全锥型NAT详解：机制、作用与识别

网络地址转换（NAT）是现代网络中不可或缺的技术，它允许私有网络中的多台设备共享同一个或一组公共IP地址访问互联网。NAT有多种类型，每种类型处理内部地址与外部地址映射以及如何处理传入连接的方式不同。其中，全锥型NAT（Full-Cone NAT）以其独特的连接转发规则而著称，对某些特定应用至关重要。本文将围绕全锥型NAT，详细解答关于它的一系列关键问题。

全锥型NAT：到底是什么？

定义与基本规则

全锥型NAT是最宽松的一种NAT类型。它的核心特点是：一旦一个内部主机（例如，一个私有IP地址和一个端口 A:a）首次通过NAT设备发起一个外出连接到互联网上的某个目标（例如，一个外部地址和端口 B:b），NAT设备就会为其创建一个特定的映射关系。这个映射关系通常是将内部的 A:a 映射到NAT设备上的一个固定的外部公共IP地址和端口 X:x。

全锥型NAT的“全锥”体现在：

• 映射的固定性： 对于一个特定的内部地址和端口对 (A:a)，无论它尝试连接到哪个外部地址和端口 (B:b, C:c, D:d 等)，NAT总是将其映射到同一个外部公共地址和端口对 (X:x)。
• 传入连接的开放性： 更关键的是，一旦这个映射 (A:a <-> X:x) 建立起来，来自互联网上的任意外部源地址和端口的数据包，只要目的地是NAT设备的外部地址和端口 X:x，都会被无条件地转发到内部主机 A:a。

简单来说，全锥型NAT为内部的某个端口在外部“打通”了一个固定的“洞”，这个洞一旦打开，任何知道洞口（即外部的 X:x）的外部设备都可以通过这个洞发送数据进来，而无需考虑发送方的地址和端口是否与内部主机之前联系过的目标地址和端口一致。

它“全锥”在哪里？深入工作原理

映射建立与数据转发流程

全锥型NAT的工作原理可以分解为几个步骤：

1. 内部主机发起连接： 内部网络中的一台主机（私有IP P_in, 端口 p_in）希望与互联网上的一个服务（公共IP P_out1, 端口 p_out1）通信。它发出一个数据包，源地址是 P_in:p_in，目的地址是 P_out1:p_out1。
2. NAT设备拦截： NAT路由器接收到这个数据包。它检查其连接跟踪表。
3. 创建映射： 如果这是从 P_in:p_in 发出的第一个连接，NAT设备会从其可用的外部公共IP地址池中选择一个公共IP（P_nat）和端口（p_nat），建立一个映射关系：(P_in:p_in) -> (P_nat:p_nat)。未来的所有从 P_in:p_in 出去的数据包都将源地址翻译为 P_nat:p_nat。
4. 转发外出数据： NAT设备将数据包的源地址改为 P_nat:p_nat，目的地址保持 P_out1:p_out1，然后将数据包发送到互联网上。
5. 接收返回数据： 互联网上的服务 P_out1:p_out1 回复数据包，目的地址是 P_nat:p_nat。NAT设备接收到这个数据包。
6. 处理来自任意外部源的传入数据： 这是一个关键点。不仅仅是 P_out1:p_out1 返回的数据，如果此时互联网上的另一个主机（例如 P_out2:p_out2）也向 P_nat:p_nat 发送数据包，NAT设备收到后会：
   • 查找其映射表，找到目的地 P_nat:p_nat 对应内部的 P_in:p_in。
   • 无论传入数据包的源地址是 P_out1:p_out1 还是 P_out2:p_out2，NAT设备都会将目的地址翻译回 P_in:p_in，并将数据包转发给内部主机 P_in。

因此，“全锥”体现在一旦 (P_in:p_in) 映射到 (P_nat:p_nat) 建立，任何发往 (P_nat:p_nat) 的外部流量，无论源是谁，都能顺利进入内部的 (P_in:p_in)。

