1、什麼是網路穿透

1.1、伺服器高負載狀態下的通訊問題

想想一下這種情況，多個處於不同內部網路的終端同時進行大檔案傳輸工作。我們最直接的思維模式能夠想到的就是這些終端首先將檔案傳輸到某各都能訪問到的伺服器上，再由伺服器進行中轉傳輸。是的，這個方式最簡單直接，但是有幾個問題：

1、成本問題：一般我們租用或者託管在機房的這種伺服器都是按照頻寬大小或者流量多少進行計費的，只要有資料流流向伺服器，服務商就會收費。但實際上這些大檔案根本就不是我們伺服器需要的，而只是從伺服器進行中轉。

2、 法律問題：這些由客戶終端進行傳輸的檔案，一旦經過了伺服器那麼就涉及到法律風險。使用者會擔心我們的伺服器是否講這些檔案在伺服器端儲存了副本，一旦這些檔案涉密且後續發生了事故，服務程式的提供方很難說清楚自己的責任。

3、效率問題：通過伺服器中轉進行大檔案的傳輸從技術層面說當然沒有問題，但效率相對低下。例如從A終端到伺服器再從伺服器到B終端只有一條通路，在有限的上行頻寬下，無法實現檔案的分片傳輸。另外，伺服器的整體效能和頻寬資源將會限制檔案的中轉規模，很難實現多個大檔案的並行中轉處理（或者就是傳輸速度極低）。

1.2、什麼是網路穿透

加上這篇文章，這個系列我們聊網路穿透的基本問題已經聊了三篇文章了，可以我們一直還沒有給“網路穿透”一個準確的定義。這裡我們先來給網路穿透這個事情一個比較清晰的概述：

網路穿透問題實際上就是NAT裝置穿透問題，既是如何在兩個相對封閉，並且通過一層或者多層NAT裝置進行連線的內部網路中，建立點對點的網路連線並完成資料傳輸的問題。

1.3、為什麼需要網路穿透

1、在有限的IPV4資源前提下，實現內部網路終端的公平通訊。這個情況很好理解：IPV4資源是有限的，而世界上無數的網路終端（包括PC、移動終端、工控機、各種網路裝置等等）不可能都分配一個全球唯一的IP資源，所以為了穿越不同的內部網路實現終端到終端的平等通訊，就成為一個非常必要的資料通訊手段。

2、使用NAT裝置中繼傳輸，減少伺服器上資料轉發帶來的資源消耗 。NAT裝置廣泛存在於我們熟知的網路世界中，且具有不同的對映實現方式。通過進行網路穿透，是的資料不再經過中轉伺服器，即可規避成本問題、又可規避法律問題，並且使傳輸方案的擴充套件有了更多的可能性。

3、人人為我，我為人人。基於DHT演算法實現的無伺服器網路和混合P2P網路是目前P2P技術發展的重點，而網路穿透技術是P2P技術的一個基本實現要求。關於P2P技術和DHT網路在本專題後續內容中將進行比較詳細的介紹。

2、NAT對映實現方式的檢測

要實現兩個相對封閉網路中終端的點對點穿透，就是要實現這兩個終端下的TCP/IP協議簇的資料傳輸和接收，那麼根據前文介紹的情況，我們就首先要對隔離這兩個終端的多層NAT裝置的對映實現方式進行檢測。

上篇文章中就我們已經提到，NAT對映模式一共有三種，靜態對映（Static NAT）、動態對映（Pooled NAT）和網路地址埠對映（NAPT/PAT）。其中NAPT/PAT對映模式是目前絕大多數現有NAT裝置的工作模式。這種對映模式下，又有四種對映實現方式，它們是：全圓錐NAT（Full Cone NAT）、地址限制圓錐NAT（Address Restricted Cone NAT）、埠限制圓錐NAT（Port Restricted Cone NAT）和對稱NAT（Symmetric NAT）。那麼這個NAT裝置對映實現方式的檢測問題，實際上就是對以上四種實現方式的判定問題。又由於Full Cone NAT、Address Restricted Cone NAT、Port Restricted Cone NAT和Symmetric NAT這四種對映實現方式對於網路穿透的限制是遞增性的，所以最終被檢測出來的兩個終端之間多層NAT裝置的對映實現方式，就是那種對穿透限制最嚴格的對映實現方式 。

2.1、檢測過程描述

2.1.1、檢測過程前提

要進行 “指定終端到指定伺服器是什麼NAT對映實現方式” 的驗證，首先我們需要有一臺 “指定終端” 還需要有一臺 “指定伺服器”，其中的細節包括：

1、這個指定的伺服器擁有兩個外網IP（分別記為IP1和IP2），指定的終端上的資料可以通過網路達到伺服器（記為Server）。這個問題很好理解，因為至少有一種NAT對映實現方式需要驗證兩個獨立IP的對映結果。

