|
本文章出自cnntec.com的AZ猫著,如需要转发,请注明来自cnntec.com Peer-To-Peer缩写P2P 中文称之为对等联网。 用途于交流,比如QQ,MSN等等。 文件传输、分布式数据计算等等。 这里我们主要是是简单讲解一下UDP实现NAT的穿透(俗称打洞) 当然TCP与之相似,可以以此类推。 首先我们要确认以下事实: . 两个独立内网是无法连通的; . 但是内网计算机可以主动连接其他有独立IP的外网计算机; . UDP协议通讯是非持续连接的, 所以网关那边会给你开一个临时端口,让你能够接受外网计算机返回给你的udp包,如果一段时间内没有传输,临时端口便会取消。这就给了我们可钻之机. NAT最开始出现在路由器上。详细的大家可以在网上查下资料 NAT的全称是Network Address Translator中文称之为网络地址转换 NAT分为两大类,NAT和NAPT(Network Address Port Translator)这个不用说了,端口地址转换。 用于实例,简单的说,实现P2P需要一个中转服务器。也就是需要一个第三方。(一会儿我们来说为什么需要一个第三方) 以简单的通迅来讲,首先我们来看一个示例图。 A<——————>B A与B之间进行的通迅 A的IP地址为222.182.100.1 B的IP地址为222.182.100.2 如果这两个用户都是采用的全球唯一的IP地址,那么他们通迅很简单,也不需要实现P2P。 A<------------------>Nat<-------------------->B 如果其中一方为内网用户,即IP地址不为全球唯一IP, 就需要路由器来帮助通迅了。 数据包在经过路由器的时候,路由器会完成IP地址和端口的映射。 如:A为内网用户。B为外网用户。则B的IP为全球唯一IP地址。可以直接通迅。 A的IP地址为:192.168.1.100:1025, 这当然是内网的地址. A(内网)<------------------>R(Nat)<-------------------->B(外网) 假设数据从A先发送到路由器R,R会产生一个会话(Session),保存时间为几分钟到数小时,这个Session映射(保存)了数据包的源地址(192.168.1.100:1025),并修改为222.182.100.1:3645(假设), 之后R继续将数据包转发给B. 这个时候实际上A就是在进行路由NAT的穿透, 如果我们在B向A发送信息的时候采用192.168.1.100:1025这样的IP和端口,是找不到A的; 那么B需要的是在收到A的信息的时候,获取其IP地址和端口,那么获取到的就是222.182.100.1:3645这个路由器的映射Session地址。 B现在只需要向这个映射地址发送消息,路由器就会自动将消息发送到对应的A方去。否则路由器将当作无用包,将这个消息丢弃。 那如,我们现在就实现了局域网向某单个固定外网机器发送消息。 如果再来一台C端,也是外网的IP。C通过222.182.100.1:3645向A发送消息,A是否能收到呢?答案是否定的,A不能收到。为什么?因为路由在映射A的穿透时就记录了B的地址,也就是除了B向这个映射点发送消息可以通向A,其它的地址是不行的。路由器此时会将其当作无用包消息给丢弃掉。 那怎么办呢?只有A再向C发送一个穿透,C才可以向A发送消息。 以上我们只是说了一点基本的理论。接下来我们要实现什么?不同内网通过internet网进行通迅。 再来,我们举个图例 A<----------->NatA<---------->NatB<---------->B A的地址是:192.168.1.100端口4000 B的地址是:192.168.1.100端口4000 它们两个都是内网的地址。及局域网内部地址。并不是全球唯一地址。 两个路由: NatA的地址是:222.182.100.1 NatB的地址是:222.182.100.2 这两个路由是外网的地址,及全球唯一地址。 现在我们要实现A与B的通迅。 因为A与B都不是外网地址。所以A不可能向192.168.1.100发送消息。这消息只会它自己收到,因为这个IP是它自己的。同样B也不可以。 那么A向NatB发送消息,B能收到吗?答案是否定的,不能收到。刚才我们提到过。因为路由没有映射B的地址。A并不知道这个Session就连NatB也不知道这个Session因为B没有向A发送消息,并不产生这个Session。 就算B和A同时向双方的路由发送消息,产生的Session,A和B也得不到。因为在路由上就把这个消息当做为无用包给丢弃掉了。 那么这样的情况我们要进行通迅怎么办呢? 对,就是刚才我们提到的第三方。第三方是个什么方呢? 第三方必须是一个拥有固定外网IP的服务方。