从心开始

 

udp及tcp穿越NAT

 

论坛上经常有对P2P原理的讨论,但是讨论归讨论,很少有实质的东西产生(源代码)。呵呵,在这里我就用自己实现的一个源代码来说明UDP穿越NAT的原理。

首先先介绍一些基本概念:
NAT(Network Address Translators)
,网络地址转换:网络地址转换是在IP地址日益缺乏的情况下产生的,它的主要目的就是为了能够地址重用。NAT分为两大类,基本的NATNAPT(Network Address/Port Translator)
最开始NAT是运行在路由器上的一个功能模块。

最先提出的是基本的NAT,它的产生基于如下事实:一个私有网络(域)中的节点中只有很少的节点需要与外网连接(呵呵,这是在上世纪90年代中期提出的)。那么这个子网中其实只有少数的节点需要全球唯一的IP地址,其他的节点的IP地址应该是可以重用的。
因此,基本的NAT实现的功能很简单,在子网内使用一个保留的IP子网段,这些IP对外是不可见的。子网内只有少数一些IP地址可以对应到真正全球唯一的IP地址。如果这些节点需要访问外部网络,那么基本NAT就负责将这个节点的子网内IP转化为一个全球唯一的IP然后发送出去。(基本的NAT会改变IP包中的原IP地址,但是不会改变IP包中的端口)
关于基本的NAT可以参看RFC 1631

另外一种NAT叫做NAPT,从名称上我们也可以看得出,NAPT不但会改变经过这个NAT设备的IP数据报的IP地址,还会改变IP数据报的TCP/UDP端口。基本NAT的设备可能我们见的不多(呵呵,我没有见到过),NAPT才是我们真正讨论的主角。看下图:
Server S1
18.181.0.31:1235
|
^ Session 1 (A-S1) ^ |
| 18.181.0.31:1235 | |
v 155.99.25.11:62000 v |
|
NAT
155.99.25.11
|
^ Session 1 (A-S1) ^ |
| 18.181.0.31:1235 | |
v 10.0.0.1:1234 v |
|
Client A
10.0.0.1:1234
有一个私有网络10.*.*.*Client A是其中的一台计算机,这个网络的网关(一个NAT设备)的外网IP155.99.25.11(应该还有一个内网的IP地址,比如10.0.0.10)。如果Client A中的某个进程(这个进程创建了一个UDP Socket,这个Socket绑定1234端口)想访问外网主机18.181.0.311235端口,那么当数据包通过NAT时会发生什么事情呢?
首先NAT会改变这个数据包的原IP地址,改为155.99.25.11。接着NAT会为这个传输创建一个SessionSession是一个抽象的概念,如果是TCP,也许Session是由一个SYN包开始,以一个FIN包结束。而UDP呢,以这个IP的这个端口的第一个UDP开始,结束呢,呵呵,也许是几分钟,也许是几小时,这要看具体的实现了)并且给这个Session分配一个端口,比如62000,然后改变这个数据包的源端口为62000。所以本来是(10.0.0.1:1234->18.181.0.31:1235)的数据包到了互联网上变为了(155.99.25.11:62000->18.181.0.31:1235)。
一旦NAT创建了一个Session后,NAT会记住62000端口对应的是10.0.0.11234端口,以后从18.181.0.31发送到62000端口的数据会被NAT自动的转发到10.0.0.1上。(注意:这里是说18.181.0.31发送到62000端口的数据会被转发,其他的IP发送到这个端口的数据将被NAT抛弃)这样Client A就与Server S1建立以了一个连接。