为何它对特定应用如鱼得水？核心优势解析

解决直接点对点连接难题

全锥型NAT的主要优势在于它极大地简化了某些网络应用的连接问题，特别是那些需要实现直接点对点（P2P）通信的应用。

• P2P文件共享/下载： 在BitTorrent等应用中，用户既需要从其他用户下载（充当客户端），也需要向其他用户上传（充当服务器）。如果NAT类型严格，外部用户可能无法主动连接到位于NAT后方的做种用户，限制了上传能力。全锥型NAT允许其他用户（任意源地址）连接到做种用户映射出的外部端口，从而实现更高效的P2P通信。
• 在线游戏： 许多在线游戏，尤其是旧款游戏或某些类型的多人游戏，依赖于玩家之间直接建立连接（P2P模式）。严格的NAT类型可能导致玩家之间无法相互连接，出现“无法加入游戏”、“连接中断”等问题。全锥型NAT使得游戏客户端可以更容易地接收来自其他玩家（任意源）的连接请求。
• VoIP和视频通话： 一些VoIP或视频通话软件在尝试建立直接媒体流时，可能会遇到NAT穿越问题。全锥型NAT可以帮助解决这些问题，允许语音或视频数据包在参与者之间直接传输，提高通话质量和降低延迟（相比于通过中继服务器转发）。
• 其他P2P应用： 任何需要内部服务向外部任意客户端提供服务，但又不方便或不可能进行传统端口映射（Port Forwarding）的P2P类应用，都可能从全锥型NAT中受益。

之所以说它“如鱼得水”，是因为这些应用需要外部设备能在没有事先通信的情况下向内部设备发起连接（或者说，在内部设备发起一次外连后，外部的任意设备就能回连），而全锥型NAT恰好提供了这种能力。其他更严格的NAT类型（如地址限制锥型NAT或端口限制锥型NAT）会根据传入数据包的源地址或源地址+端口进行过滤，阻止来自“未知”源的连接，从而干扰这些P2P应用的正常工作。

谁在用它？应用场景大揭秘

常见部署环境与应用需求

全锥型NAT并非在所有网络环境中都普遍使用，其部署通常与特定的应用需求和网络设计有关：

• 家用路由器（部分型号或旧固件）： 早期或某些特定型号的家用路由器可能默认配置为全锥型NAT，以最大程度地保证家庭用户使用P2P应用和在线游戏的兼容性。但出于安全考虑，越来越多的新路由器默认采用更严格的NAT类型（如地址限制）。
• 为特定应用优化的网络设备： 一些网络设备或服务提供商可能会为游戏、VoIP等特定服务配置网络，其中可能包含支持全锥型NAT的部分或全部功能。
• 软件实现的NAT： 在某些自定义网络环境中，通过软件实现的NAT功能（例如，虚拟机宿主机作为NAT网关）可能配置为全锥型，以方便内部虚拟机之间的P2P通信或与外部的互联。
• 企业网络（极少见）： 出于安全策略和资源管理的严格要求，大型企业网络或数据中心通常不会部署全锥型NAT，而是采用更严格的NAT类型或公网IP。
• 运营商级NAT (CGNAT)（通常避免）： 大规模的运营商级NAT（CGNAT）通常会避免使用全锥型NAT。这不仅因为安全风险（一个外部映射端口可能暴露给整个互联网），更因为资源消耗和状态管理。全锥型NAT需要跟踪每个内部流的外部映射，并且允许来自任意源的回流，这在管理海量用户连接时会消耗更多NAT设备资源，且难以进行精细化的流量控制和审计。CGNAT更倾向于使用地址限制或端口限制NAT，以提高安全性和效率。

总结来说，全锥型NAT主要出现在需要牺牲部分安全性来换取P2P应用最大兼容性的个人或小型网络环境中，而在对安全性、可伸缩性和管理性要求更高的企业或运营商网络中则相对少见。

“开放度”有多少？外部连接源的自由度

一旦映射建立，多少外部主机可以连接？

关于“多少”外部连接源可以通过全锥型NAT建立的映射进行连接，答案是：

一旦内部主机通过特定端口 (A:a) 发起外连，导致NAT为其分配并建立 (A:a) -> (X:x) 的外部映射，那么来自互联网上任意一个外部源地址和端口 (Z:z)，只要目的地是这个已分配的外部地址和端口 (X:x)，它发送的数据包都会被NAT设备转发到内部主机 (A:a)。

这里的“任意”意味着不受限制，不依赖于内部主机之前是否与这个外部源 (Z:z) 通信过。这是全锥型NAT与地址限制锥型NAT（只接受内部主机曾向其发送过数据的外部地址的包）和端口限制锥型NAT（只接受内部主机曾向其发送过数据的外部地址+端口的包）的最大区别。

这种开放度对于需要被动接收来自网络上任何潜在对等方连接的P2P应用至关重要。但从另一方面看，这种开放度也意味着一旦外部端口暴露，它更容易成为来自互联网任意角落的扫描和攻击的目标，尽管内部主机的私有IP地址仍然是隐藏的。

如何辨别？判断全锥型NAT的方法

行为测试是关键

要判断一个NAT设备是否是全锥型的，仅仅查看路由器设置中的描述往往不可靠，因为不同厂商的术语可能不一致。最准确的方法是进行行为测试。许多在线游戏平台、VoIP软件或专门的网络诊断工具提供了NAT类型测试功能，它们通常基于RFC 3489或RFC 5780中描述的NAT行为测试原理。

