P2P网络原理

P2P网络：

下面是我在网上找到的一副图：

P2P（Peer to Peer）是点对点的连接，在P2P网络中，用户同时利用并提供网络的基础，尽管提供资源完全是自愿的。每个对等体（“对等体”是网络上的计算机系统）被认为是相等的并且通常被称为节点。对等体可以将一部分计算资源（如磁盘存储，处理能力或网络带宽）直接提供给其他参与者，而无需服务器或稳定主机进行任何集中协调。有点我为人人，人人为我的意思。

NAT技术：

NAT技术（Network Address Translation，网络地址转换）是一种把内部网络（简称为内网）私有IP地址转换为外部网络（简称为外网）公共IP地址的技术，它使得一定范围内的多台主机只利用一个公共IP地址连接到外网，可以在很大程度上缓解了公网IP地址紧缺的问题，在网上随便找了一张NAT的图：

一般来说都是由私网内主机（例如上图中“电脑A-01”）主动发起连接，数据包经过NAT地址转换后送给公网上的服务器（例如上图中的“Server”），连接建立以后可双向传送数据，NAT设备允许私网内主机主动向公网内主机发送数据,但却禁止反方向的主动传递，但在一些特殊的场合需要不同私网内的主机进行互联（例如P2P软件、网络会议、视频传输等），TCP穿越NAT的问题必须解决。

实现方式：

静态转换、动态转换、端口多路复用。

1. 静态转换：是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的。通过静态配置，把一个固定的私网IP地址和端口关联到一个公网地址和端口，这种方式适用于在NAT网关上把一个知名服务（如HTTP）映射到一个内部主机上。
2. 动态转换：是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对是不确定的，而是随机的，所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。
3. 端口多路复用：是指改变外出数据包的源端口并进行端口转换，即端口地址转换(Port Address
   Translation，PAT)。采用端口多路复用方式，内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，避免来自Internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。

分类：

NAT设备的类型对于TCP穿越NAT,有着十分重要的影响,根据端口映射方式,NAT可分为如下4类,前3种NAT类型可统称为cone类型。下面是NAT的几种类型：

1. 全克隆( Full Clone) ：NAT把所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口。任何一个外部主机均可通过该映射发送IP包到该内部主机。
2. 限制性克隆(Restricted Clone) ：NAT把所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口。但是,只有当内部主机先给IP地址为X的外部主机发送IP包,该外部主机才能向该内部主机发送IP包。
3. 端口限制性克隆( Port Restricted Clone)：端口限制性克隆与限制性克隆类似,只是多了端口号的限制,即只有内部主机先向IP地址为X,端口号为P的外部主机发送1个IP包,该外部主机才能够把源端口号为P的IP包发送给该内部主机。
4. 对称式NAT ( Symmetric NAT)：这种类型的NAT与上述3种类型的不同,在于当同一内部主机使用相同的端口与不同地址的外部主机进行通信时,NAT对该内部主机的映射会有所不同。对称式NAT不保证所有会话中的私有地址和公开IP之间绑定的一致性。相反,它为每个新的会话分配一个新的端口号。

NAT地址转换：

NAT的基本工作原理是，当私有网主机和公共网主机通信的IP包经过NAT网关时，将IP包中的源IP或目的IP在私有IP和NAT的公共IP之间进行转换。

如下图所示，NAT网关有2个网络端口，其中公共网络端口的IP地址是统一分配的公共 IP，为202.20.65.5；私有网络端口的IP地址是保留地址，为192.168.1.1。私有网中的主机192.168.1.2向公共网中的主机202.20.65.4发送了1个IP包(Dst=202.20.65.4,Src=192.168.1.2)。

当IP包经过NAT网关时，NAT Gateway会将IP包的源IP转换为NAT Gateway的公共IP并转发到公共网，此时IP包（Dst=202.20.65.4，Src=202.20.65.5）中已经不含任何私有网IP的信息。由于IP包的源IP已经被转换成NAT Gateway的公共IP，Web Server发出的响应IP包（Dst= 202.20.65.5,Src=202.20.65.4）将被发送到NAT Gateway。

这时，NAT Gateway会将IP包的目的IP转换成私有网中主机的IP，然后将IP包（Des=192.168.1.2，Src=202.20.65.4）转发到私有网。对于通信双方而言，这种地址的转换过程是完全透明的。转换示意图如下。

如果内网主机发出的请求包未经过NAT，那么当Web Server收到请求包，回复的响应包中的目的地址就是私网IP地址，在Internet上无法正确送达，导致连接失败。

