内网穿透原理

以华为matebook x、win10为例。

采用路由方式的adsl宽带路由器拥有一个动态或固定的公网ip，adsl直接接在hub或交换机上，所有的电脑共享上网。

在局域网内部的任一pc或服务器上运行到花生壳内网穿透客户端，此时域名解析到的ip地址是局域网网关出口处的公网ip地址，再在网关处做端口映射指向监控设备即可，亦或使用网络人远程控制软件就可以免了做端口映射这一步。

普通nat是通过修改udp或tcp报文头部地址信息实现地址的转换，但对于voip应用，在tcp/udp净载中也需带地址信息，alg方式是指在私网中的voip终端在净载中填写的是其私网地址，此地址信息在通过nat时被修改为nat上对外的地址。

语音和视频协议（h323、sip、mgcp/h248）的识别和对nat/firewall的控制，同时每增加一种新的应用都将需要对 nat/firewall进行升级。

在安全要求上还需要作一些折衷，因为alg 不能识别加密后的报文内容，所以必须保证报文采用明文传送，这使得报文在公网中传送时有很大的安全隐患。

nat/alg是支持voip nat穿透的一种最简单的方式，但由于网络实际情况是已部署了大量的不支持此种特性的nat/fw设备，因此，实际应用中，很难采用这种方式。

延伸阅读

外网如何访问内网

1、明确本地网络环境。区别是内网还是公网，有没有路由器权限。

2、确保内网可以正常访问。如windows机子在内网其他机子是否正常远程桌面，linux的ssh在局域网内其他机子可以访问否。

3、映射外网。内网环境时使用花生壳端口映射方式。

4、确保内网可以正常访问。如windows机子在内网其他机子是否正常远程桌面，linux的ssh在局域网内其他机子可以访问否。

5、从花生壳官网下载最新版本客户端，安装好之后登录。

6、双击你想映射的域名，进入花生壳端口映射添加界面，点击打开内网映射。

7、添加映射，应用名称可以随便填个好记的，内网主机就是你想被公网访问的那台电脑ip地址，内网端口就是希望被映射的端口，点击确定，就启动端口映射了。

8、现在端口映射窗口就会添加一条映射记录，此时，公网只要使用花生壳分配的这个域名+端口，就可以访问内网的主机和服务器了。

9、当用户处于内网环境的时候，服务器无法对外提供服务，需要工具来完成内网穿透这个步骤，从而实现外网和内网的互通访问，使得搭建的网站或者服务能够被外网所有的人访问。