P2P之UDP穿透NAT的原理与实现 - 增强篇
当前位置:点晴教程→知识管理交流
→『 技术文档交流 』
关键词: P2P UDP NAT 原理 穿透 Traveral Symmetric Cone 文章说明: 关于UDP穿透NAT的中文资料在网络上是很少的,仅有<<P2P之UDP穿透NAT的原理与实现(shootingstars)>>这篇文章有实际的参考价值。本人近两年来也一直从事P2P方面的开发工作,比较有代表性的是个人开发的BitTorrent下载软件 - FlashBT(变态快车). 对P2P下载或者P2P的开发感兴趣的朋友可以访问软件的官方主页: http://www.hwysoft.com/chs/ 下载看看,说不定有收获。写这篇文章的主要目的是懒的再每次单独回答一些网友的提问, 一次性写下来, 即节省了自己的时间,也方便了对于P2P的UDP穿透感兴趣的网友阅读和理解。对此有兴趣和经验的朋友可以给我发邮件或者访问我的个人Blog留言: http://hwycheng.blogchina.com. 再次感谢shootingstars网友的早期贡献. 表示谢意。 ------------------------------------------------------------------------------------------------------------ NAT(The IP Network Address Translator) 的概念和意义是什么? NAT, 中文翻译为网络地址转换。具体的详细信息可以访问RFC 1631 - http://www.faqs.org/rfcs/rfc1631.html, 这是对于NAT的定义和解释的最权威的描述。网络术语都是很抽象和艰涩的,除非是专业人士,否则很难从字面中来准确理解NAT的含义。 要想完全明白NAT 的作用,我们必须理解IP地址的两大分类,一类是私有IP地址,在这里我们称作内网IP地址。一类是非私有的IP地址,在这里我们称作公网IP地址。关于IP地址的概念和作用的介绍参见我的另一篇文章: http://hwycheng.blogchina.com/2402121.html 内网IP地址: 是指使用A/B/C类中的私有地址, 分配的IP地址在全球不惧有唯一性,也因此无法被其它外网主机直接访问。 NAT 最初的目的是为使用内网IP地址的计算机提供通过少数几台具有公网的IP地址的计算机访问外部网络的功能。NAT 负责将某些内网IP地址的计算机向外部网络发出的IP数据包的源IP地址转换为NAT自己的公网的IP地址,目的IP地址不变, 并将IP数据包转发给路由器,最终到达外部的计算机。同时负责将外部的计算机返回的IP数据包的目的IP地址转换为内网的IP地址,源IP地址不变,并最终送达到内网中的计算机。 NAPT 负责将某些内网IP地址的计算机向外部网络发出的TCP/UDP数据包的源IP地址转换为NAPT自己的公网的IP地址,源端口转为NAPT自己的一个端口。目的IP地址和端口不变, 并将IP数据包发给路由器,最终到达外部的计算机。同时负责将外部的计算机返回的IP数据包的目的IP地址转换内网的IP地址,目的端口转为内网计算机的端口,源IP地址和源端口不变,并最终送达到内网中的计算机。
NAPT(The IP Network Address/Port Translator) 为何阻碍了P2P软件的应用? 通过NAPT 上网的特点决定了只能由NAPT内的计算机主动向NAPT外部的主机发起连接,外部的主机想直接和NAPT内的计算机直接建立连接是不被允许的。IM(即时通讯)而言,这意味着由于NAPT内的计算机和NAPT外的计算机只能通过服务器中转数据来进行通讯。对于P2P方式的下载程序而言,意味着NAPT内的计算机不能接收到NAPT外部的连接,导致连接数用过少,下载速度很难上去。因此P2P软件必须要解决的一个问题就是要能够在一定的程度上解决NAPT内的计算机不能被外部连接的问题。 NAT(The IP Network Address Translator) 进行UDP穿透的原理是什么? TCP/IP传输时主要用到TCP和UDP协议。TCP协议是可靠的,面向连接的传输协议。UDP是不可靠的,无连接的协议。