穿NAT的方法的核心思想及实现

本来题目是几种，不过写到这里的时候，其中的一些东西已经被其它文章所含概了，所以这里只谈ＮＡＴ的穿透的核心思想：punch技术，我称之为对穿．

　　　（１）先来说对穿的工作原理

　　　在这里我用两个都是在port　restrict　cone　ＮＡＴ后面的ＵＡＣ做例子，假设一个是　Ａ，一个是Ｄ。两个ＮＡＴ　分别是Ｂ和Ｃ。

　　　先来说对穿的过程

　　　ＳＴＥＰ１：ＵＡＣ　Ａ通过Ａ的porta向ＳＴＵＮ服务器发送数据包，得到本socket的ＮＡＴ的外网ＩＰ和端口portnat，注意，此时，这个portnat已经和stun的ＩＰ和port绑定在了一起，这个断口将拒绝一切非ＳＴＵＮ的IP和对应端口的数据包。

　　　ＳＴＥＰ２：现在，假设另一ＩＰ（为Ｅ），通过某种方法（如sip server）得到了此ＩＰ和portnat，在t1时刻，开始不停通过porte向此ＩＰ和portnat发送数据包。很不幸的，根据port　restrict　cone　ＮＡＴ的原理，这些数据包将被ＮＡＴ全部拒绝，因为此时，这个portnat已经被绑定给了ＳＴＵＮ的ＩＰ和port，因此他拒绝一切非stun的ＩＰ和port发来的数据包，而Ｅ发来这些数据包不符合这个port的通过要求，因此这些数据被ＮＡＴ全部过滤掉，也更不可能到达Ａ。

　　　ＳＴＥＰ３：在t2时刻Ａ在次通过Ａ的porta向Ｅ的ＩＰ和端口porte发送了若干个数据包。这是关键，然后如何呢？让我们来分析一下：

　　　对于ＮＡＴ来说，Ａ的发送port没有改变，因此根据ＣＯＮＥ　ＮＡＴ的原理，它仍然用在step1中打开的端口portnat向Ｅ发送数据包。对应的，ＮＡＴ的此port的帮定也就发生了变化，它允许来自Ｅ的porte端口的数据包通过ＮＡＴ，到达Ａ。这也就意味着，t2时刻以后的来自Ｅ的数据包Ａ都可以接收到。

　　　（２）ＳＩＰ中ＲＴＰ流的对穿过程

　　　应该说，如果你理解了上面穿透过程，以下的东西是很好理解的。

　　　首先，Ａ通过ＳＩＰ信令得到Ｄ在ＮＡＴ　Ｃ的ＩＰ和RTP接收端口portd，并且开始向此ＩＰ和port发送ＲＴＰ流。同样的Ｄ也随后想Ａ的ＮＡＴ　Ｂ的ＩＰ和port发送ＲＴＰ流。

　　　理想的情况，在Ａ或Ｄ发送的ＲＴＰ流还没有到达对方之前，Ａ，Ｄ都已经开始了发送ＲＴＰ流，这样，Ａ和Ｄ发送出来的数据就都不会被对方的ＮＡＴ拒绝。遗憾的是这是很难做到的，通常都是一方到达，而另一放的数据还没有开始发送，而在现实中，这种情况占了绝大部分。

　　　假设Ｄ发送过来的ＲＴＰ流已经到达了Ａ所在ＮＡＴ　Ｂ的RTP接收端口，而此时，Ａ还没有通过此端口向Ｄ发送数据，那么这些包将被无情的拒绝。而一旦Ａ通过这个端口发送了数据，那么以后Ｄ发送来的数据，能够全部通过ＮＡＴ，到达Ａ，这也就完成了ＲＴＰ的穿越。同样的情况也发生在ＮＡＴ　Ｃ，Ａ发送的数据也可以通过Ｃ到达Ｄ。

　　　（３）对称ＮＡＴ下，对穿失败的原因所在

　　　实际上，对称ＮＡＴ失去了可以对穿的基础：port不变。下面说下失败过程。

　　　当Ａ通过本地端口ＰＡ向ＳＴＵＮ服务器发送数据包，得到本端口在ＮＡＴ上的影射端口ＰＢ，并把此端口作为ＲＴＰ接收流的port。通过ＳＩＰ信令，这个port被告之给了Ｄ，Ｄ随后向这个ＰＯＲＴ发送数据包，此时，Ａ通过本地端口ＰＡ向Ｄ发送数据包。如果是cone　ＮＡＴ，ＮＡＴ仍然会用Ａ向ＳＴＵＮ发送数据的端口发送数据，可是，遗憾的是，对于对称ＮＡＴ，ＮＡＴ会重新打开一个新的port，用来发送给Ｄ的这些数据。也就是说，Ａ期望这些数据通过最开始得到的影射端口ＰＢ来向Ｄ发送这些数据包，而ＮＡＴ却没有这么做。所以，Ｄ发来的数据永远能不能满足进入规则，这些包将被永远丢弃。

　　　（４）额外的一些思考

　　　前面已经说过，在实际的应用中，一方的数据包都会在另外一放开始发送数据出去之前到达对方，这也就意味着这些数据包将被丢失。所以，在音频ＲＴＰ传输中，你有可能只听到声音“喂”的后一半，虽然有些不舒服，但毕竟影响不大，还是可以被人接受的。

　　　然而在视频传输中，为了减少通过网络传输的流量，很多编码采取发一个Ｉ贞，然后发Ｎ个Ｐ贞，再发一个Ｉ贞的办法减小数据量。而发送给对方第一个被发送的往往是Ｉ贞，而一旦Ｉ贞的丢失意味着丢失的一方必须等下一个Ｉ贞的到来，这个时间可能很长。因此丢失一方在很长的一段时间内没有视频显示，这对用户来说是很不友好的。甚至是不能容忍的。

　　　一个解决办法是，在视频开始的时候，传送多个Ｉ贞。这样，即使头一个没有到达，后面的Ｉ贞也能解决问题。然而，这样的解决办法也带来了一些问题。因为通常Ｉ贞都比较大，多发送Ｉ贞就意味着增加了网络流量。在环境恶劣的情况下，对方可能一个Ｉ贞都没有收完整。

　　　另一个方法是在开始接通之前，发送冗余数据，直到接收到对方来的数据之后才开始发真正的数据包，但这样又给代码的编写提出了要求，也增加了系统的不稳定因素。