內網穿透原理

以華為MateBook X、win10為例。

採用路由方式的ADSL寬帶路由器擁有一個動態或固定的公網IP，ADSL直接接在HUB或交換機上，所有的電腦共享上網。

在局域網內部的任一PC或服務器上運行到花生殼內網穿透客户端，此時域名解析到的IP地址是局域網網關出口處的公網IP地址，再在網關處做端口映射指向監控設備即可，亦或使用網絡人遠程控制軟件就可以免了做端口映射這一步。

普通NAT是通過修改UDP或TCP報文頭部地址信息實現地址的轉換，但對於VOIP應用，在TCP/UDP淨載中也需帶地址信息，ALG方式是指在私網中的VOIP終端在淨載中填寫的是其私網地址，此地址信息在通過NAT時被修改為NAT上對外的地址。

語音和視頻協議（H323、SIP、MGCP/H248）的識別和對NAT/Firewall的控制，同時每增加一種新的應用都將需要對 NAT/Firewall進行升級。

在安全要求上還需要作一些折衷，因為ALG 不能識別加密後的報文內容，所以必須保證報文采用明文傳送，這使得報文在公網中傳送時有很大的安全隱患。

NAT/ALG是支持VOIP NAT穿透的一種最簡單的方式，但由於網絡實際情況是已部署了大量的不支持此種特性的NAT/FW設備，因此，實際應用中，很難採用這種方式。