根据TCP和UDP协议的实现原理,对于NAPT来进行穿透,主要是指的UDP协议。TCP协议也有可能,但是可行性非常小,要求更高,我们此处不作讨论,如果感兴趣可以到Google上搜索,有些文章对这个问题做了探讨性的描述。下面我们来看看利用UDP协议来穿透NAPT的原理是什么: ---------------------- ---------------------- UDP协议包经NAPT透明传输的说明: NAPT为每一个Session分配一个NAPT自己的端口号,依据此端口号来判断将收到的公网IP主机返回的TCP/IP数据包转发给那台内网IP地址的计算机。在这里Session是虚拟的,UDP通讯并不需要建立连接,但是对于NAPT而言,的确要有一个Session的概念存在。NAPT对于UDP协议包的透明传输面临的一个重要的问题就是如何处理这个虚拟的Session。我们都知道TCP连接的Session以SYN包开始,以FIN包结束,NAPT可以很容易的获取到TCP Session的生命周期,并进行处理。但是对于UDP而言,就麻烦了,NAPT并不知道转发出去的UDP协议包是否到达了目的主机,也没有办法知道。而且鉴于UDP协议的特点,可靠很差,因此NAPT必须强制维持Session的存在,以便等待将外部送回来的数据并转发给曾经发起请求的内网IP地址的计算机。NAPT具体如何处理UDP Session的超时呢?不同的厂商提供的设备对于NAPT的实现不近相同,也许几分钟,也许几个小时,些NAPT的实现还会根据设备的忙碌状态进行智能计算超时时间的长短。 [192.168.0.6:1827] A. 源地址(内网IP地址)不同,忽略其它因素, 在NAPT上肯定对应不同的Session D的情况正式我们关心和要讨论的问题。依据目的地址(公网IP地址)对于Session的建立的决定方式我们将NAPT设备划分为两大类: Symmetric NAPT: [202.223.98.78:9696] [202.223.98.78:9696] [202.223.98.78:9696] [202.223.98.78:9696] [202.223.98.78:9696] [202.223.98.78:9696] ^ ^ ^ 现在绝大多数的NAPT属于后者,即Cone NAT。本人在测试的过程中,只好使用了一台日本的Symmetric NAT。还好不是自己的买的,我从不买日货, 希望看这篇文章的朋友也自觉的不要购买日本的东西。Win9x/2K/XP/2003系统自带的NAPT也是属于 Cone NAT的。这是值的庆幸的,因为我们要做的UDP穿透只能在Cone NAT间进行,只要有一台不是Cone NAT,对不起,UDP穿透没有希望了,服务器转发吧。后面会做详细分析! 下面我们再来分析一下NAPT 工作时的一些数据结构,在这里我们将真正说明UDP可以穿透Cone NAT的依据。这里描述的数据结构只是为了说明原理,不具有实际参考价值,真正感兴趣可以阅读Linux的中关于NAT实现部分的源码。真正的NAT实现也没有利用数据库的,呵呵,为了速度! Symmetric NAPT 工作时的端口映射数据结构如下: 内网信息表: [NAPT 分配端口] [ 内网IP地址 ] [ 内网端口 ] [ 外网IP地址 ] [ SessionTime 开始时间 ] PRIMARY KEY( [NAPT 分配端口] ) -> 表示依据[NAPT 分配端口]建立主键,必须唯一且建立索引,加快查找. 映射表: [NAPT 分配端口] [ 外网端口 ] UNIQUE( [NAPT 分配端口], [ 外网端口 ] ) -> 表示这两个字段联合起来不能重复. Cone NAPT 工作时的端口映射数据结构如下: 内网信息表: [NAPT 分配端口] [ 内网IP地址 ] [ 内网端口 ] [ SessionTime 开始时间 ] PRIMARY KEY( [NAPT 分配端口] ) -> 表示依据[NAPT 分配端口]建立主键,必须唯一且建立索引,加快查找. 外网信息表: [ wid 主键标识 ] [ 外网IP地址 ] [ 外网端口 ] PRIMARY KEY( [ wid 主键标识 ] ) -> 表示依据[ wid 主键标识 ]建立主键,必须唯一且建立索引,加快查找. 