连接跟踪：

在上述过程中，NAT Gateway在收到响应包后，就需要判断将数据包转发给谁。此时如果子网内仅有少量客户机，可以用静态NAT手工指定；但如果内网有多台客户机，并且各自访问不同网站，这时候就需要连接跟踪（connection track）。如下图所示：

在NAT Gateway收到客户机发来的请求包后，做源地址转换，并且将该连接记录保存下来，当NAT Gateway收到服务器来的响应包后，查找Track Table，确定转发目标，做目的地址转换，转发给客户机。

端口转换：

以上述客户机访问服务器为例，当仅有一台客户机访问服务器时，NAT Gateway只须更改数据包的源IP或目的IP即可正常通讯。但是如果Client A和Client B同时访问Web Server，那么当NAT Gateway收到响应包的时候，就无法判断将数据包转发给哪台客户机，如下图所示。

此时，NAT Gateway会在Connection Track中加入端口信息加以区分。如果两客户机访问同一服务器的源端口不同，那么在Track Table里加入端口信息即可区分，如果源端口正好相同，那么在时行SNAT和DNAT的同时对源端口也要做相应的转换，如下图所示。（这里的理解灰常重要）

NAT打洞技术：

NAT技术虽然在一定程度上解决了IPv4地址短缺的问题，在构建防火墙、保证网络安全方面都发挥了一定的作用，却破坏了端到端的网络通信。NAT阻碍主机进行P2P通信的主要原因是NAT不允许外网主机主动访问内网主机，因为NAT设备上没有相关转发表项，要在NAT网络环境中进行有效的P2P通信，就必须寻找相应的解决方案——NAT穿越打洞。下面分各种NAT场景（如图2）来说明UDP打洞的过程：

假设现在有A和B通信双方，同时为了便于描述打洞过程，假定图2中的NAT类型均为Full Cone NAT：

1. A和B都处于公网下，无需打洞，A和B可直接P2P直连。
2. A处于公网，B在内网。若A去连B，由于B没有向A发送过数据，A的数据包会被B的NAT1丢弃，所以即使A知道了B通过NAT1转换后的地址和端口，也是无法连接成功的。但是由于A在公网下，所以反过来B可以连接A，P2P通信成功。
3. A和B都处于内网，分属不同的内网，它们彼此的内网地址在外网中是没有路由的，所以发往各自内网地址的UDP数据包会发送到错误的主机或者根本不存在的主机上。由于双方都不知道对方的公网IP和端口，就会无从下手，所以要在A和B之间架设一台服务器S来为它们牵线，而且S是处在公网，以保证A和B都能连接到S。A和B登录时都首先连接S，S就会知道A和B经过NAT后的IP和端口，当A想要连接B时，就向S发出请求，S会把B经过NAT后的IP和端口告诉A，同时S向B发送A经过NAT后的IP和端口，并要求B发送数据给A，B发送数据到达A时会被A的NAT抛弃（不同的路由器会有不同的结果，有些路由器在这个操作就能建立连接，大多数路由器对于不请自到的SYN请求包直接丢弃而导致connect失败），但是B的NAT会有B发送数据到A的记录，这时A再向B发送数据时就会被B的NAT放行，因为B曾经向A的外网IP和端口发送过数据。A向B的外网地址发送消息的过程就是“打洞”的过程，一旦A与B都向对方的外网地址发送了数据包，就打开了A与B之间的“洞”，一旦应用程序确认已经可以通过往对方的外网地址发送数据包的方式让数据包到达NAT后面的目的应用程序，程序会自动停止继续发送用于“打洞”的数据包，转而开始真正的P2P数据传输。这个过程可借助于网上的一个形象比喻来理解（见图3）。
   
