《对穿越NAT做些总结.doc》由会员分享,可在线阅读,更多相关《对穿越NAT做些总结.doc(6页珍藏版)》请在三一文库上搜索。
1、对穿越NAT做些总结:先做个约定:内网A中有:A1(192.168.0.8)、A2(192.168.0.9)两用户,网关X1(一个NAT设备)有公网IP1.2.3.4内网B中有:B1(192.168.1.8)、B2(192.168.1.9)两用户,网关Y1(一个NAT设备)有公网IP1.2.3.5公网服务器:C (6.7.8.9)D (6.7.8.10)NAT两大类:lNAT(NetworkAddressTranslators):称为基本的NAT在客户机时192.168.0.8:40006.7.8.9:8000在网关时1.2.3.4:40006.7.8.9:8000服务器C6.7.8.9:80
2、00其核心是替换IP地址而不是端口,这会导致192.168.0.8使用4000端口后,192.168.0.9如何处理?具体参考RFC1631基本上这种类型的NAT设备已经很少了。或许根本我们就没机会见到。lNAPT(NetworkAddress/PortTranslators)其实这种才是我们常说的NATNAPT的特点是在网关时,会使用网关的IP,但端口会选择一个和临时会话对应的临时端口。如下图:在客户机时192.168.0.8:40006.7.8.9:8000在网关时1.2.3.4:620006.7.8.9:8000服务器C6.7.8.9:8000网关上建立保持了一个1.2.3.4:6200
3、0的会话,用于192.168.0.8:4000与6.7.8.9:8000之间的通讯。对于NAPT,又分了两个大的类型:差别在于,当两个内网用户同时与6.7.8.9:8000的处理方式不同:1、SymmetricNAT型(对称型)在客户机时192.168.0.8:40006.7.8.9:8000192.168.0.8:40006.7.8.10:8000在网关时,两个不同session但端口号不同1.2.3.4:620006.7.8.9:80001.2.3.4:620016.7.8.10:8000服务器C6.7.8.9:8000服务器D6.7.8.10:8000这种形式会让很多p2p软件失灵。2、
4、ConeNAT型(圆锥型)在客户机时192.168.0.8:40006.7.8.9:8000192.168.0.8:40006.7.8.10:8000在网关时,两个不同session但端口号相同1.2.3.4:620006.7.8.9:80001.2.3.4:620006.7.8.10:8000服务器C6.7.8.9:8000服务器D6.7.8.10:8000目前绝大多数属于这种。ConeNAT又分了3种类型:a)Full Cone NAT(完全圆锥型):从同一私网地址端口192.168.0.8:4000发至公网的所有请求都映射成同一个公网地址端口1.2.3.4:62000,192.168.0
5、.8可以收到任意外部主机发到1.2.3.4:62000的数据报。b)AddressRestricted Cone NAT(地址限制圆锥型):从同一私网地址端口192.168.0.8:4000发至公网的所有请求都映射成同一个公网地址端口1.2.3.4:62000,只有当内部主机192.168.0.8先给服务器C 6.7.8.9发送一个数据报后,192.168.0.8才能收到6.7.8.9发送到1.2.3.4:62000的数据报。c)Port Restricted Cone NAT(端口限制圆锥型):从同一私网地址端口192.168.0.8:4000发至公网的所有请求都映射成同一个公网地址端口1.
