NAT 的必要性
IPv4 地址长期紧缺,蜂窝运营商普遍为物联网卡分配 私网地址(如 10.x、100.64 CGNAT 段),在核心网或 NAT 网关处通过 NAT(Network Address Translation)映射到少量公网地址。对业务而言,终端仍可主动访问互联网或企业 VPN,但外部主机无法随意向终端私网地址发起连接,除非建立静态映射或使用反向隧道。理解这一点有助于区分“平台连不上设备”究竟是网络问题还是架构限制。
会话与超时
NAT 设备维护五元组会话表,空闲超时后映射被回收,长连接可能无声断裂。物联网若采用 MQTT 长连接或自定义 TCP,应配置应用层心跳与 TCP keepalive,间隔需小于运营商 NAT 超时典型值(各网差异较大)。UDP 类协议更敏感,需双向定期报文维持映射。若设备进入 PSM 深度休眠,唤醒后原映射可能已失效,应设计会话重建逻辑。
对称型与锥型差异
不同 NAT 行为(Full Cone、Restricted、Symmetric 等)影响 P2P、语音与某些 VPN 模式。物联网较少做端到端 P2P,但若使用 WebRTC 或打洞方案,需提前在现网验证。企业侧若做 IP 白名单,应注意终端出口公网地址可能随基站切换或 CGNAT 轮换而变化,应改用设备证书或固定接入专线。
排查建议
当业务侧看到“偶发断连”,可在模组侧抓取源端口变化与 TCP 状态,与平台防火墙日志对照。若 ICMP 被禁,PMTUD 与部分诊断工具会失真,应结合应用日志综合判断。对于需要被云端主动下发的场景,优先采用设备先连平台的长连接或短信唤醒,而非假设公网可直接访问终端私网 IP。