4. NAT1和NAT2是由ISP(Internet Service
   Provider)提供的NAT设备，提供将多个用户节点映射到有限的几个公网IP的服务。NAT3作为NAT1的内网节点将把用户的家庭网络或内部网络接入NAT1的内网，然后用户的内部网络就可以经由NAT1访问公网了（NAT4同理）。从这种拓扑结构上来看，只有服务器S与NAT1、NAT2是真正拥有公网可路由IP地址的设备，而NAT3和NAT4所使用的公网IP地址，实际上是由ISP服务提供商设定的（相对于NAT1和NAT2而言）内网地址（这个由ISP提供的内网地址相对于NAT1和NAT2被称之为“伪”公网地址）。现在假定A和B希望通过UDP“打洞”完成P2P直连。最优化的路由策略是A向B的“伪公网”IP上发送数据包。由于从服务器S的角度只能观察到真正的公网地址，也就是NAT3、NAT4分别通过NAT1、NAT2转换的外网地址，非常不幸的是A与B是无法通过服务器S知道这些“伪”公网的地址，而且即使客户端A和B通过某种手段可以得到NAT3和NAT4的“伪”公网地址，我们仍然不建议采用上述的“最优化”的打洞方式，这是因为这些地址是由ISP服务提供商提供的，或许会存在与客户端本身所在的内网地址重复的可能性，这样就会导致打洞数据包无法发出的问题。因此客户端别无选择，只能使用由服务器S观察到的A，B的公网地址进行“打洞”操作，打洞过程与（3）类似。
5. A和B位于同一个NAT设备后面，并且处于同一局域网中，发出的数据包不需要路由，可进行速度较快的常规P2P通信。另外，A和B发往对方公网地址的UDP数据包不一定会被对方收到，这取决于当前的NAT设备是否支持不同端口之间的UDP数据包传输（即Hairpin转换），就算支持，应用程序也应该优先选择上述常规的P2P直连，否则势必会造成数据包无谓地经过NAT设备，这是一种对资源的浪费。
6. 由于A和B不在一个内网中，所以相对于（5）而言，就不能不经过NAT让A和B直接相连，这样情况下就需要NAT1支持Hairpin转换，虽然目前也有很多NAT设备不支持类似这样的“Hairpin转换”，但是已经有越来越多的NAT设备商开始加入对该转换的支持中来。

构建P2P网络：

内网穿透，先说结论： 两个处于不同内部网络的节点，永远无法发现他们之间的相互存在，你就算是想顺着网线过去打他都不行。所有的内网穿透原理无外乎需要一个有公网ip的中介服务器，包括虚拟货币像比特币之类的，所以首先要有一个创世节点。 把服务部署要公网，那么其他所有的节点都能访问，通过中转服务器，能够使得两个节点可以建立连接。

我们是要建立这样的P2P网络：

假如现在只有3个节点： 创世节点, B节点, C节点， 创世节点有公网IP
我用对话的形式，阐述他们建立链接的过程:

B节点: hey，创世节点，我要加入到P2P网络里面，告诉其他兄弟，我来了
创世节点: 兄弟们，刚刚有个叫做B的节点加入网络了，你们也去告诉其他节点
其他节点: 刚刚收到来自 "创世节点"的通知，有个fresh meet加入网络了，叫做 “B”

至此，所有人都知道了B节点加入了网络，里面记载着B节点的相关信息，包括IP地址，包括udp端口号
此时C节点也要加入网络，并且想要和B节点对话：

C节点: hey，创世节点，我要加入到P2P网络里面，并且我要和B对话
创世节点: 兄弟们，刚刚有个叫做B的节点加入网络了，你们也去告诉其他节点，顺便看看有没有B这个节点
其他节点: 刚刚收到来自 "创世节点"的通知，有个fresh meet加入网络了，叫做 “C”，你们也看看有没有B这个节点
其他节点2: 收到通知，听说一个叫做C的节点在找一个B节点，我这里有它的信息，ip是xxxx.xxxx.xxx.xxxx, 端口10086
B节点: 有个C的家伙(ip: xxxx.xxxx.xxxx.xxxx, 端口1000)要找我

到这里，B获取到了C的信息，包括IP和端口，C也拿到了B的信息.
于是，他们两个就可以建立通信。消息流: B <----> C. 中间不经过任何服务器
用一张图来形容：

在设计中，每个节点的功能都是一样的。如果需要加入到网络中，不一定跟创世节点链接假设已存在的节点: 创世节点，A、B、C节点，此时有个D节点想要加入到网络。那么D节点不一定非得链接到创世节点，可以链接到A、B、C中的任意一个节点，然后该节点再广播给其他节点说"Hey, 有个新人叫做D的加入了网络"。

这样所有人都知道，有个叫做D的节点存在，你可以和它通信，同时D节点和会同步已存在的节点。这样D节点也知道了其他节点的存在了

参考：

1. http://www.voidcn.com/article/p-rcgbxwnk-us.html
2. https://blog.csdn.net/Dreamandpassion/article/details/108118804
3. https://blog.csdn.net/hzhsan/article/details/45038265
4. https://cnodejs.org/topic/5a6303479288dc8153287fe1