呵呵,上面的基础知识可能很多人都知道了,那么下面是关键的部分了。
看看下面的情况:
Server S1 Server S2
18.181.0.31:1235 138.76.29.7:1235
| |
| |
+----------------------+----------------------+
|
^ Session 1 (A-S1) ^ | ^ Session 2 (A-S2) ^
| 18.181.0.31:1235 | | | 138.76.29.7:1235 |
v 155.99.25.11:62000 v | v 155.99.25.11:62000 v
|
Cone NAT
155.99.25.11
|
^ Session 1 (A-S1) ^ | ^ Session 2 (A-S2) ^
| 18.181.0.31:1235 | | | 138.76.29.7:1235 |
v 10.0.0.1:1234 v | v 10.0.0.1:1234 v
|
Client A
10.0.0.1:1234
接上面的例子,如果Client A的原来那个Socket(绑定了1234端口的那个UDP Socket)又接着向另外一个Server S2发送了一个UDP包,那么这个UDP包在通过NAT时会怎么样呢?
这时可能会有两种情况发生,一种是NAT再次创建一个Session,并且再次为这个Session分配一个端口号(比如:62001)。另外一种是NAT再次创建一个Session,但是不会新分配一个端口号,而是用原来分配的端口号62000。前一种NAT叫做Symmetric NAT,后一种叫做Cone NAT。我们期望我们的NAT是第二种,呵呵,如果你的NAT刚好是第一种,那么很可能会有很多P2P软件失灵。(可以庆幸的是,现在绝大多数的NAT属于后者,即Cone NAT

好了,我们看到,通过NAT,子网内的计算机向外连结是很容易的(NAT相当于透明的,子网内的和外网的计算机不用知道NAT的情况)。
但是如果外部的计算机想访问子网内的计算机就比较困难了(而这正是P2P所需要的)。
那么我们如果想从外部发送一个数据报给内网的计算机有什么办法呢?首先,我们必须在内网的NAT上打上一个(也就是前面我们说的在NAT上建立一个Session),这个洞不能由外部来打,只能由内网内的主机来打。而且这个洞是有方向的,比如从内部某台主机(比如:192.168.0.10)向外部的某个IP(比如:219.237.60.1)发送一个UDP包,那么就在这个内网的NAT设备上打了一个方向为219.237.60.1,(这就是称为UDP Hole Punching的技术)以后219.237.60.1就可以通过这个洞与内网的192.168.0.10联系了。(但是其他的IP不能利用这个洞)。

呵呵,现在该轮到我们的正题P2P了。有了上面的理论,实现两个内网的主机通讯就差最后一步了:那就是鸡生蛋还是蛋生鸡的问题了,两边都无法主动发出连接请求,谁也不知道谁的公网地址,那我们如何来打这个洞呢?我们需要一个中间人来联系这两个内网主机。
现在我们来看看一个P2P软件的流程,以下图为例:

Server S
219.237.60.1
|
|
+----------------------+----------------------+
| |
NAT A (
外网IP:202.187.45.3) NAT B (外网IP:187.34.1.56)
| (
内网IP:192.168.0.1) | (内网IP:192.168.0.1)
| |
Client A (192.168.0.20:4000) Client B (192.168.0.10:40000)
首先,Client A登录服务器,NAT A为这次的Session分配了一个端口60000,那么Server S收到的Client A的地址是202.187.45.3:60000,这就是Client A的外网地址了。同样,Client B登录Server SNAT B给此次Session分配的端口是40000,那么Server S收到的B的地址是187.34.1.56:40000
此时,Client AClient B都可以与Server S通信了。如果Client A此时想直接发送信息给Client B,那么他可以从Server S那儿获得B的公网地址187.34.1.56:40000,是不是Client A向这个地址发送信息Client B就能收到了呢?答案是不行,因为如果这样发送信息,NAT B会将这个信息丢弃(因为这样的信息是不请自来的,为了安全,大多数NAT都会执行丢弃动作)。现在我们需要的是在NAT B上打一个方向为202.187.45.3(即Client A的外网地址)的洞,那么Client A发送到187.34.1.56:40000的信息,Client B就能收到了。这个打洞命令由谁来发呢,呵呵,当然是Server S
总结一下这个过程:如果Client A想向Client B发送信息,那么Client A发送命令给Server S,请求Server S命令Client BClient A方向打洞。呵呵,是不是很绕口,不过没关系,想一想就很清楚了,何况还有源代码呢(老师说过:在源代码面前没有秘密 8)),然后Client A就可以通过Client B的外网地址与Client B通信了。
注意:以上过程只适合于Cone NAT的情况,如果是Symmetric NAT,那么当Client BClient A打洞的端口已经重新分配了,Client B将无法知道这个端口(如果Symmetric NAT的端口是顺序分配的,那么我们或许可以猜测这个端口号,可是由于可能导致失败的因素太多,我们不推荐这种猜测端口的方法)。
下面是一个模拟P2P聊天的过程的源代码,过程很简单,P2PServer运行在一个拥有公网IP的计算机上,P2PClient运行在两个不同的NAT后(注意,如果两个客户端运行在一个NAT后,本程序很可能不能运行正常,这取决于你的NAT是否支持loopback translation,详见http://midcom-p2p.sourceforge.net/draft-ford-midcom-p2p-01.txt,当然,此问题可以通过双方先尝试连接对方的内网IP来解决,但是这个代码只是为了验证原理,并没有处理这些问题),后登录的计算机可以获得先登录计算机的用户名,后登录的计算机通过send username message的格式来发送消息。如果发送成功,说明你已取得了直接与对方连接的成功。
程序现在支持三个命令:send , getu , exit

