導語
最近介入測試P2P的相關邏輯,因此對NAT穿透原理做了一定程度的瞭解(當然也沒有很深入)。。寫本文的目的就是,用自己的語言描述了這個過程,同時也在描述過程中加入了一些自己的理解,形成一篇文章作為要點的記錄。對於這一塊的知識,自己也有很多盲點,還請各路大神多多指教。
一、背景知識介紹
1.什麼是NAT?
NAT(Network Address Translation,網絡地址轉換),也叫做網絡掩蔽或者IP掩蔽。NAT是一種網絡地址翻譯技術,主要是將內部的私有IP地址(private IP)轉換成可以在公網使用的公網IP(public IP)。
2.為什麼會有NAT?
時光回到上個世紀80年代,當時的人們在設計網絡地址的時候,覺得再怎麼樣也不會有超過32bits位長即2的32次冪臺終端設備連入互聯網,再加上增加ip的長度(即使是從4字節增到6字節)對當時設備的計算、存儲、傳輸成本也是相當巨大的。後來逐漸發現IP地址不夠用了,然後就NAT就誕生了!(雖然ipv6也是解決辦法,但始終普及不開來,而且未來到底ipv6夠不夠用仍是未知)。
因此,NAT技術能夠興起的原因還是因為在我們國家公網IP地址太少了,不夠用,所以才會採取這種地址轉換的策略。可見,NAT的本質就是讓一群機器公用同一個IP,這樣就暫時解決了IP短缺的問題。
3.NAT有什麼優缺點?
優勢其實上面已經剛剛討論過了,根據定義,比較容易看出,NAT可以同時讓多個計算機同時聯網,並隱藏其內網IP,因此也增加了內網的網絡安全性;此外,NAT對來自外部的數據查看其NAT映射記錄,對沒有相應記錄的數據包進行拒絕,提高了網絡安全性。
那麼,NAT與此同時也帶來一些弊端:首先是,NAT設備會對數據包進行編輯修改,這樣就降低了發送數據的效率;此外,各種協議的應用各有不同,有的協議是無法通過NAT的(不能通過NAT的協議還是蠻多的),這就需要通過穿透技術來解決。我們後面會重點討論穿透技術。
簡單的背景瞭解過後,下面介紹下NAT實現的主要方式,以及NAT都有哪些類型。
二、NAT實現方式及主要類型
1.NAT實現方式
1)靜態NAT:也就是靜態地址轉換。是指一個公網IP對應一個私有IP,是一對一的轉換,同時注意,這裡只進行了IP轉換,而沒有進行端口的轉換。舉個栗子:
2)NAPT:端口多路複用技術。與靜態NAT的差別是,NAPT不但要轉換IP地址,還要進行傳輸層的端口轉換。具體的表現形式就是,對外只有一個公網IP,通過端口來區別不同私有IP主機的數據。再舉個栗子。
通過上面NAT實現方式的介紹,我們其實不難看出,現實環境中NAPT的應用顯然是更廣泛的。因此下面就重點介紹下NAPT的主要類型有哪些。
2.NAT的主要類型
對於NAPT我們主要分為兩大類:錐型NAT和對稱型NAT。其中錐型NAT又分:完全錐型,受限錐型和端口受限錐型。概括的說:對稱型NAT是一個請求對應一個端口;錐型NAT(非對稱NAT)是多個請求(外部發向內部)對應一個端口,只要源IP端口不變,無論發往的目的IP是否相同,在NAT上都映射為同一個端口,形象的看起來就像錐子一樣。下面分別介紹這四種類型及其差異。
1)完全錐型NAT(Full Cone NAT,後面簡稱FC)
特點:IP和端口都不受限。
