关于SIP防火墙穿越的汇总术语和基础知识防火墙一个防火墙限制私人内网和公众因特网之间的通讯，典型地防火墙就是丢弃那些它认为未经许可的数据包。在数据包穿越一个防火墙时，它检查但是不修改包里的IP地址和TCP/UDP端口信息。网络地址转换(NAT)当数据包穿过NAT时，NAT不仅检查同时也修改数据的包头信息，并且允许更多的在NAT后的主机分享少数公网IP地址(通常只有1个)。NAT的类型和说明NAT通常有2种主要类型BasicNat一个BasicNAT映射一个内在的私有IP地址到一个公网IP地址，但当数据包穿过NAT时，不更换它的TCP/UDP端口号。BasicNat通常是只用在一些具备公共IP地址池的NAT上，通过它可以地址绑定，即代表一台内部主机。NetworkAddress/PortTranslator(NAPT)但是最通常的，当数据包穿过NAT时，一个NAPT检查并修改它的TCP/UDP端口，那么就可以允许多台内网主机同时共享一个单独的公网IP地址了。关于NAT的分类和术语，[NAT-TRAD]和[NAT-TERM]中有更多的信息。那些将来分类的NAPT的附加术语在较近的工作[STUN]中被定义。当一个内网的主机经过一个NAT和外部进行TCP或者UDP连接的期间，NAPT分配一个公网IP住址和端口，以便来自外部终端响应的数据包能被NAPT接收，解释，并转发给内网的主机。这个结果是由NAPT建立一个(私有IP地址，私有端口)和(公网IP地址，公网端口)之间的端口绑定实现的。在这个期间NAPT将为绑定的端口执行地址翻译。一个关于P2P应用的问题是，当一个内部主机从一个私有IP，私有端口同时与外网上的多台不同的主机建立多个连接时，NAT是如何运作的。ConeNAT建立一个端口，把一个(私有IP，私有端口)和(公用IP，公用端口)绑定后，对于以后来自同一私有IP和端口号的应用连接，coneNAT将重复使用这个绑定的端口，只要有一个连接会话，这个绑定端口就会保持激活状态。例如，下面图表中，推想一下客户端A通过一个coneNAT同时建立2个外部会话，从同样的内部网络终端(10.0.0.1:1234)到2个不同的外部服务器，S1和S2。coneNAT只会分配一个公用的终端，155.99.25.11:62000，都会到两个会话，并在地址转换期间确保客户端端口的一致。BasicNAT和防火墙不修改通过的数据包中的端口号，这些类型可以被认为是一种特殊的ConeNat。SymmetricNAT对称的NAT(SymmetricNAT)，与ConeNAT有明显差别，在所有会话期间中不会保持绑定(私有IP，私有端口)和(公共IP，公共端口)的端口不变。相反，它会为每个新对话重新分配一个新的公共端口。举例来说，设想客户A从同样端口上要发起两个外部对话，一个和S1连接，另一个和S2连接。SymmetricNAT可能会为第一个会话分配一个公共的端点155.99.25.11:62000，而为第二个会话分配一个不同的公共端点155.99.25.11:62001。为了地址转换，NAT可以区分这两个会话传输的目的，因为和这些会话有关的外部端点(就是S1、S2)是不同的，甚至在通过地址转换时丢失了客户端的目的标示。(即丢了S1、S2的IP地址NAT也知道如何区分，我是这么理解的，可能有误)。ConeNAT和SymmetricNAT之间的比较与TCP/UDP之间的比较有些类似。(TCP需要绑定，UDP不需要，ConeNAT需要绑定，SymmetricNAT不需要)按照NAT从已知的公共IP，公共端口接收的数据限制，ConeNAT可以更进一步的进行分类。这种分类通常都是UDP连接的，因为NAT和防火墙会拒绝任何无条件的TCP连接，除非明确地以别的方式配置。FullConeNAT在给一个新的外部会话建立了一个公共/私有的端口绑定后，一个fullconeNAT就可以通过这个公共端口从公网上的任何外部端点接收数据通讯了。FullconeNAT也常常叫做"混合"NAT。RestrictedConeNAT当网络主机发一个或者几个数据包给外部主机后，一个受限的coneNAT(RestrictedConeNAT)才会接受来自这个外部(源)IP地址的数据包。受限的coneNAT有效的运用了防火墙的原理，拒绝没有要求的数据，只接收已知道的外部IP地址传来的数据。(偏开原文，大意就是网络主机需要发一个请求给外部IP地址要求要数据，NAT才会接收这个外部IP地址传来的数据，不然不接收。)Port-RestrictedConeNAT一个端口受限的coneNAT(Port-RestrictedConeNAT)，也是这样，只接收那些网络主机曾经发给一个外部IP地址和端口相匹配的...