP socket然后用這個socket向服務(wù)器的(IP-1,Port-1)發(fā)送數(shù)據(jù)包要求服務(wù)器用另一對(IP-2,Port-2)響應(yīng)客戶端的請求往回 發(fā)一個數(shù)據(jù)包,客戶端發(fā)送請求后立即開始接受數(shù)據(jù)包，要設(shè)定socket Timeout（300ms），防止無限堵塞. 重復(fù)這個過程若干次。如果每次都超時，無法接受到服務(wù)器的回應(yīng)，則說明客戶端的NAT不是一個Full Cone NAT，具體類型有待下一步檢測(繼續(xù))。如果能夠接受到服務(wù)器從(IP-2,Port-2)返回的應(yīng)答UDP包，則說明客戶端是一個Full Cone NAT，這樣的客戶端能夠進行UDP-P2P通信（檢測停止）。

第三步：檢測客戶端NAT是否是Symmetric NAT？

客戶端建立UDP socket然后用這個socket向服務(wù)器的(IP-1,Port-1)發(fā)送數(shù)據(jù)包要求服務(wù)器返回客戶端的IP和Port, 客戶端發(fā)送請求后立即開始接受數(shù)據(jù)包，要設(shè)定socket Timeout（300ms），防止無限堵塞. 重復(fù)這個過程直到收到回應(yīng)（一定能夠收到，因為第一步保證了這個客戶端可以進行UDP通信）。
用同樣的方法用一個socket向服務(wù)器的(IP-2,Port-2)發(fā)送數(shù)據(jù)包要求服務(wù)器返回客戶端的IP和Port。
比 較上面兩個過程從服務(wù)器返回的客戶端(IP,Port),如果兩個過程返回的(IP,Port)有一對不同則說明客戶端為Symmetric NAT，這樣的客戶端無法進行UDP-P2P通信（檢測停止）。否則是Restricted Cone NAT，是否為Port Restricted Cone NAT有待檢測(繼續(xù))。

第四步：檢測客戶端NAT是否是Restricted Cone NAT還是Port Restricted Cone NAT？

客戶端建立UDP socket然后用這個socket向服務(wù)器的(IP-1,Port-1)發(fā)送數(shù)據(jù)包要求服務(wù)器用IP-1和一個不同于Port-1的端口發(fā)送一個UDP 數(shù)據(jù)包響應(yīng)客戶端, 客戶端發(fā)送請求后立即開始接受數(shù)據(jù)包，要設(shè)定socket Timeout（300ms），防止無限堵塞. 重復(fù)這個過程若干次。如果每次都超時，無法接受到服務(wù)器的回應(yīng)，則說明客戶端是一個Port Restricted Cone NAT，如果能夠收到服務(wù)器的響應(yīng)則說明客戶端是一個Restricted Cone NAT。以上兩種NAT都可以進行UDP-P2P通信。

注：以上檢測過程中只說明了可否進行UDP-P2P的打洞通信，具體怎么通信一般要借助于Rendezvous Server。另外對于Symmetric NAT不是說完全不能進行UDP-P2P達洞通信，可以進行端口預(yù)測打洞，不過不能保證成功。