send
格式:send username message
功能:发送信息给username
getu
格式:getu
功能:获得当前服务器用户列表
exit
格式:exit
功能:注销与服务器的连接(服务器不会自动监测客户是否吊线)
代码很短,相信很容易懂,如果有什么问题,可以给我发邮件zhouhuis22@sina.com 或者在CSDN上发送短消息。同时,欢迎转发此文,但希望保留作者版权8-)。http://blog.sina.com.cn/u/4994d22f010002yy
1关于udp的穿越  
 
参考文献 UDP穿透NAT的原理与实现》  
  2  
关于tcp的穿越  
 
由于tcp是面向连接的,socket需要连接之后才能发送信息,所以不能等同于udp处理。
 
参考《TCP   Connections   for   P2P   Apps:   A   Software   Approach   to   Solving   the   NAT   Problem  
 
可以这样处理:  
 
每一个客户端建立三个socket:  
  socket1
:可以是TCP,也可以是UDP,用于客户端和服务器交换信息,本图中使用UDP.  
  Socket2
TCP连接的socket  
  Socket3
TCP连接的socket,并且和socket2复用同一个IP地址和端口  
 
发送方需要4socket  
  socket4
TCP连接的socket,用于监听用户的连接,和socket2复用同一个地址  
   
图中,InitiatorRecipient都是客户端,只是Initiator需要从Recipient上获得所需要的东西,InitiatorRecipient都位于NAT设备后面,NAT设备分别是NATINATRBroker是服务器,InitiatorRecipient都需要先注册在服务器上。  
  1
客户端内部地址R:T,经过转换后的地址NR:U,建立socket1,连接服务器的B:V进行注册。  
  2
服务器在socket1返回注册信息。  
  3
客户端Initiator内部地址I:X,经过转换后的地址NI:Y,建立socket2,连接服务器的B:Z,发送一个请求。服务器返回的是一个公网的地址,用于Initiator连接后获取内容(第10步)  
  4
服务器收到Initiator的请求,查看到Initiator可以从Recipient上获得内容,使用socket1告诉Recipient有人需要连接。  
  5
Recipient使用内部地址R:J,经过转换后的地址NR:K,建立socket2,连接到服务器的B:Z,告诉服务器它的公网地址。(用于判断Recipient是否处于NAT后面,是否需要打洞,本例中肯定是需要打洞了。)  
  6
服务器使用socket2返回给Recipient需要连接的用户的公网地址NI:Y  
  7
Recipient使用socket3连接NI:Y,用于打一个洞。socket3socket2地址完全一样,使用了端口复用技术(代码:bool   buse   =   true;   setsockopt(sock,   SOL_SOCKET,   SO_REUSEADDR,   (char*)&buse,   sizeof(buse));  
  8
返回的结果肯定错误,怎么能连通那?  
  9
可以使用socket1告诉服务器,socket4已经处于监听状态了,并且告诉服务器公网地址。  
  10
服务器使用socket2告诉Initiator处于监听状态的公网地址  
  11
Initiator向公网连接。 

 

posted on 2007-05-22 17:08 飘雪 阅读(6331) 评论(6)  编辑  收藏 所属分类: JAVA技术

评论

# re: udp及tcp穿越NAT 2008-06-07 16:12 ...

TCP穿越NAT与UDP有区别吗?

