*NAT作用：1）解決IP地址不足問題 ， 2）避免網路外部攻擊，隱藏並保護內部的計算機。 *私有地址有哪些地址塊？

RFC 1918 為私有網路預留出了三個IP地址塊，如下：

A 類：10.0.0.0～10.255.255.255

B 類：172.16.0.0～172.31.255.255

C 類：192.168.0.0～192.168.255.255

2 NAT型別分類：

*完全錐形NAT（Full Cone NAT） *特點：私網地址{X,y}對外網的對映地址對都為{A，b}（繫結），所有處於外網的如W、P、S都可以通過{A，b}訪問私網中的{X,y} *地址限制圓錐形NAT（AddressRestricted NAT）

*特點：私網地址{X,y}對外網的對映地址對為{A，b}（繫結）,只有外網P的包才可以通過{A，b}訪問私網中的{X,y}。這裡解釋下，埠受限的道理一樣。只要私網地址對位{X,y},則在對外連線時的對映地址對不會改變，即為{A，b}。也就是說如果P沒連線{X,y}了，則其他的連線{X，y}時的對映地址仍為{A，b}

*埠限制圓錐形NAT（PortRestricted Cone NAT）

*特點：私網地址{X,y}對外網的對映地址對為{A，b}（繫結）,只有外網為{P,q}的包才可以通過{A，b}訪問私網中的{X,y}。

*對稱NAT（Sysmetric NAT）

*特點：私網地址{X,y}對外網的對映地址對為{A，b},並繫結為{X,y}|{A,b}ßà{P,q}，NAT只接收來自{P,q}的包，並轉給{X,y}.當客戶端請求一個不同的公網地址和埠，就會新分配一個埠號{C,d}。這就是對稱型比上面複雜的問題，也就是說無論是私網地址對還是公網地址對，只要一方改變，則對映地址一定也改變。

3 SIP：

SIP(Session Initiation Protocol):稱為會話初始協議。SIP協議位於IP網路的應用層，在各個傳輸層（UDP、TCP、TLS等）之上

*SIP幾個功能實體：

①使用者代理：將接受到的請求或響應訊息進行代理，發到SIP網路中。分為客戶端代理（UAC

）和服務端代理（UAS）

②代理伺服器：負責轉發SIP資訊，新增用於路由的資訊。

③重定向伺服器：接受SIP請求，把請求中的源地址對映成零個或多個地址，返回給給客戶機，從而使主叫可以通過新的被叫地址直接聯絡被叫。

④註冊伺服器：接受使用者代理的請求，完成使用者的註冊資訊，只充當UAS功能。

SIP無法穿越SIP資訊的原因：

INVITE sip:[email protected] SIP/2.0
Via: SIP/2.0/TCP 192.168.0.101:53166;①
Max-Forwards: 70
From: <sip:[email protected]>;tag=maw4ERN5HCs.-zt-vyOxss.Knrnj7Gv9
To: <sip:[email protected]>
Contact: <sip:[email protected]58.60.1.112:27045;transport=TCP;ob>;+sip.ice②
Call-ID: 3m-y5mKxc8ligLANWcTS1MOKah6loyHH
CSeq: 9482 INVITE
User-Agent: CSipSimple_endeavoru-15/r2272
Content-Type: application/sdp
Content-Length: 714

v=0
o=- 3592783354 3592783354 IN IP4 58.60.1.112
s=pjmedia
c=IN IP4 58.60.1.112  ③
t=0 0
m=audio 40551 RTP/AVP 99 0 8 101
c=IN IP4 58.60.1.112
a=rtcp:40552 IN IP4 58.60.1.112

*①中（紅色部分）公網響應私網的請求資訊傳送200OK訊息時，目的地址192.0.101.1是私網地址，而私網地址無法在公網上路由
*②中（紅色部分）各個層次的分工不一樣，NAT/FW處於IP層和TCP/UDP層，負責對地址和埠號的相應轉換，而SIP協議處於應用層，其通過報文的互動來協商雙方使用的IP地址和埠號。而這就是NAT/FW無法對應用層報文內部的資訊進行處理從而造成SIP信令定址不成或者無法建立連線的原因。 *③中（紅色部分）仍然是路由問題，SDP指定的c引數為私網IP地址，在傳送RTP資料包時，指定的地址無法在公網上路由

4.STUN：

為了解決SIP無法在NAT穿越的問題，提出了STUN協議。

*RFC3489和RFC5389的區別：

①RFC3489中，STUN全稱為："SimpleTraversal of UDP through NAT“  RFC5389中，STUN全稱為："SessionTraversal Utilities for NAT“ 

