P2P网络“自由”穿越NAT的“秘密”

穿越NAT的意义：
　　
NAT是为了节省IP地址而设计的，但它隐藏了内网机器的地址，“意外”起到了安全的作用。对外不可见，不透明的内部网络也与互联网的“公平”应用，“相互共享”的思想所不容，尤其是P2P网络中“相互服务”的宗旨，所以穿越NAT，让众多内部网络的机器也参与到P2P网络中的大集体中来，一直是P2P开发者的所希望的。穿越NAT需要借助外部的支持，说白了就是“内外勾结”，骗过NAT。很多P2P网络成功地实现了这一目标，但还是有一些“遗憾”---并非所有的情况下都可以。由于客户端是主动登录P2P网络才可穿越，所以P2P的方式也没有违背企业的内部管理原则，毕竟“自由世界”的加入都是自觉自愿的。
　　
NAT原理：
　　
NAT(Network Address Translation)网络地址转换/网络地址翻译。
　　
工作原理：NAT主要的通过对数据包头的地址替换来完成内网计算机访问外网服务的。当内部机器要访问外部网络时，NAT设备把内部的IP1与端口号1(网络层地址与传输层地址)，转换成NAT的外部IP2与新的端口号2，再送给外部网络，数据返回时，再把目的为IP2:端口2的数据包替换为IP1:端口1，送给内网机器。若通讯协议的内容中有IP地址的传递，如FTP协议，NAT在翻译时还要注意数据包内涉及协议地址交互的地方也要替换，否则协议就会出现地址混乱。在NAT设备中维护了这个要替换地址的映射表，并根据内部计算机的通讯需求维护该表。外部网络来数据包能否进入NAT，主要是看是否已经有可映射的表项，若没有就会丢弃。

NAT的外部公网地址可以是一个IP，也可以是一个网段，形成地址池。NAT还可以把某个外网地址直接影射给内网的某个服务器，让外网的用户可以直接访问到这台服务器。NAT的工作的隐藏内网的机器，但允许内网主动打开到外网的通讯“通道”，也就是建立映射表项。
　　
NAT给P2P带来的问题是：NAT只允许单方面发起连接，通讯的双方不是平等的，P2P网络的基础有了问题，具体的表现为：
　　
内网主机IP是私有的，外部主机看不到，也无法主动发起连接
即使知道了内网IP，但NAT会丢弃没有在影射表的数据包
内网主机可以作为客户端访问外网，但不能作为服务器提供服务
　　
当两个主机都位于各自的NAT之后，要实现P2P的连接，就不仅是谁主动的问题，而是如何解决在两个NAT上同时有对方映射表项的问题。
STUN协议(IETF RFC 3489)：

STUN协议是一种通道协议，可以作为正式通讯前的通路建立，它采用的是用户终端干预的一种方法，可以解决应用协议内部传递IP地址给NAT带来的麻烦。用户通过其他方法得到其地址对应在NAT出口上的对外地址，然后在报文负载中所描述的地址信息就直接填写NAT上对外地址，而不是内网的私有IP，这样报文的内容在经过NAT时就按普通的NAT流程转换报文头部的IP地址即可，负载内的IP地址信息无需再修改。利用STUN的思路可以穿越NAT。STUN协议是客户端/服务器协议，分两种请求方式：一是UDP发送的绑定请求(Binding Requests)，二是TCP发送的秘密请求(Shared Secret Requests)。绑定请求用于确定NAT分配的绑定地址。
　　
STUN标准中，根据内部终端的地址(P:p)到NAT出口的公网地址(A:b)的影射方式，把NAT分为四种类型：