在NAT上, 如何能够识别第四层的信息?

我认为两种协议在穿越NAT的方法上其实是毫无区别的. 即在启动真正的传输前在NAT上建立与对方端机的单播通道.

之后的行为根据各自的协议当然不同, 这个不需要拿来讲吧!

  回复  更多评论   

# re: udp及tcp穿越NAT 2008-06-07 16:20 ...

人太聪明, 不是一件好事...

我在本地设了两个IP, 然后用两个SOCKET分别绑定两个IP进行互连. 一次就连上了!

这证明TCP的不对等性并不成立. 即为了建立一个连接, 并不一定要求一个SERVER. 侦听只是一种服务方法, 并不是互连的必须手段.

除掉了不对等性, 就再也不能把不能在NAT上起服务作为TCP不能穿越的借口了.

就说这么多, 希望能帮到一些有钻研精神的同仁...  回复  更多评论   

# re: udp及tcp穿越NAT 2008-06-07 16:32 ...

为了方便沟通以及欢迎被砸, 公布一下我的MSN edwin175274738@hotmail.com
另外要澄清一下, 上面说的聪明, 是说博主很聪明. 不是说本人. ~不好意思, 本人讲话思维不是太清晰  回复  更多评论   

# re: udp及tcp穿越NAT 2009-03-31 10:49 xujf

您好,感谢您提供的好介绍。请问:如果P2P的两点之间,存在3-4个NAT,P2P也可以通起来吗?从您对NAT的理解,如果通信两端之间存在4个NAT,对那些应用有影响?  回复  更多评论   

# re: udp及tcp穿越NAT 2009-10-08 16:48 lch

TCP穿越针对的是公网IP,而这个公网ip进过几个NAT,多少层映射到局域网客户端上对大洞无影响,因为这些映射是nat完成的,一层,二层,三层,最终都映射到公网ip上,所以几层NAT对打洞并无影响。  回复  更多评论   

# re: udp及tcp穿越NAT 2013-07-11 14:59 svurm

您上述提到的是互联网之间的公网与私网之间的NAT穿越,3g终端可以通过这种方式实现吗?还有3g移动设备的IP是动态分配的,我怎么才能在公网服务器找到这个3G终端?  回复  更多评论   


只有注册用户登录后才能发表评论。


网站导航:
 

导航

统计

常用链接

留言簿(1)

随笔分类(11)

随笔档案(13)

收藏夹

firends

搜索

最新评论

  • 1. re: udp及tcp穿越NAT
  • 您上述提到的是互联网之间的公网与私网之间的NAT穿越,3g终端可以通过这种方式实现吗?还有3g移动设备的IP是动态分配的,我怎么才能在公网服务器找到这个3G终端?
  • --svurm
  • 2. re: udp及tcp穿越NAT
  • TCP穿越针对的是公网IP,而这个公网ip进过几个NAT,多少层映射到局域网客户端上对大洞无影响,因为这些映射是nat完成的,一层,二层,三层,最终都映射到公网ip上,所以几层NAT对打洞并无影响。
  • --lch
  • 3. re: udp及tcp穿越NAT
  • 您好,感谢您提供的好介绍。请问:如果P2P的两点之间,存在3-4个NAT,P2P也可以通起来吗?从您对NAT的理解,如果通信两端之间存在4个NAT,对那些应用有影响?
  • --xujf
  • 4. re: 系统时间修改方法
  • good
  • --jone
  • 5. re: udp及tcp穿越NAT
  • 评论内容较长,点击标题查看
  • --...

阅读排行榜

评论排行榜