目标

路由穿透，实现广域网P2P通讯。

4种典型NAT类型

按照NAT设备在进行地址映射时行为的不同，NAT可以分为以下四种：

Full Cone
Restricted Cone
Port Restricted Cone
Symmentric

目前主要的NAT类型有如下几种：

1)Full-cone NAT, also known as one-to-one NAT

一旦一个内网地址 (iAddr:iPort) 被映射到一个外部地址 (eAddr:ePort), 来自 iAddr:iPort 的任何数据包将通过 eAddr:ePort 发送.
任何外部主机能够通过eAddr:ePort这个地址发送数据包到iAddr:iPort.

2)Address-restricted-cone NAT

一旦一个内网地址 (iAddr:iPort) 被映射到一个外部地址 (eAddr:ePort), 来自 iAddr:iPort 的任何数据包将通过 eAddr:ePort 发送.
仅只有接收到主机(iAddr:iPort)通过eAddr:ePort发送的数据包的外部主机通过该主机的任何端口发送到eAddr:ePort的数据包才能够被正确的转发到iAddr:iPort.也就是说主机有关端口无关.

3)Port-restricted cone NAT

类似于address restricted cone NAT, 但是端口号有限制.

一旦一个内网地址 (iAddr:iPort) 被映射到一个外部地址 (eAddr:ePort), 来自 iAddr:iPort 的任何数据包将通过 eAddr:ePort 发送.
仅只有接收到主机(iAddr:iPort)通过eAddr:ePort发送的数据包的外部主机通过该主机的相同端口发送到eAddr:ePort的数据包才能够被正确的转发到iAddr:iPort.

4)Symmetric NAT

来自相同内部ip和port发送到相同目的地ip和port的请求被映射到唯一的外部ip和port地址；如果相同的内部主机采用相同的ip和port地址发送到不同的目的地，那么重新分配映射地址。
只有先前收到内部主机发送的包的外部主机才能够发送返回包到内部主机。

针对前面三种NAT类型（即cone NAT）只要通信双方彼此知道对方的内部地址和外部地址的映射关系，然后通过UDP打洞的方式就可以建立相互连接的通信；但是第四种也就是Symmetric NAT的话由于每次向不同目的地发送数据包时采用不同的外部地址，也就没办法通过直接的方式建立P2P连接。

如何判断本机NAT类型

可以通过PyStun来判断：

    NAT Type: Full Cone
    External IP: 180.160.213.93
    External Port: 32130

现代几种穿透协议

STUN

STUN协议为终端提供一种方式能够获知自己经过NAT映射后的地址，从而替代位于应用层中的私网地址，达到NAT穿透的目的。STUN协议是典型的Client-Server协议，各种具体应用通过嵌入STUN客户端与STUN Server端通讯来完成交互。

在典型的运用STUN进行NAT穿透的场景中，STUN客户端首先向位于公网上的STUN服务器发送Binding Request消息，STUN服务器接收到请求消息后识别出经过NAT转换后的公网地址60.1.1.1:12345，将其附加在Binding Response消息中返回给客户端。客户端得到这个地址后用它替换SDP中的私网地址与终端B完成媒体协商。使用STUN进行NAT穿透对应用的要求是必须使用同样的端口与STUN服务器交互和进行应用层通讯，比如当希望使用端口 37000进行RTP包的NAT穿透时，必须同样使用37000端口与STUN服务器通讯，否则从STUN 服务器获得的NAT映射后的地址一般与实际地址时不一样的。另一个要求是STUN客户端与服务器端的通讯和应用使用获得的NAT映射地址进行应用层通讯在时间上必须有连贯性，这源于NAT设备建立的绑定有生存时间，当原绑定消亡后，NAT设备为同一个私网地址建立的新绑定往往不同，因此转换后的公网地址是不同的。

STUN方案的特性如下表：

特性	说明
实现复杂度	实现简单
TCP穿透支持	不支持
对现有设备的要求	要求客户端支持，对现有NAT设备无改动要求，需增加STUN服务器
可扩展性	可扩展性好，与具体协议无关
安全性	一般
健壮性	差，不支持symmentric型NAT
其他	支持自动检测NAT类型，使用户即使在使用STUN协议无法实现NAT 穿透时还可以根据NAT类型自主选择其他可使用的NAT穿透方案

