TCP的NAT穿透（NAT Traversal）技术详解 一、问题描述 NAT（网络地址转换）常用于将私有IP地址转换为公有IP地址，以缓解IPv4地址短缺问题。但NAT会隐藏内网主机，导致外部设备无法直接发起连接，从而阻碍P2P通信、视频会议等应用。NAT穿透技术旨在解决此问题，使内网主机能够与外部设备直接建立连接。 二、NAT类型与穿透难点 NAT的四种类型 （根据映射行为区分）： 完全锥型NAT ：内网主机端口映射到公网后，允许任何外部IP和端口访问。 受限锥型NAT ：仅允许之前通信过的外部IP（任意端口）访问映射端口。 端口受限锥型NAT ：仅允许之前通信过的外部IP和端口访问映射端口。 对称型NAT ：为每个外部目标单独创建映射，不同目标使用不同公网端口。 穿透难点 ：对称型NAT和端口受限型NAT需额外技术，因为映射关系严格受限。 三、NAT穿透核心原理 核心思想：利用NAT的"洞"（即临时映射），通过中介服务器（如STUN服务器）协助双方交换地址信息，并同时向对方发送数据包以触发NAT打开通道。 四、具体步骤（以UDP穿透为例） 注册与发现 ： 内网主机A和B分别向公网服务器S注册，S记录其公网地址（A_ pub:Port_ A, B_ pub:Port_ B）。 地址交换 ： A向S请求连接B，S将B的公网地址（B_ pub:Port_ B）和A的公网地址（A_ pub:Port_ A）分别告知A和B。 打洞过程 ： A向B发送UDP包 ：A向B_ pub:Port_ B发送数据包，触发A的NAT创建映射（A_ priv→A_ pub）。 B向A发送UDP包 ：B同时向A_ pub:Port_ A发送数据包，触发B的NAT创建映射（B_ priv→B_ pub）。 NAT放行 ：由于双方均主动发送过包，NAT会将对方IP和端口加入允许列表，后续通信可直接进行。 对称型NAT处理 ： 若一方为对称型NAT，其发往B的公网端口（A_ pub:Port_ AB）与发往S的端口（A_ pub:Port_ AS）不同，需通过中继（如TURN服务器）转发数据。 五、关键技术协议 STUN ：用于检测NAT类型和获取公网地址。 TURN ：当直接穿透失败时，通过中继服务器转发数据（牺牲性能保连通性）。 ICE ：综合STUN/TURN，自动选择最优连接路径。 六、TCP穿透的挑战 TCP需三次握手，且NAT对TCP映射管理更严格。常用方法： 同时打开 ：双方同时向对方发送SYN包（需协议栈支持）。 TCP打洞 ：通过UDP通道协商TCP连接参数，再利用TCP协议伪装成"已建立连接"状态。 七、总结 NAT穿透本质是利用NAT的临时映射规则，通过预交换地址和双向主动通信"骗过"NAT。对称型NAT需中继辅助，实际应用中常结合ICE框架动态选择方案。