及一个外网服务器。全唯一IP地址。 图例: 假定我们这个第三方为C C IP:222.182.100.3端口4001 A<----------->NatA<--------------->C<-------------------->NatB<------------->B ↑______________________________↑ 原理如下 A通过路由向C发送消息,C获取A的在路由上的Session地址,映射的IP和端口 B同样。 这时候C就有了A和B的地址。 C可以和A、B进行通迅,但是A和B还不行。 现在C需要通知A方B的映射IP和端口。也要通知B方A的映射IP和端口。 这样A就有了B的映射地址,B也有了A的。但是现在还不能进行通迅。 因为在路由上A和B都只有对C的穿透。并没有相互之前的穿透。 那么A要向B发送消息怎么办呢?需要C向B发送一个消息告诉B方A的地址让B向这个地址发送一个消息,对A进行一个穿透。 这样A就可以向B发送消息了。在A向B发送消息的同时,A也在向B进行穿透。 这样就可以实现相互的通迅了。如果有多个端点,也就以此类推了。 宗上所述就是P2P的UDP实现原理了。TCP也是一样的。提示一点。Session在路由上是有时限的,一分钟到几小时不定。不同的路由不同的时间,为了保持这个Session的存在,你需要在固定时间点进行通迅,保持这个穿透,否则就得重新穿透。 值得注意的一点。 路由上的映射有两种情况 第一种情况是:Cone NAT 第二种情况是:Symmetric NAT 我们以上的实现是以Cone Nat为基础的。为什么呢?因为Cone Nat在映射的时候端口是不变的。无论你内网有多少台机器,向外网发送消息在路由上映射的端口都是不变的。 而Symmetric Nat则相反,一个映射一个端口。如果碰到这种情况只有祝你好运了,最好不要猜。(十有八九猜不到。所以不推荐猜) ---------------------------------------------------------------------------------------------------- 首先先介绍一些基本概念: 网络地址转换, NAT(Network Address Translators). 网络地址转换是在IP地址日益缺乏的情况下产生的,它的主要目的就是为了能够地址重用。NAT分为两大类,基本的NAT和NAPT(Network Address/Port Translator)。 最开始NAT是运行在路由器上的一个功能模块. 最先提出的是基本的NAT, 它的产生基于如下事实:一个私有网络(域)中的节点中只有很少的节点需要与外网连接(呵呵,这是在上世纪90年代中期提出的)。那么这个子网中其实只有少数的节点需要全球唯一的IP地址,其他的节点的IP地址应该是可以重用的。因此,基本的NAT实现的功能很简单,在子网内使用一个保留的IP子网段,这些IP对外是不可见的。子网内只有少数一些IP地址可以对应到真正全球唯一 的IP地址。如果这些节点需要访问外部网络,那么基本NAT就负责将这个节点的子网内IP转化为一个全球唯一的IP然后发送出去。(基本的NAT会改变 IP包中的原IP地址,但是不会改变IP包中的端口). (关于基本的NAT可以参看RFC 1631) 另外一种NAT叫做NAPT,从名称上我们也可以看得出,NAPT不但会改变经过这个NAT设备的IP数据报的IP地址,还会改变IP数据报的 TCP/UDP端口。基本NAT的设备可能我们见的不多(呵呵我没有见到过),NAPT才是我们真正讨论的主角。看下图: 有一个私有网络10.*.*.*,Client A是其中的一台计算机,这个网络的网关(一个NAT设备)的外网IP是155.99.25.11(应该还有一个内网的IP地址,比如 10.0.0.10)。如果Client A中的某个进程(这个进程创建了一个UDP Socket,这个Socket绑定1234端口)想访问外网主机18.181.0.31的1235端口,那么当数据包通过NAT时会发生什么事情呢? 首先NAT会改变这个数据包的原IP地址,改为155.99.25.11。接着NAT会为这个传输创建一个Session(Session是一个抽象的 概念,如果是TCP,也许Session是由一个SYN包开始,以一个FIN包结束。而UDP呢,以这个IP的这个端口的第一个UDP开始,结束呢,呵 呵,也许是几分钟,也许是几小时,这要看具体的实现了)并且给这个Session分配一个端口,比如62000,然后改变这个数据包的源端口为 62000。所以本来是(10.0.0.1:1234->18.181.0.31:1235)的数据包到了互联网上变为了 (155.99.25.11:62000->18.181.0.31:1235)。 