P2P中的NAT技术

最新推荐文章于 2024-05-11 09:37:43 发布

natsusao

最新推荐文章于 2024-05-11 09:37:43 发布

阅读量886

点赞数 1

分类专栏：杂七杂八笔记文章标签： p2p 网络服务器

本文链接：https://blog.csdn.net/weixin_42445065/article/details/130266309

版权

杂七杂八笔记专栏收录该内容

18 篇文章

订阅专栏

P2P 为 Peer To Peer，顾名思义是对等的端对端通讯而不需要借助第三者。

端对端的能充分的利用两端的网络资源，减少对公共服务器的依赖。但在 IPv4 短缺的今天，有很多设备是在一个内网里向外传输信息的，基本上做不到每台设备拥有独立IP。而普通情况下，在内网的设备很难被主动访问，因此很难直接通讯。P2P的直接通讯需要借助在网关设备上的 “打洞” 来进行。

要解释 “打洞” 就需要从NAT技术讲起。

NAT 介绍

上网搜时，可能看到 NAT 是为了解决 “IPv4地址短缺问题” ，而其实更本质上来说，这是一个路由拥有自洽内网系统的一个必要功能——对于外界来说，传输层IP包的沟通对象是 NAT 网关设备，再由网关转发给对应的子网设备来通讯，这样就能很好的让子网自洽而不用顾及外部的网络环境。

简而言之，NAT 的工作原理是一个 IP、Port 的转换过程，NAT = Network Address Translation。显然它的本质问题，是如何建立并维护起【NAT设备的外网地址 <—> 内网设备地址】的映射关系。

转换关系层级

NAT 转换关系存在许多种策略，它们是一个非此即彼的存在，亦即只会同时生效一种策略。这些转换策略分两个层级。

IP 层的转换

最底层的是只在 IP 层转换。即 NAT网关有多个外网 IP 地址的情况下，将外网 IP 地址跟内网的某用网设备的内网 IP 对应起来。外部对某个外网IP的访问即对应到内网具体的某IP上。

对应关系可以分两种：一种是手动下的静态对应，叫静态NAT（Static NAT）；另一种是在外网IP池子里自动动态分配，叫池NAT（Pooled NAT）。

现代的用网设备会远远超出某个 NAT 网关能拥有外网IP，除非有特别的应用场景，否则IP这一层的转换显然不具广泛的适用性，所以不重点讨论。

Port 层的转换

在 Port 层的转换又叫 NAPT，Network Address Port Translation。在这一层的转换已经在 NAT 设备上重用到端口级，亦即一个端口可以转换多条对外的链接。

端口的概念需要关联到具体的运输层协议，比如 UDP、TCP 等，不同的协议需要依赖于 NAT 设备的支持。

在 NAPT 中又根据不同的工作模式，细分了两种不同的类型——对称型（Symmetric NAT）以及非对称性（也叫锥形，Cone NAT）。

同时锥形 NAT 下还会根据对当前端口重用的限制等级分为三种不同的 NAT，完全锥形 NAT（Full cone NAT）、受限NAT（Restricted Cone NAT）和端口受限 NAT（Port restricted cone NAT）。

NAPT 是我们现代网络最常用的 NAT 模式，NAT 设备对 UDP 与 TCP 都有比较好的支持，原理和过程几乎共通。下面展开。

NAPT 的两种大模式

NAPT 按照端口的重用方式，分为两大类——对称型（Symmetric NAT）以及非对称型（也叫锥形，Cone NAT）。

这两类的分类方式的不同，通俗来讲来讲就是 NAT 的同一个内侧设备，对外的不同链接（这个不同包括 IP 与 Port），要不要在NAT设备的外侧新起端口来对应。

如果需要新起端口来对应，意味着每一个新的连接，在外网部分看来，目的地以及源都是全新的。亦即在 NAT 设备的外网侧存在严格的 SourceIP:SourcePort <—> TargetIP:TargetPort 的唯一性，这也是 对称型 名字的由来。反之则是锥形。

