NAT 穿透原理是什么

在网络架构中，NAT（网络地址转换）技术为解决 IPv4 地址短缺问题发挥了关键作用，它允许内网设备通过少量公网 IP 地址访问外网。然而，NAT 也带来了一个挑战，即外网设备难以直接访问内网设备，NAT 穿透技术正是为解决这一难题而诞生。
NAT 的基本工作原理是将内网设备的私有 IP 地址转换为公网 IP 地址。当内网设备发送数据包到外网时，NAT 设备（如路由器）会修改数据包的源 IP 地址，将私有 IP 替换为公网 IP，并记录下这个映射关系。当外网设备返回响应数据包时，NAT 设备再依据记录的映射关系，将目标 IP 地址还原为对应的内网设备 IP 地址，实现内网与外网的通信。但这种机制导致外网主动发起的连接请求，由于在 NAT 设备上没有预先建立的映射关系，往往会被丢弃，使得位于不同 NAT 设备之后的主机之间无法直接交换信息，这给 P2P 通信等应用带来了困难。
NAT 穿透主要通过以下几种常见方式实现：
1、 UDP 打洞：这是一种常用的 NAT 穿透技术，主要针对 UDP 协议。假设 Client A 和 Client B 位于不同的 NAT 设备之后，它们要实现通信。首先，Client A 和 Client B 都向具有公网 IP 的服务器发起登陆请求，并保持一个 UDP 连接，服务器记录它们经过 NAT 映射之后的 IP 和端口号。当 Client B 想连接 Client A 时，先向服务器提出请求，服务器收到请求后向 Client A 发出打洞命令，并将 Client B 的 IP 和端口号发给 Client A。Client A 根据接收到的信息，向 Client B 发起 UDP 数据包。由于之前 Client A 和 Client B 都与服务器保持 UDP 连接，NAT 设备会为这些连接创建临时映射。此时 Client A 发送的 UDP 数据包到达 Client B 的 NAT 设备时，NAT 设备会根据已有的映射关系，将数据包转发给 Client B，从而在两者之间建立起数据传输通道。
2、 TCP 打洞：原理与 UDP 打洞类似，但由于 TCP 协议的特性，实现相对复杂。TCP 建立连接需要三次握手，在 NAT 穿透场景中，需要通过服务器辅助，让两端同时发起连接尝试。例如，Client A 和 Client B 都向服务器注册自身信息，服务器告知 Client A 和 Client B 对方的地址信息。然后 Client A 和 Client B 几乎同时向对方发起 TCP 连接请求，在各自的 NAT 设备上创建临时映射，使得后续的连接请求能够通过 NAT 设备，最终建立起 TCP 连接。
3、 STUN（Session Traversal Utilities for NAT，NAT 会话遍历实用工具）：这是一种协议，用于协助客户端发现自身的公网 IP 地址和端口，以及 NAT 设备的类型。客户端向 STUN 服务器发送请求，STUN 服务器会返回包含客户端公网 IP 和端口的响应。客户端根据这些信息，结合自身的内网 IP 和端口，计算出如何与其他设备进行通信。例如，客户端通过 STUN 服务器得知自己在 NAT 设备后的公网 IP 为 202.100.100.100，端口为 5000，内网 IP 为 192.168.1.101，端口为 1000，就可以利用这些信息与其他设备尝试建立连接，实现 NAT 穿透。
4、 TURN（Traversal Using Relays around NAT，NAT 穿越中继）：当 UDP 打洞、TCP 打洞等直接穿透方式无法实现时，TURN 协议可作为备用方案。TURN 服务器位于公网，当客户端无法直接与对方建立连接时，客户端与 TURN 服务器建立连接，将数据发送给 TURN 服务器，TURN 服务器再将数据转发给目标客户端。虽然这种方式增加了服务器的负担和数据传输的延迟，但能确保在复杂网络环境下实现通信。

拓展阅读：

1、 不同类型 NAT 设备对穿透的影响：对称型 NAT 由于映射关系复杂，穿透难度较大；而锥形 NAT（包括完全锥形、地址限制锥形、端口限制锥形）相对容易实现穿透，了解 NAT 设备类型有助于选择合适的穿透方法。
2、 NAT 穿透在物联网中的应用：物联网设备多处于内网，NAT 穿透技术可使远程设备管理系统访问内网中的物联网设备，实现设备监控、配置等功能，促进物联网应用发展。
3、 NAT 穿透的安全风险与防范：NAT 穿透打破了 NAT 设备对内部网络的保护，可能引入安全风险，如外部非法访问。可通过设置访问控制策略、使用加密通信等方式防范。