表現形式:將來自內部同一個IP地址同一個端口號(IP_IN_A : PORT_IN_A)的主機監聽/請求,映射到公網IP某個端口(IP_OUT_B : PORT_OUT_B)的監聽。任意外部IP地址與端口對其自己公網的IP這個映射後的端口訪問(IP_OUT_B : PORT_OUT_B),都將重新定位到內部這個主機(IP_IN_A : PORT_IN_A)。該技術中,基於C/S架構的應用可以在任何一端發起連接。是不是很繞啊。再簡單一點的說,就是,只要客戶端,由內到外建立一個映射(NatIP:NatPort -> A:P1)之後,其他IP的主機B或端口A:P2都可以使用這個洞給客戶端發送數據。見下圖(圖片來自網絡)。
2)受限錐型NAT(Restricted Cone NAT)
特點:IP受限,端口不受限。
表現形式:與完全錐形NAT不同的是,在公網映射端口後,並不允許所有IP進行對於該端口的訪問,要想通信必需內部主機對某個外部IP主機發起過連接,然後這個外部IP主機就可以與該內部主機通信了,但端口不做限制。舉個栗子。當客戶端由內到外建立映射(NatIP:NatPort –> A:P1),A機器可以使用他的其他端口(P2)主動連接客戶端,但B機器則不被允許。因為IP受限啦,但是端口隨便。見下圖(綠色是允許通信,紅色是禁止通信)。
3)端口受限型NAT(Port Restricted Cone NAT)
特點:IP和端口都受限。
表現形式:該技術與受限錐形NAT相比更為嚴格。除具有受限錐形NAT特性,對於回覆主機的端口也有要求。也就是說:只有當內部主機曾經發送過報文給外部主機(假設其IP地址為A且端口為P1)之後,外部主機才能以公網IP:PORT中的信息作為目標地址和目標端口,向內部主機發送UDP報文,同時,其請求報文的IP必須是A,端口必須為P1(使用IP地址為A,端口為P2,或者IP地址為B,端口為P1都將通信失敗)。例子見下圖。這一要求進一步強化了對外部報文請求來源的限制,從而較Restrictd Cone更具安全性。
4)對稱型NAT(Symmetric NAT)
特點:對每個外部主機或端口的會話都會映射為不同的端口(洞)。
表現形式:只有來自同一內部IP:PORT、且針對同一目標IP:PORT的請求才被NAT轉換至同一個公網(外部)IP:PORT,否則的話,NAT將為之分配一個新的外部(公網)IP:PORT。並且,只有曾經收到過內部主機請求的外部主機才能向內部主機發送數據包。內部主機用同一IP與同一端口與外部多IP通信。客戶端想和服務器A(IP_A:PORT_A)建立連接,是通過NAT映射為NatIP:NatPortA來進行的。而客戶端和服務器B(IP_B:PORT_B)建立連接,是通過NAT映射為NatIP:NatPortB來進行的。即同一個客戶端和不同的目標IP:PORT通信,經過NAT映射後的公網IP:PORT是不同的。此時,如果B想要和客戶端通信,也只能通過NatIP:NatPortB(也就是紫色的洞洞)來進行,而不能通過NatIP:NatPortA(也就是黃色的洞洞)。
以上,就是NAPT的四種NAT類型。可以看出由類型1)至類型4),NAT的限制是越來越大的。
三、NAT路由類型判斷
根據上面的介紹,我們可以瞭解到,在實際的網絡情況中,各個設備所處的網絡環境是不同的。那麼,如果這些設備想要進行通信,首先判斷出設備所處的網絡類型就是非常重要的一步。舉個例子來說:對於視頻會議和VoIP軟件,對位於不同NAT內部的主機通信需要靠服務器來轉發完成,這樣就會增加服務器的負擔。為了解決這種問題,要儘量使位於不同NAT內部的主機建立直接通信,其中,最重要的一點就是要判斷出NAT的類型,然後才能根據NAT的類型,設計出直接通信方案。不然的話,兩個都在NAT的終端怎麼通信呢?我們不知道對方的內網IP,即使把消息發到對方的網關,然後呢?網關怎麼知道這條消息給誰,而且誰允許網關這麼做了?