一、锥形 NAT（Cone NAT）

锥形的命名其实很形象，指的是 NAT设备内网侧的设备一旦启用某端口进行通讯后，NAT 设备只需要固定开放一个外网侧端口与之对应即可。往后内网设备从这个端口往外的通讯，都固定由外侧的对应的端口转换。
这样外网侧看起来就是一个从NAT设备外网端口到外网设备的放射形的结构，因此叫之为锥形。
锥形 NAT 也有被称为一对一NAT（one-to-one NAT）。这里的一对一指的是 NAT 设备内网侧设备的 IP:Port 跟其外网侧的 IP:Port 的转换关系。
在这里插入图片描述
出于安全性跟便捷性的平衡考量，这种锥形 NAT 在 NAT 设备的外网侧有三种不同的策略。其严格程度从低到高分别为：全锥型(Full Cone)、受限锥型(Restricted Cone)、端口受限锥型(Port Restricted Cone)。简单来说就是完全不限制、限制外网目标IP、限制外网目标IP+外网目标Port。

1、全锥型(Full Cone)

在这里插入图片描述
如图1示，内网设备的端口 2000，只要跟 NAT 设备的外网侧对应好后（图里没画出来），所有的外网机器、不限制IP、不限制Port，都可以往这里丢信息并被 NAT 设备转发进来。这种模式下，内网设备的某个端口的通讯等于完全暴露在外网中。

2、受限锥型(Restricted Cone)

在这里插入图片描述
在受限锥形模式下，只有内网设备曾经通过某个 NAT 设备外侧端口主动通讯过的外网服务器，才能反过来向内网设备发包。

如图2中，内网设备用 2000 端口通过 NAT 设备的某个端口向 s1 的 3000 端口发送数据，因此 s1 的 2000 端口跟 3000 端口（以及其他任意端口）都可以向内网设备的 2000 端口通讯。

3、端口受限锥型(Port Restricted Cone)

在这里插入图片描述
端口受限锥型比受限锥型对端口也进行了限制，不只是内网设备的主动通讯过的外网IP需要一致，外网服务器与 NAT 设备通讯时的端口也要求是内网设备在主动通讯时的目标端口。

在图3中，s2 的所有端口、s1 的 3000 端口都会被 NAT 设备拒绝。仅有 s1 的 2000 端口是内网设备主动通讯过的对象，报文得以放行。

二、对称型 NAT（Symmetric NAT）

在这里插入图片描述
对称型的 NAT 放弃了 NAT 设备与内网设备端口一对一联系的设定。在对 IP、端口都有限制的前提下，就算是内网设备用同一个端口对不同的目标发起通讯，NAT 设备也会在自己的外网侧开辟新的端口来与之对应。

对称型的 NAT 是最为严格跟安全的策略。同时也是最为死板的。

如上图，即使内网设备用的都是 2000 端口发起对 s1 的通讯，但在 s1 看来，自己的 2000 端口跟 3000 端口，需要通讯的是 NAT 设备上两个不同的端口。

这种策略无疑是比锥形的三种策略都要严格得多，它区分开了每一个独特的链接，像一些超时、流控等策略就可以具体到链接去做了。

NAT 打洞

打洞思路

像这种被 NAT 设备隐藏的设备要通讯，无疑需要一个公共服务器来协助。

注意，由于对称型 NAT 每次发起都会被映射到 NAT 设备的新端口，而不是登录时通知到打洞服务器的端口，同时新端口无法统一预测，所以对称型的 NAT 是难以打洞的。只有其中一方是不对端口做限制的策略，而来做被握手的一方才可能可以。
不同策略的组合打洞可能性如下：

Peer	Peer	能否打洞
全锥型	全锥型	✓
全锥型	受限锥型	✓
全锥型	端口受限锥型	✓
全锥型	对称型	✓
受限锥型	受限锥型	✓
受限锥型	端口受限锥型	✓
受限锥型	对称型	✓
端口受限锥型	端口受限锥型	✓
端口受限锥型	对称型	✘
对称型	对称型	✘