TURN

TURN解决NAT穿透的思路与STUN类似，都是通过修改应用层中的私网地址达到NAT穿透。与STUN不同的是，TURN是通过两方通讯的“中间人”的方式实现穿透，在这种方式下，要进行通讯的两方分别与位于公网上的TURN服务器建立各自的连接进行通讯，由服务器负责在两方之间进行数据转发。要达到这个目的，实现TURN客户端的终端必须在通讯开始前与TURN服务器进行交互，得到服务器为其临时分配的位于TURN服务器上的公网地址，客户端使用它替换位于应用层中的私网地址。

TURN方案的特性如下表：

特性	说明
实现复杂度	难于实现。TURN的安全性设计增加终端设置的复杂度
TCP穿透支持	支持
对现有设备的要求	对现有NAT设备无要求，要求客户端支持，需增加TURN服务器s
可扩展性	可扩展性好，与具体协议无关
安全性	一般
健壮性	好，支持所有类型的NAT
其他	与P2P穿透方式相比，性能时relay穿透方式的弱点。另外TURN无法实现负载分担，解决的方式是把media relay服务器的分配工作放在 SIP proxy完成

ICE

与STUN和TURN相比，ICE并非是解决NAT穿透问题的协议，而是一个框架，在这个框架中，可以整合其他现存的NAT穿透协议，如STUN、TURN、RSIP等。区别于其他的NAT穿透解决方案，ICE是一种探索和更新式的解决方案，通过搜集自身和对端尽可能多的网络信息（各种网络地址），尝试在这些地址间建立数据通道，并在这一过程中不断更新先前收集到的信息，从而找出和选择能够进行NAT穿透的数据通道。

ICE方案的特性如下表：

特性	说明
实现复杂度	一般
TCP穿透支持	支持
对现有设备的要求	对NAT设备无要求，支持所有类型的NAT设备。客户端必须支持，网路结构中需增加STUN/TURN服务器
可扩展性	可扩展性好，与具体协议无关
安全性	较好
健壮性	好，适用与所有NAT及NAT拓扑类型，且由于存在中继服务器，NAT 穿透一般总是能成功
其他

其他技术

尝试解决

两台没有外网 IP、在 NAT 后边的主机如何直连？UDP打洞通常可行，但是需要第三方服务器。方法如下：

在服务器 S 上监听一个 UDP 端口，在收到 UDP 数据包后把源地址发回去。代码如下：

#!/usr/bin/env python3
# vim:fileencoding=utf-8

'''echo back clients' udp address'''

import sys
import time
import socket

registry = []

def get_peer(name, addr):
  now = time.time()
  for t, k, a in reversed(registry):
    if now - t > 500:
      ret = None
      break
    if k == name and addr[0] != a[0]:
      ret = a
      break
  else:
    ret = None

  registry.append((now, name, addr))
  del registry[:-50]

  return ret

def main(port):
  s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
  s.bind(('', port))
  try:
    while True:
      data, addr = s.recvfrom(4096)
      msg = data.decode('utf-8', 'replace').rstrip('\n')
      try:
        cmd, *rest = msg.split()
      except ValueError:
          continue
      cmd = cmd.upper()
      if cmd == 'REG' and len(rest):
        name = rest[0]
        back = 'ADDR %s %d' % addr
        peer_addr = get_peer(name, addr)
        if peer_addr:
          back += ' %s %d' % peer_addr
        back += '\n'
      else:
        back = 'Your address is %r\n' % (addr,)
      s.sendto(back.encode(), addr)
      print(time.strftime('%Y-%m-%d %H:%M:%S'), addr, msg)
  except KeyboardInterrupt:
    print()

if __name__ == '__main__':
  try:
    port = int(sys.argv[1])
  except (ValueError, IndexError):
    sys.exit('which port to listen?')
main(port)

来源：https://www.cnblogs.com/tingguoguoyo/p/10955488.html

标签

nat穿透