映射表: 实现一对多,的 [NAPT 分配端口] [ wid 主键标识 ] UNIQUE( [NAPT 分配端口], [ wid 主键标识 ] ) -> 表示这两个字段联合起来不能重复. 看完了上面的数据结构是更明白了还是更晕了? 呵呵! 多想一会儿就会明白了。通过NAT,内网计算机计算机向外连结是很容易的,NAPT会自动处理,我们的应用程序根本不必关心它是如何处理的。那么外部的计算机想访问内网中的计算机如何实现呢?我们来看一下下面的流程: c 是一台在NAPT后面的内网计算机,s是一台有外网IP地址的计算机。c 主动向 s 发起连接请求,NAPT依据上面描述的规则在自己的数据结构中记录下来,建立一个Session. 然后 c 和 s 之间就可以实现双向的透明的数据传输了。如下面所示: c[192.168.0.6:1827] <-> [priv ip: 192.168.0.1]NAPT[pub ip: 61.51.99.86:9881] <-> s[61.51.76.102:8098] 由此可见,一台外网IP地址的计算机想和NAPT后面的内网计算机通讯的条件就是要求NAPT后面的内网计算机主动向外网IP地址的计算机发起一个UDP数据包。外网IP地址的计算机利用收到的UDP数据包获取到NAPT的外网IP地址和映射的端口,以后就可以和内网IP的计算机透明的进行通讯了。 我们假设两个内网计算机分别为A和B,对应的NAPT分别为AN和BN, 如果A在获取到B对应的BN的IP地址和映射的端口后,迫不急待的向这个IP NAPT(The IP Network Address/Port Translator) 进行UDP穿透的具体情况分析! 首先明确的将NAPT设备按照上面的说明分为: Symmetric NAPT 和 Cone NAPT, Cone NAPT 是我们需要的。Win9x/2K/XP/2003 自带的NAPT也为Cone NAPT。 第一种情况, 双方都是Symmetric NAPT: 此情况应给不存在什么问题,肯定是不支持UDP穿透。 第二种情况, 双方都是Cone NAPT: 此情况是我们需要的,可以进行UDP穿透。 第三种情况, 一个是Symmetric NAPT, 一个是Cone NAPT: 此情况比较复杂,但我们按照上面的描述和数据机构进行一下分析也很容易就会明白了, 分析如下, 假设: A -> Symmetric NAT, B -> Cone NAT 1. A 想连接 B, A 从服务器那儿获取到 B 的NAT地址和映射端口, A 通知服务器,服务器告知 B A的NAT地址和映射端口, B 向 A 发起连接,A 肯定无法接收到。此时 A 向 B 发起连接, A 对应的NAT建立了一个新的Session,分配了一个新的映射端口, B 的 NAT 接收到UDP包后,在自己的映射表中查询,无法找到映射项,因此将包丢弃了。 2. B 想连接 A, B 从服务器那儿获取到 A 的NAT地址和映射端口, B 通知服务器, 服务器告知 A B的NAT地址和映射端口,A 向 B 发起连接, A 对应的NAT建立了一个新的Session,分配了一个新的映射端口B肯定无法接收到。此时 B 向 A 发起连接, 由于 B 无法获取 A 建立的新的Session的映射端口,仍是使用服务器上获取的映射端口进行连接, 因此 A 的NAT在接收到UDP包后,在自己的映射表中查询,无法找到映射项, 因此将包丢弃了。 根据以上分析,只有当连接的两端的NAT都为Cone NAT的情况下,才能进行UDP的内网穿透互联。
需要的网络结构如下: 三个NAT后面的内网机器,两个外网服务器。其中两台Cone NAPT,一台 Symmetric NAPT。 验证方法: 可以使用本程序提供的源码,编译,然后分别运行服务器程序和客户端。修改过后的源码增加了客户端之间直接通过IP地址和端口发送消息的命令,利用此命令,你可以手动的验证NAPT的穿透情况。为了方便操作,推荐你使用一个远程登陆软件,可以直接在一台机器上操作所有的相关的计算机,这样很方便,一个人就可以完成所有的工作了。呵呵,本人就是这么完成的。欢迎有兴趣和经验的朋友来信批评指正,共同进步。 该文章在 2014/2/7 12:18:40 编辑过 |
关键字查询
相关文章
正在查询... |