為了解決這個問題,也就是處於內網的主機之間能夠穿越它們之間的NAT建立直接通信,已經提出了許多方法,STUN(Session Traversal Utilities for NAT,NAT會話穿越應用程序)技術就是其中比較重要的一種解決方法,並得到了廣泛的應用。在這個部分,我們將重點介紹下STUN技術的原理。(PS:除此之外,還有UPNP技術,ALG應用層網關識別技術,SBC會話邊界控制,ICE交互式連接建立,TURN中繼NAT穿越技術等等,本文不一一做介紹。)
四、STUN協議
STUN是一種網絡協議,它允許位於NAT(或多重NAT)後的客戶端找出自己的公網地址,查出自己位於哪種類型的NAT之後以及NAT為某一個本地端口所綁定的Internet端端口。這些信息被用來在兩個同時處於NAT路由器之後的主機之間建立UDP通信。該協議由RFC 5389定義。STUN由三部分組成:STUN客戶端、STUN服務器端、NAT路由器。STUN服務端部署在一臺有著兩個公網IP的服務器上。大概的結構參考下圖。STUN客戶端通過向服務器端發送不同的消息類型,根據服務器端不同的響應來做出相應的判斷,一旦客戶端得知了Internet端的UDP端口,通信就可以開始了。
STUN協議定義了三類測試過程來檢測NAT類型。
Test1:STUN Client通過端口{IP-C1:Port-C1}向STUN Server{IP-S1:Port-S1}發送一個Binding Request(沒有設置任何屬性)。STUN Server收到該請求後,通過端口{IP-S1:Port-S1}把它所看到的STUN Client的IP和端口{IP-M1,Port-M1}作為Binding Response的內容回送給STUN Client。 Test1#2:STUN Client通過端口{IP-C1:Port-C1}向STUN Server{IP-S2:Port-S2}發送一個Binding Request(沒有設置任何屬性)。STUN Server收到該請求後,通過端口{IP-S2:Port-S2}把它所看到的STUN Client的IP和端口{IP-M1#2,Port-M1#2}作為Binding Response的內容回送給STUN Client。
Test2:STUN Client通過端口{IP-C1:Port-C1}向STUN Server{IP-S1:Port-S1}發送一個Binding Request(設置了Change IP和Change Port屬性)。STUN Server收到該請求後,通過端口{IP-S2:Port-S2}把它所看到的STUN Client的IP和端口{IP-M2,Port-M2}作為Binding Response的內容回送給STUN Client。
Test3:STUN Client通過端口{IP-C1:Port-C1}向STUN Server{IP-S1:Port-S1}發送一個Binding Request(設置了Change Port屬性)。STUN Server收到該請求後,通過端口{IP-S1:Port-S2}把它所看到的STUN Client的IP和端口{IP-M3,Port-M3}作為Binding Response的內容回送給STUN Client。
STUN協議的輸出是: 1)公網IP和Port 2)防火牆是否設置 3)客戶端是否在NAT之後,及所處的NAT的類型
因此我們進而整理出,通過STUN協議,我們可以檢測的類型一共有以下七種:
A:公開的互聯網IP。主機擁有公網IP,並且沒有防火牆,可自由與外部通信 B:完全錐形NAT。 C:受限制錐形NAT。 D:端口受限制形NAT。 E:對稱型UDP防火牆。主機出口處沒有NAT設備,但有防火牆,且防火牆規則如下:從主機UDP端口A發出的數據包保持源地址,但只有從之前該主機發出包的目的IP/PORT發出到該主機端口A的包才能通過防火牆。 F:對稱型NAT G:防火牆限制UDP通信。
輸入和輸出準備好後,附上一張維基百科的流程圖,就可以描述STUN協議的判斷過程了。
