NAT 行为与可达性¶
本章讨论 NAT 映射行为如何影响端到端会话,并给出研究上可用的分类与测量思路,为打洞与中继策略提供依据。
为何需要「行为分类」¶
不同 NAT 实现对出站连接的五元组处理、端口分配与超时策略各异。若缺少分类,打洞算法容易退化为「碰运气」。研究目标不是穷尽所有固件,而是建立可重复实验下的分类标签,使结果可比较、可回归。
常见分类维度(RFC 4787 语境)¶
术语提醒
下列分类在文献与实现中常有细微差异;实验报告应写明探测方法与判定阈值。详见 术语表 — NAT。
| 维度 | 含义(简述) | 对打洞的影响 |
|---|---|---|
| 映射行为 | Endpoint-Independent / Address-Dependent / Address and Port-Dependent | 决定「同一内网五元组」对外映射是否随目的变化 |
| 过滤行为 | Endpoint-Independent / Address-Dependent / Address and Port-Dependent | 决定「入站包」是否被丢弃除非先出站 |
| 映射超时 | 空闲多久回收映射 | 影响保活间隔与静默断连 |
对称 NAT(Symmetrical)的特殊性¶
对称 NAT 往往为每个远端目的地分配不同外部映射,使得「借用同一映射打洞」的策略失效概率升高。工程上通常更早触发中继退化或采用同时打开(simultaneous open)等变体策略,并记录失败样本以供分析。
测量方法(研究草案)¶
- 探测端部署:至少两台具有独立公网地址的协调机,记录时间同步方式(NTP 偏差上限)。
- 探针序列:按固定顺序发送探测包,避免并发竞态导致误判;序列版本写入实验配置。
- 标签输出:输出结构化 JSON(映射类型推断、RTT 粗估值、是否观察到端口预测性)。
- 伦理与合规:仅在自有或授权网络内探测;避免对他人基础设施做扫描。
合规
任何对外网络探测须符合当地法律与网络使用政策。本站方法描述仅供在可控实验环境内复现。
与 CGNAT 的叠加¶
当存在多层 NAT 时,外部观察到的行为可能呈现「混合」特征。建议在报告中分层记录:
- 第一层(如家庭 CPE)与第二层(运营商 CGNAT)各自可获得的线索;
- 映射超时是否在短尺度上呈现多段衰减(启发式,非严格证明)。
开放问题¶
- 在 IPv6 + IPv4 双栈 且存在 Happy Eyeballs 的环境下,应用层选路与会话一致性对 NAT 测量的干扰。
- QUIC 等加密传输对「传统 NAT 探针」可见性的改变:是否需要新的侧信道或协作端配合。