2、每次檢測為了剔除網路延遲問題，都會發送多個重複的UDP資料報（建議為5-10個）。這是為了儘可能避免網路不穩定造成的判定失誤。

3、首先進行預檢測——保證終端和Server之間存在至少一級NAT裝置，這個檢測也非常簡單：
終端以Server的IP1 + PORT1為目標傳送UDP資料報，Server在收到這個資料報之後，將可以得到終端（在NAT裝置轉換後）的IP和埠資訊（記為IPX + PORTX）。接著Server將這個獲得的終端的IPX + PORTX資訊進行打包，並通過IPX + PORTX回傳給終端。終端進行解包，如果發現Server識別到的終端IPX + PORTX和自己傳送UDP使用的IP + PORT是完全一致的，說明終端到Server之間並沒有任何一級NAT裝置。

如下圖所示：

（注意：如果檢測到指定的終端和指定的伺服器之間沒有任何NAT裝置，實際上最直觀的判斷是指定的終端和指定的伺服器在同一個內部網路環境中）

2.1.2、Symmetric NAT檢測

首先可以檢測網路中的NAT裝置的對映實現方式是否為對稱NAT，因為一旦檢測其為對稱NAT，則後續的檢查都不需要做了。對稱NAT的檢查過程如下：

終端首先分別瞄準Server的兩個IP，向Server的IP1 + PORT1和IP2 + PORT2傳送UDP資料報，這個時候Server的兩個監聽地址肯定都能收到資料報（排除網路本身不通的情況）。我們將在Server上得到這個終端（在NAT裝置轉換後的）的兩個地址 + 埠——IP1 + PORT1得到的客戶端記為Client_IP1 + Client_Port1，IP2 + PORT2得到的客戶端記為Client_IP2 + Client_Port2。

接著Server會將這個地址進行封裝到回覆資料報文中進行回發，IP1 + PORT1回發的資料報中包含的內容為Client_IP1 + Client_Port1（當然還會視情況包含其它內容，例如UDP支援的實際長度）；IP2 + PORT2回發的資料報中包含的內容為Client_IP2 + Client_Port2。

客戶端在接受到兩方響應的資料報後，會對這兩個資料報的內容進行檢查，如果Client_IP1 + Client_Port1 和 Client_IP2 + Client_Port2 不相同，那麼說明是對等網路；其它情況說明不是對等網路，但屬於哪一種圓錐NAT還需要繼續進行檢測。

（具體實現程式碼請參見後續文章）

2.1.3、Full Cone NAT檢測

終端首先向IP1 + PORT1傳送UDP資料報到Server，Server將會收到終端發來的資料報，其中包括了終端（在NAT裝置轉換後的）Client_IP + Client_Port。接著Server使用IP2 + PORT2向終端（Client_IP + Client_Port）傳送回覆資訊。如果終端分別收到兩個源傳送過來的響應資料報，則證明終端到Server的NAT裝置對映實現方式為，Full Cone NAT。

注意，這裡為了簡化判斷過程，並不需要IP1向終端回覆響應，因為無論四種實現方式中的哪一種實現方式，IP1 + PORT1傳送的資料報都可以被終端接收到——除非網路非常不穩定甚至不可達。（具體實現程式碼請參見後續文章）

2.1.4、Address Restricted Cone NAT/Port Restricted Cone NAT 檢測

在完成了Full Cone NAT的檢測後，就可以進行Address Restricted Cone NAT/Port Restricted Cone NAT 的檢測了，只需要增加一個接收到終端資料報文的IP1換一個埠，向終端地址進行回發的操作，並判斷終端是否能收到回發的資料報即可。具體過程如下：

終端首先向IP1 + PORT1傳送UDP資料報到Server，Server將會收到終端發來的資料報，其中包括了終端（在NAT裝置轉換後的）Client_IP + Client_Port。接著Server使用IP1 + PORTX（非PORT1）向終端（Client_IP + Client_Port）進行回發。如果終端能夠收到，則證明是Address Restricted Cone NAT；如果不能收到，則證明是Port Restricted Cone NAT。

（具體實現程式碼請參見後續文章）

2.1.5、檢測方式總結

通過閱讀以上檢驗方式，我們至少可以得出以下經驗性的結論：

1、終端傳送資料報後，指定伺服器回發的響應資料報以及資料報中攜帶的終端在NAT裝置上對映的IP + PORT才是整個NAT對映實現方式檢驗的重點。

2、伺服器端只是起到輔助作用——將自己接受到的終端在NAT裝置上形成的對映結果回發給終端，而真正的檢測判斷都是由終端自行做出。

3、為了提高NAT對映方式的檢測效率，其檢測過程是有特定順序的：在準備好以後，先檢查Symmetric NAT，再檢查Full Cone NAT，最後檢查Address Restricted Cone NAT/Port Restricted Cone NAT。

後文我們將編寫程式碼實現這些檢查，並說明在兩個終端進行網路穿透前，如何首先判斷兩個終端存在於同一個區域網中。