②RFC3489下的STUN稱為“經典的STUN”，不適合作為一個NAT穿越解決方案，因為對穿透失敗情況沒有做出補救措施

③RFC5389可以支援TCP上的連線。可以擴充套件到TURN。

*RFC3489下的埠型別檢測：

在RFC3489的協議文件中提出MAPPED_ADDRESS欄位，該欄位返回私網地址穿越NAT連線公網地址時的對映地址對。也就是說從這個MAPPED_ADDRESS欄位可以判斷出某個客戶端其處於什麼環境中。下面對上圖的檢測情況進行說明：

1.進行TEST I，在TEST I 中，客戶端傳送一個STUN繫結請求到一個服務端，沒有設定任何標記。如果有個response響應，客戶端檢查MAPPED-ADDRESS屬性，如果地址和埠和傳送請求的本地的IP和埠一樣，則客戶端知道其處於非NAT內。進行test II。在test II 中，客戶端傳送一個含有“change IP”和“change port”的繫結請求，這意味著伺服器用一個IP和埠接收，用另一個IP和埠傳送響應資訊。

2.如果客戶端接收到response，客戶端知道它可以直接連線網路（或者至少是處於具有完全圓錐形NAT的防火牆後面，但不做地址轉換）。如果沒有響應，則客戶端知道其處於一個對稱的UDP防火牆中。

3.在test I測試中，如果IP和埠沒有匹配響應中的MAPPED-ADDRESS屬性，則客戶端知道其處於NAT後。則也進行test II（用兩個不同的地址，一個接收，一個返回資訊）。如果接受到一個響應了，說明是全圓錐形NAT（因為任意外網的IP地址可以和NAT內部的私網地址通訊）。如果沒有接受到響應，又重新進行test I 測試，這裡test I 連線的伺服器的地址和埠和第一次使用test I的地址和埠不一樣，如此時伺服器返回的對映地址對和第一次test I返回的對映地址對一樣，則表明其處於限制NAT型別環境中（看NAT型別分類），否則表明處於對稱NAT

4.在第三步中，若返回的IP相同，則進行test III， 在test III中客戶端傳送一個“change port”埠，伺服器接收到之後，用相同的IP，但埠不同作為響應，若客戶端接收到了，說明不受埠改變影響，即為限制錐形NAT，否則為埠受限。

*STUN進行UDP打洞過程：

從STUN協議文件中，我們知道，STUN適合非對稱NAT型別，若要進行對稱NAT，還需要進行一些策略。

*過程：

(1):A向STUN伺服器傳送連線B請求（這裡A和B都已經向STUN伺服器註冊了）

(2):STUN伺服器向A和B傳送對方的對映地址

(3):B將A的對外地址作為目的地址傳送一個Hole Punching UDP包。並使得B中的NAT網路開了一個洞，允許後續請求進入該洞

(4):A以B的外部地址為探測地址傳送一個探測資料報，同樣，該資料報也在A中的NAT網路中建立了一個對映

(5):由於第3步的洞開了，第4步的連線能進入了，所以B受到A的探測資料報之後發回給A一個ACK

5.一個系統模型：

上面的角色說明如下：SIP+STUN使用者代理為本地客戶端（UAC），SIP伺服器用於獲取對映地址，SIP伺服器用於資料路由等

用工程中的抓包情況說明VOIP是在NAT順利進行的。

首先使用者註冊：

這裡SIP註冊伺服器為220.231.193.226。 SIP客戶端為192.168.0.101。即處於內網中。則註冊之後，SIP伺服器獲取到客戶端的資訊，方便客戶端之間連線時SIP伺服器通過查詢SIP註冊伺服器之後進行目的端連線。可檢視上圖的via欄位中地址和contact欄位的地址

其次：STUN繫結對映地址：

客戶端連線STUN伺服器，地址為192.168.0.100，伺服器返回響應資訊，在XOR-MAPPED-ADDRESS屬性中獲取對映地址對（58.60.1.123:63166）。這個地址對用於後續的操作（如客戶端進行呼叫請教時修改其SDP報文欄位的C和M引數）

接著，SIP呼叫請求：

從上面一步分析指導，客戶端傳送INVITE請求時，會把原本私網地址和埠號修改為對映地址對，程式設計公網能路由的地址對。圖中加深部分即為修改的情況。

6.TURN：