UDP打洞

通過UDP路由驗證實現NAT穿越是一種在處於使用了NAT的私有網路中的Internet主機之間建立雙向UDP連線的方法。由於NAT的行為是非標準化的，因此它並不能套用於所有類型的NAT。

其基本思想是這樣的：讓位於NAT後的兩台主機都與處於公共地址空間的、眾所周知的第三台伺服器相連，然後，一旦NAT設備建立好UDP狀態信息就轉為直接通信，並寄希望於NAT設備會在分組其實是從另外一個主機傳送過來的情況下仍然保持當前狀態。

這項技術需要一個圓錐型NAT設備才能夠正常工作。對稱型NAT不能使用這項技術。

這項技術在P2P軟體和VoIP電話領域被廣泛採用。它是Skype用以繞過防火牆和NAT設備的技術之一。

相同的技術有時還被用於TCP連線——儘管遠沒有UDP成功。

假設有兩台分別處於各自的私有網路中的主機：A和B；N1和N2是兩個網路的NAT設備，分別擁有IP位址P1和P2；S是一個使用了一個眾所周知的、從全球任何地方都能訪問得到的IP位址的公共伺服器。

步驟一：A和B分別和S建立UDP連線；NAT設備N1和N2創建UDP轉換狀態並分配臨時的外部連線埠號。

步驟二：S檢查UDP包，看A和B的連線埠是否是正在被使用的（否則的話N1和N2應該是套用了連線埠隨機分配，這會讓路由驗證變得更麻煩）。

步驟三：如果連線埠不是隨機化的，那么A和B各自選擇連線埠X和Y，並告知S。S會讓A傳送UDP包到P2:Y，讓B傳送UDP包到P1:X。

步驟四：A和B通過轉換好的IP位址和連線埠直接聯繫到對方的NAT設備。

對於大型公司網路中常見的對稱NAT設備（也稱為雙向NAT），UDP打洞不起作用。在對稱NAT中，與著名STUN伺服器的連線關聯的NAT映射受限於從知名伺服器接收數據，因此眾所周知的伺服器看到的NAT映射對端點來說並不是有用的信息。

在一個更詳細的方法中，兩個主機將開始傳送給對方，使用多次嘗試。在受限制的Cone NAT上，來自其他主機的第一個數據包將被阻止。在此之後，NAT設備就有記錄傳送了一個數據包到另一台機器，並讓任何數據包來自該IP位址和連線埠號。這項技術廣泛套用於點對點軟體和網際網路協定語音電話。它也可以用來協助建立通過UDP運行的虛擬專用網路。相同的技術有時會擴展到傳輸控制協定（TCP）連線，但成功率較低，因為TCP連線流由主機作業系統控制，而不是應用程式，序列號隨機選擇。