一旦NAT创建了一个Session后,NAT会记住62000端口对应的是10.0.0.1的1234端口,以后从18.181.0.31发送到 62000端口的数据会被NAT自动的转发到10.0.0.1上。(注意:这里是说18.181.0.31发送到62000端口的数据会被转发,其他的 IP发送到这个端口的数据将被NAT抛弃)这样Client A就与Server S1建立以了一个连接。 呵呵,上面的基础知识可能很多人都知道了,那么下面是关键的部分了。 接上面的例子,如果Client A的原来那个Socket(绑定了1234端口的那个UDP Socket)又接着向另外一个Server S2发送了一个UDP包,那么这个UDP包在通过NAT时会怎么样呢? 这时可能会有两种情况发生,一种是NAT再次创建一个Session,并且再次为这个Session分配一个端口号(比如:62001)。另外一种是 NAT再次创建一个Session,但是不会新分配一个端口号,而是用原来分配的端口号62000。前一种NAT叫做Symmetric NAT,后一种叫做Cone NAT。我们期望我们的NAT是第二种,呵呵,如果你的NAT刚好是第一种,那么很可能会有很多P2P软件失灵。(可以庆幸的是,现在绝大多数的NAT属 于后者,即Cone NAT) 好了,我们看到,通过NAT,子网内的计算机向外连结是很容易的(NAT相当于透明的,子网内的和外网的计算机不用知道NAT的情况)。 但是如果外部的计算机想访问子网内的计算机就比较困难了(而这正是P2P所需要的)。 那么我们如果想从外部发送一个数据报给内网的计算机有什么办法呢?首先,我们必须在内网的NAT上打上一个“洞”(也就是前面我们说的在NAT上建立一 个Session),这个洞不能由外部来打,只能由内网内的主机来打。而且这个洞是有方向的,比如从内部某台主机(比如:192.168.0.10)向外 部的某个IP(比如:219.237.60.1)发送一个UDP包,那么就在这个内网的NAT设备上打了一个方向为219.237.60.1的“洞”, (这就是称为UDP Hole Punching的技术)以后219.237.60.1就可以通过这个洞与内网的192.168.0.10联系了。(但是其他的IP不能利用这个洞)。 呵呵,现在该轮到我们的正题P2P了。有了上面的理论,实现两个内网的主机通讯就差最后一步了:那就是鸡生蛋还是蛋生鸡的问题了,两边都无法主动发出连接请求,谁也不知道谁的公网地址,那我们如何来打这个洞呢?我们需要一个中间人来联系这两个内网主机。 现在我们来看看一个P2P软件的流程,以下图为例: 首先,Client A登录服务器,NAT A为这次的Session分配了一个端口60000,那么Server S收到的Client A的地址是202.187.45.3:60000,这就是Client A的外网地址了。同样,Client B登录Server S,NAT B给此次Session分配的端口是40000,那么Server S收到的B的地址是187.34.1.56:40000。 此时,Client A与Client B都可以与Server S通信了。如果Client A此时想直接发送信息给Client B,那么他可以从Server S那儿获得B的公网地址187.34.1.56:40000,是不是Client A向这个地址发送信息Client B就能收到了呢?答案是不行,因为如果这样发送信息,NAT B会将这个信息丢弃(因为这样的信息是不请自来的,为了安全,大多数NAT都会执行丢弃动作)。现在我们需要的是在NAT B上打一个方向为202.187.45.3(即Client A的外网地址)的洞,那么Client A发送到187.34.1.56:40000的信息,Client B就能收到了。这个打洞命令由谁来发呢,呵呵,当然是Server S。 总结一下这个过程:如果Client A想向Client B发送信息,那么Client A发送命令给Server S,请求Server S命令Client B向Client A方向打洞。呵呵,是不是很绕口,不过没关系,想一想就很清楚了,何况还有源代码呢(侯老师说过:在源代码面前没有秘密 8)),然后Client A就可以通过Client B的外网地址与Client B通信了。 注意:以上过程只适合于Cone NAT的情况,如果是Symmetric NAT,那么当Client B向Client A打洞的端口已经重新分配了,Client B将无法知道这个端口(如果Symmetric NAT的端口是顺序分配的,那么我们或许可以猜测这个端口号,可是由于可能导致失败的因素太多,我们不推荐这种猜测端口的方法). |
|
|
