内网穿透原理

以华为matebook x、win10为例。

采用路由方式的adsl宽带路由器拥有一个动态或固定的公网ip，adsl直接接在hub或交换机上，所有的电脑共享上网。

在局域网内部的任一pc或服务器上运行到花生壳内网穿透客户端，此时域名解析到的ip地址是局域网网关出口处的公网ip地址，再在网关处做端口映射指向监控设备即可，亦或使用网络人远程控制软件就可以免了做端口映射这一步。

普通nat是通过修改udp或tcp报文头部地址信息实现地址的转换，但对于voip应用，在tcp/udp净载中也需带地址信息，alg方式是指在私网中的voip终端在净载中填写的是其私网地址，此地址信息在通过nat时被修改为nat上对外的地址。

语音和视频协议（h323、sip、mgcp/h248）的识别和对nat/firewall的控制，同时每增加一种新的应用都将需要对 nat/firewall进行升级。

在安全要求上还需要作一些折衷，因为alg 不能识别加密后的报文内容，所以必须保证报文采用明文传送，这使得报文在公网中传送时有很大的安全隐患。

nat/alg是支持voip nat穿透的一种最简单的方式，但由于网络实际情况是已部署了大量的不支持此种特性的nat/fw设备，因此，实际应用中，很难采用这种方式。