STEP1:檢測客戶端是否有能力進行UDP通信以及客戶端是否位於NAT後 -- Test1 客戶端建立UDP socket,然後用這個socket向服務器的(IP-1,Port-1)發送數據包要求服務器返回客戶端的IP和Port,客戶端發送請求後立即開始接受數據包。重複幾次。 a)如果每次都超時收不到服務器的響應,則說明客戶端無法進行UDP通信,可能是:G防火牆阻止UDP通信 b)如果能收到回應,則把服務器返回的客戶端的(IP:PORT)同(Local IP: Local Port)比較: 如果完全相同則客戶端不在NAT後,這樣的客戶端是:A具有公網IP可以直接監聽UDP端口接收數據進行通信或者E。 否則客戶端在NAT後要做進一步的NAT類型檢測(繼續)。
STEP2:檢測客戶端防火牆類型 -- Test2 STUN客戶端向STUN服務器發送請求,要求服務器從其他IP和PORT向客戶端回覆包: a)收不到服務器從其他IP地址的回覆,認為包前被前置防火牆阻斷,網絡類型為E b)收到則認為客戶端處在一個開放的網絡上,網絡類型為A
STEP3:檢測客戶端NAT是否是FULL CONE NAT -- Test2 客戶端建立UDP socket然後用這個socket向服務器的(IP-1,Port-1)發送數據包要求服務器用另一對(IP-2,Port-2)響應客戶端的請求往回發一個數據包,客戶端發送請求後立即開始接受數據包。 重複這個過程若干次。 a)如果每次都超時,無法接受到服務器的回應,則說明客戶端的NAT不是一個Full Cone NAT,具體類型有待下一步檢測(繼續)。 b)如果能夠接受到服務器從(IP-2,Port-2)返回的應答UDP包,則說明客戶端是一個Full Cone NAT,這樣的客戶端能夠進行UDP-P2P通信。
STEP4:檢測客戶端NAT是否是SYMMETRIC NAT -- Test1#2 客戶端建立UDP socket然後用這個socket向服務器的(IP-1,Port-1)發送數據包要求服務器返回客戶端的IP和Port, 客戶端發送請求後立即開始接受數據包。 重複這個過程直到收到回應(一定能夠收到,因為第一步保證了這個客戶端可以進行UDP通信)。 用同樣的方法用一個socket向服務器的(IP-2,Port-2)發送數據包要求服務器返回客戶端的IP和Port。 比較上面兩個過程從服務器返回的客戶端(IP,Port),如果兩個過程返回的(IP,Port)有一對不同則說明客戶端為Symmetric NAT,這樣的客戶端無法進行UDP-P2P通信(檢測停止)因為對稱型NAT,每次連接端口都不一樣,所以無法知道對稱NAT的客戶端,下一次會用什麼端口。否則是Restricted Cone NAT,是否為Port Restricted Cone NAT有待檢測(繼續)。
STEP5:檢測客戶端NAT是Restricted Cone 還是 Port Restricted Cone -- Test3 客戶端建立UDP socket然後用這個socket向服務器的(IP-1,Port-1)發送數據包要求服務器用IP-1和一個不同於Port-1的端口發送一個UDP 數據包響應客戶端, 客戶端發送請求後立即開始接受數據包。重複這個過程若干次。如果每次都超時,無法接受到服務器的回應,則說明客戶端是一個Port Restricted Cone NAT,如果能夠收到服務器的響應則說明客戶端是一個Restricted Cone NAT。以上兩種NAT都可以進行UDP-P2P通信。
通過以上過程,至此,就可以分析和判斷出客戶端是否處於NAT之後,以及NAT的類型及其公網IP,以及判斷客戶端是否具備P2P通信的能力了。
另外還有一些關於c++ Linux後臺服務器開發的一些知識點分享:Linux,Nginx,MySQL,Redis,P2P,K8S,Docker,TCP/IP,協程,DPDK,webrtc,音視頻等等視頻。
喜歡的朋友可以後臺私信【1】獲取學習視頻
閱讀更多 開心玩技術 的文章