6、2.3.4:62000,只有当内部主机192.168.0.8先向外部主机地址端口6.7.8.9:8000发送一个数据报后,192.168.0.8才能收到6.7.8.9:8000发送到1.2.3.4:62000的数据报。请注意上述描叙中的区别!穿越NAT的实现:A1在客户机时192.168.0.8:40006.7.8.9:8000X1在网关时1.2.3.4:620006.7.8.9:8000服务器C6.7.8.9:8000B1在客户机时192.168.1.8:40006.7.8.9:8000Y1在网关时1.2.3.5:310006.7.8.9:8000两内网用户要实现通过各自网关的直接呼叫,需要
7、以下过程:1、客户机A1、B1顺利通过格子网关访问服务器C,均没有问题(类似于登录)2、服务器C保存了A1、B1各自在其网关的信息(1.2.3.4:62000、1.2.3.5:31000)没有问题。并可将该信息告知A1、B2。3、此时A1发送给B1网关的1.2.3.5:31000是否会被B1收到?答案是基本上不行(除非Y1设置为完全圆锥型,但这种设置非常少),因为Y1上检测到其存活的会话中没有一个的目的IP或端口于1.2.3.4:62000有关而将数据包全部丢弃!4、此时要实现A1、B1通过X1、Y1来互访,需要服务器C告诉它们各自在自己的网关上建立“UDP隧道”,即命令A1发送一个192.1
8、68.0.8:40001.2.3.5:31000的数据报,B1发送一个192.168.1.8:40001.2.3.4:62000的数据报,UDP形式,这样X1、Y1上均存在了IP端口相同的两个不同会话(很显然,这要求网关为ConeNAT型,否则,对称型SymmetricNAT设置网关将导致对不同会话开启了不同端口,而该端口无法为服务器和对方所知,也就没有意义)。5、此时A1发给Y1,或者B1发给X1的数据报将不会被丢弃且正确的被对方收到综合P2P可实现的条件需要:1、中间服务器保存信息、并能发出建立UDP隧道的命令2、网关均要求为Cone NAT类型。SymmetricNAT不适合。3、完全圆
9、锥型网关可以无需建立udp隧道,但这种情况非常少,要求双方均为这种类型网关的更少。4、假如X1网关为SymmetricNAT,Y1为AddressRestricted Cone NAT或Full Cone NAT型网关,各自建立隧道后,A1可通过X1发送数据报给Y1到B1(因为Y1最多只进行IP级别的甄别),但B2发送给X1的将会被丢弃(因为发送来的数据报中端口与X1上存在会话的端口不一致,虽然IP地址一致),所以同样没有什么意义。5、假如双方均为SymmetricNAT的情形,新开了端口,对方可以在不知道的情况下尝试猜解,也可以达到目的,但这种情形成功率很低,且带来额外的系统开支,不是个好的
10、解决办法。6、不同网关型设置的差异在于,对内会采用替换IP的方式、使用不同端口不同会话的方式,使用相同端口不同会话的方式;对外会采用什么都不限制、限制IP地址、限制IP地址及端口。7、这里还没有考虑同一内网不同用户同时访问同一服务器的情形,如果此时网关采用AddressRestricted Cone NAT或Full Cone NAT型,有可能导致不同用户客户端可收到别人的数据包,这显然是不合适的。一些现在常用的技术:ALG(应用层网关):它可以是一个设备或插件,用于支持SIP协议,主要类似与在网关上专门开辟一个通道,用于建立内网与外网的连接,也就是说,这是一种定制的网关。更多只适用于使用他们
11、的应用群体内部之间。UpnP:它是让网关设备在进行工作时寻找一个全球共享的可路由IP来作为通道,这样避免端口造成的影响。要求设备支持且开启upnp功能,但大部分时候,这些功能处于安全考虑,是被关闭的。即时开启,实际应用效果还没经过测试。STUN(Simple Traversalof UDP Through Network):这种方式即是类似于我们上面举例中服务器C的处理方式。也是目前普遍采用的方式。但具体实现要比我们描述的复杂许多,光是做网关Nat类型判断就由许多工作,RFC3489中详细描述了。TURN(Traveral Using Relay NAT):该方式是将所有的数据交换都经由服务器来完成,这样NAT将没有障碍,但服务器的负载、丢包、延迟性就是很大的问题。目前很多游戏均采用该方式避开NAT的问题。这种方式不叫p2p。ICE(Interactive Connectivity Establishment):是对上述各种技术的综合,但明显带来了复杂性。总之,NAT的存在代表着一种时尚,那就是不求简单,但求复杂,坚决把你搞晕,反正没我责任。