NAT簡介

我們知道，WebRTC會按照內網、P2P、中轉的順序來嘗試連接。在大部分的情況下，實際是使用P2P或者中轉的。這里P2P的場景主要使用的技術就是NAT穿透。

我們先簡單了解下NAT。NAT在真實網絡中是常見的，它的出現一是為了解決ipv4地址不夠用的問題，二是為了網絡安全考慮的。

• 首先，讓同一個內網中的多臺主機共用一個公網ip，可以大大緩解ipv4向ipv6過度期間，ipv4地址不夠用的問題。

• 另外，NAT將主機隱藏在內網中，也就使得黑客想訪問起來并沒有那么容易了。

NAT的規(guī)范在RFC 3022中定義，其主要作用就是做網絡地址轉換。NAT設備（路由器）會在內網地址和外網地址之間建立起映射關系。當內網主機向外網主機發(fā)送信息時，NAT會將內網地址替換為映射的外網地址。相對應的，當外網主機向內網主機發(fā)生信息時，NAT會將外網地址替換為映射的內網地址。

因為NAT設備的存在，外網主機通常無法直接與內網主機通信。所以在建立P2P連接之前，需要做的就是NAT穿透，也就是俗稱的“打洞”。

NAT類型

RFC3489和RFC5389是關于NAT穿透的協(xié)議，其中RFC3489中把NAT分成了4個類型。它們對NAT穿透的限制呈遞進趨勢。

完全錐型

• 完全錐型NAT的規(guī)范是，只要內網主機A通過端口p1發(fā)出數據包，在NAT上生成了相應的映射表（這個表就是所謂的“洞”）。接收數據包的外網主機能從這個數據包的報文中得到這個映射關系。它可以將這個映射關系告訴其他外網主機，這樣任意外網主機發(fā)送到這個NAT上端口p1的數據包就都會被轉發(fā)到內網主機A上。
• 完全錐型NAT的特點就是只要“打洞”成功，所有知道這個“洞”的主機都能通過它和內網主機進行通信。

IP限制錐型

• IP限制錐型NAT的規(guī)范相比于完全錐型NAT，限制了外網來的IP。也就是說，只有從內網主機發(fā)送數據包的目的IP，發(fā)送到這個NAT上端口p1的數據包才會被轉發(fā)到內網主機A上。
• IP限制錐型NAT的特點就是“打洞成功”后，只有成功“打洞”的外網主機才能通過這個“洞”和內網主機進行通信。其他外網主機即使知道這個“洞”，發(fā)來的數據包也回被NAT丟棄。

端口限制錐型

• 端口限制錐型NAT的規(guī)范相比于IP限制錐型NAT，除了限制外網來的IP，還要限制端口。也就是說只有從內網主機發(fā)送數據包的目的IP和端口，發(fā)送到這個NAT上端口p1的數據包才會被轉發(fā)到內網主機A上。
• 端口限制錐型NAT的特點就是，除了限制了“洞”的外網ip，還限制了“洞”的外網端口。

對稱型

• 對稱型NAT的規(guī)范相比于端口限制錐型NAT，還增加了一條規(guī)則。從內網主機A上發(fā)到不同的外網主機的數據包經過NAT時，NAT都會為之分配不同的外網端口。
• 對稱型NAT的特點就是，內網主機每次發(fā)送數據包給不同的外網主機時，都會產生一個新的“洞”。

NAT類型檢測

要進行NAT穿透，內網主機首先要知道自己連接的NAT的類型。在RFC3489中給出了標準的檢測流程。這個過程需要2臺擁有2個網卡的STUN服務器。具體流程如下圖所示。

• 主機向1號服務器的某個IP和端口發(fā)送一條請求，如果超過超時時間沒有收到響應，則說明主機與服務器之間UDP不通。
• 如果收到服務端的響應，則對比本地IP和接收到的響應包中的主機的公網IP。如果這兩個IP一致，則說明主機在公網上，沒有NAT防護。如果不一致，則需要進一步的NAT類型檢測，稍后詳述。
• 接下來，主機再次向1號服務器相同的IP和端口發(fā)送一條請求，1號服務器在收到請求后，會使用第二個網卡返回響應。如果主機收到了這個響應，則說明它在一個開放的網絡上，是一臺公網主機。如果主機沒有收到這個響應，則說明它在對稱型防火墻（可以認為與對稱型NAT類似）后面。
• 回到上面進一步的NAT類型檢測流程。主機也是向1號服務器相同的IP和端口發(fā)送一條請求，1號服務器也會使用第二個網卡返回響應。如果主機收到了這個響應，則說明它在完全錐型NAT后面。
• 如果主機沒有收到這個響應，則向2號服務器發(fā)送一條請求。主機收到2號服務器的響應后，對比1號服務器返回的響應包中的主機的公網IP和2號服務器返回的響應包中的主機的公網IP，如果不一致，則說明它在一個對稱型NAT的后面。如果一致，則需要進一步的檢測。
• 主機再次向1號服務器發(fā)送一條請求，1號服務器使用相同的IP（即接收請求的IP）和不同的端口返回響應。如果主機收到了這個響應，則說明它在IP限制型NAT后面，如果主機沒有收到這個響應，則說明它在端口限制型NAT后面。

NAT穿透流程

在確認完主機所在網絡中的NAT類型后，就可以判斷是否能進行NAT穿透，以及確認NAT穿透的方法。

一般而言，完全錐型NAT以及IP限制型NAT可以與任何其他類型的NAT互通；兩邊都是端口限制型NAT的也可以互通；一邊是端口限制型NAT，另一邊是對稱型NAT，或者兩邊都是對稱型NAT的情況下想完成穿透很難，所以這種情況一般會通過TRUN協(xié)議進行數據中轉。

在WebRTC中通信的雙方通過ICE交換了上面獲取到的一些網絡信息，之后就可以嘗試NAT穿透，建立P2P連接了。

假設需要建立P2P通信的雙方為主機A和主機B。

• 如果主機A在完全錐型NAT或者IP限制型NAT后，只要主機先往主機B發(fā)送一個數據，就會在該NAT上留下“洞”，即使發(fā)送的數據被對方的NAT丟棄。后續(xù)主機B發(fā)往主機A的數據也能通過主機A這邊的NAT上的“洞”實現穿透了?？偟膩碚f，這種情況下，只要雙方不停的發(fā)送數據包，且沒有某一方的數據包被全部丟棄，就能成功穿透。
• 如果主機A在端口限制型NAT后，而主機B也在端口限制型NAT后，只要雙方互相發(fā)送數據包則和前面情況一樣，可以利用NAT上的“洞”來穿透。
• 主機A在端口限制型NAT后，主機B在對稱型NAT后，或者兩邊都在對稱型NAT后，就只能通過服務器中轉來通信了。服務器中轉的TURN協(xié)議在RFC5766中進行了詳細的規(guī)范。