测试全锥型NAT的基本原理如下：

1. 步骤1：建立初始映射
   • 位于NAT内部的客户端 (C) 向互联网上的一个已知测试服务器 A (Server A:port_a) 发送一个UDP数据包。
   • NAT设备拦截此数据包，为其分配一个外部端口 (External_IP:port_x)，并建立 (C_IP:C_port) -> (External_IP:port_x) 的映射。
   • Server A 收到数据包，得知客户端的外部映射地址是 External_IP:port_x，并将此信息以及 Server A 自身的地址 (Server A:port_a) 返回给客户端 C。
2. 步骤2：从不同源测试传入连接
   • 客户端 C 收到 Server A 返回的信息后，联系另一个位于互联网上的测试服务器 B (Server B:port_b)。
   • 客户端 C 请求 Server B 向客户端的外部映射地址 (External_IP:port_x) 发送一个UDP数据包。
   • Server B 从其地址 (Server B:port_b) 向 External_IP:port_x 发送数据包。
3. 步骤3：判断NAT类型
   • 如果客户端 C 成功收到了来自 Server B (Server B:port_b) 发送的数据包，那么该NAT设备很可能是全锥型NAT。因为 Server B 的地址 (Server B:port_b) 与客户端 C 之前通信的 Server A 的地址 (Server A:port_a) 不同，而全锥型NAT允许来自任意外部源的流量到达已建立映射的外部端口。
   • 如果客户端 C 未收到来自 Server B 的数据包，则NAT不是全锥型的，可能是地址限制锥型NAT（只允许来自 Server A 的包，因为客户端只向 Server A 发送过数据）或端口限制锥型NAT（只允许来自 Server A:port_a 的包）。

这些测试通常由软件自动执行并报告结果。对于普通用户而言，使用集成了NAT类型测试功能的应用程序（如Skype、在线游戏启动器、某些VoIP客户端）是最简单直接的判断方法。

使用全锥型NAT有哪些行为特征和考量？

安全性、资源与兼容性

了解全锥型NAT的行为特征对于评估是否适合使用以及可能带来的影响至关重要：

• 行为特征：
  • 高兼容性（针对P2P）： 对于依赖UPnP或PCP等协议进行NAT穿越，或依赖STUN/TURN/ICE等技术辅助P2P连接的应用，全锥型NAT通常能提供最佳的兼容性和性能，因为它最接近于拥有一个公共IP地址的行为。
  • 开放性： 如前所述，一旦映射建立，外部的任何设备都可以尝试连接到内部端口。
  • 状态维护： NAT设备需要为每个活动的内部流维护一个映射状态，以便将外部流量正确转发回内部。虽然它不像端口限制NAT那样需要跟踪每个外部源端口，但仍需管理内部端口到外部端口的映射生命周期。
• 使用考量：
  • 安全性： 这是全锥型NAT最主要的潜在缺点。虽然它隐藏了内部私有IP地址，但它为内部服务的端口在外部公共IP上“打开”了一个普遍可访问的“洞”。如果内部服务存在安全漏洞，外部攻击者一旦发现这个外部映射端口，就可以尝试直接攻击，而无需事先进行其他NAT穿越步骤。相比之下，地址限制和端口限制NAT提供了额外的过滤层，只允许内部主机已知或通信过的外部地址/端口发来的数据包，提供了一定程度的隐式防火墙保护。
  • 资源消耗： 在某些实现中，尤其是在需要支持大量并发连接的环境下，管理全锥型NAT的状态表可能会比更严格的NAT类型消耗更多资源，尽管现代NAT设备的性能通常足以应对家用环境的需求。
  • 并非所有应用都需要： 许多现代应用（特别是中心化或客户端-服务器模式的应用）并不依赖于被动的P2P连接，它们在更严格的NAT类型下也能正常工作，甚至通过中继服务器进行通信。
  • 配置选项： 在配置路由器时，如果可以选择NAT类型，应根据实际需求权衡。如果对P2P应用有强烈的需求且了解潜在风险，可以选择全锥型。否则，为了更高的安全性，地址限制或端口限制NAT可能是更好的默认选项。UPnP或PCP服务可以在一定程度上弥补严格NAT类型在P2P兼容性上的不足，它们允许应用动态地在NAT设备上创建临时映射。

总而言之，全锥型NAT以其最大的开放性为P2P应用提供了便利，但用户和管理员需要充分了解其安全性影响，并在需求、安全性和设备性能之间做出权衡。