兰州网站seo优化公司,望野原文,网络营销课程教案,官网建站合作模版http://blog.csdn.net/mazidao2008/article/details/4933730 —————————————————————————————————————————————————————————————— 穿越NAT的意义#xff1a; NAT是为了节省IP地址而设计的#xff0c;但它隐藏了…http://blog.csdn.net/mazidao2008/article/details/4933730 —————————————————————————————————————————————————————————————— 穿越NAT的意义 NAT是为了节省IP地址而设计的但它隐藏了内网机器的地址“意外”起到了安全的作用。对外不可见不透明的内部网络也与互联网的“公平”应用“相互共享”的思想所不容尤其是P2P网络中“相互服务”的宗旨所以穿越NAT让众多内部网络的机器也参与到P2P网络中的大集体中来一直是P2P开发者的所希望的。穿越NAT需要借助外部的支持说白了就是“内外勾结”骗过NAT。很多P2P网络成功地实现了这一目标但还是有一些“遗憾”---并非所有的情况下都可以。由于客户端是主动登录P2P网络才可穿越所以P2P的方式也没有违背企业的内部管理原则毕竟“自由世界”的加入都是自觉自愿的。 NAT原理 NAT(Network Address Translation)网络地址转换/网络地址翻译。 工作原理NAT主要的通过对数据包头的地址替换来完成内网计算机访问外网服务的。 当内部机器要访问外部网络时NAT设备把内部的IP1与端口号1(网络层地址与传输层地址)转换成NAT的外部IP2与新的端口号2再送给外部网 络数据返回时再把目的为IP2:端口2的数据包替换为IP1:端口1送给内网机器。若通讯协议的内容中有IP地址的传递如FTP协议NAT在翻 译时还要注意数据包内涉及协议地址交互的地方也要替换否则协议就会出现地址混乱。在NAT设备中维护了这个要替换地址的映射表并根据内部计算机的通讯 需求维护该表。外部网络来数据包能否进入NAT主要是看是否已经有可映射的表项若没有就会丢弃。 NAT的外部公网地址可以是一个IP也可以是一个网段形成地址池。NAT还可以把某个外网地址直接影射给内网的某个服务器让外网的用户可以直接访问到这台服务器。NAT的工作的隐藏内网的机器但允许内网主动打开到外网的通讯“通道”也就是建立映射表项。 NAT给P2P带来的问题是NAT只允许单方面发起连接通讯的双方不是平等的P2P网络的基础有了问题具体的表现为 内网主机IP是私有的外部主机看不到也无法主动发起连接 即使知道了内网IP但NAT会丢弃没有在影射表的数据包 内网主机可以作为客户端访问外网但不能作为服务器提供服务 当两个主机都位于各自的NAT之后要实现P2P的连接就不仅是谁主动的问题而是如何解决在两个NAT上同时有对方映射表项的问题。 STUN协议(IETF RFC 3489) STUN协议是一种通道协议可以作为正式通讯前的通路建立它采用的是用户终端干预的一种方法可以解决应用协议内部传递IP地址给NAT带来的麻烦。用户通过其他方法得到其地址对应在NAT出口上的对外地址然后在报文负载中所描述的地址信息就直接填写NAT上对外地址而不是内网的私有IP这样报文的内容在经过NAT时就按普通的NAT流程转换报文头部的IP地址即可负载内的IP地址信息无需再修改。利用STUN的思路可以穿越NAT。STUN协议是客户端/服务器协议分两种请求方式一是UDP发送的绑定请求(Binding Requests)二是TCP发送的秘密请求(Shared Secret Requests)。绑定请求用于确定NAT分配的绑定地址。 STUN标准中根据内部终端的地址(P:p)到NAT出口的公网地址(A:b)的影射方式把NAT分为四种类型 1. Full Cone来自相同的内部地址的请求消息映射为相同的外部地址与外部地址(目的地址)无关。映射关系为P:p↔A:b任何外部主机可通过(A:b)发送到数据到(P:p)上。 2. Restricted Cone来自相同的内部地址的请求消息映射为相同的外部地址返回的数据只接受该内部节点曾发数据的那个目的计算机地址X。映射关系为P:p↔A:b↔X只有来自X的数据包才可通过(A:b)发送到数据到(P:p)上。 3. Port Restricted Cone来自相同的内部地址的请求消息映射为相同的外部地址返回的数据只接受该内部节点曾发数据的那个目的地址X:x。映射关系为P:p↔A:b↔X:x只有来自X:x的数据包才可通过(A:b)发送到数据到(P:p)上。 4. Symmetric(对称) NAT只有来自相同的内部地址(P:p)并且发送到同一个地址(X:x) 的请求消息才被映射为相同的外部地址(A:b)返回的数据只接受该内部节点曾发数据的那个目的地址X:x。映射关系为P:p↔A:b↔X:x当(P:p)访问(Y:y)时映射为P:p↔B:c↔Y:y。 P2P利用STUN穿越NAT 位于NAT后面终端A与B要穿越NAT直接通讯可以借助在公网上的第三者Server来帮助。 穿越NAT的情况分为为两种方式1、一方在NAT之后一方在公网上。这种情况相对简单只要让NAT之后的终端先发起通讯NAT就没有作用了它可以从Server上取得另一个Peer的地址主动连接回来的数据包就可以方便地穿越NAT。2、双方都在NAT之后连接的成功与否与两个NAT的类型有关。主要的思路的先通过终端与Server的连接获得两个终端在NAT外部的地址(IP与端口号)再由终端向对方的外部地址发邀请包获取自己与对方通讯的外部地址俗称为“打洞”。关键是获取了NAT外部映射的地址就可以发包直接沟通建立连接。但当一方是对称型另一方是Port Restricted或对称型时无法有效获取外部地址邀请包无法到达对方也就无法穿越NAT。具体的分析可以根据两个NAT的类型分成若干情况分析这里给一般的穿越例子。 实例UDP穿越NAT A登录ServerNAT A分配端口11000Server得到A的地址为100.10.10.10:11000 B登录ServerNAT B分配端口22000Server得到B的地址为200.20.20.20:22000 此时B会把直接来自A的包丢弃所以要在NAT B上打一个方向为A的洞那么A就可以向200.20.20.20:22000发送数据了。 打洞的指令来自Server。B向A的地址100.10.10.10:11000发一个UDP报文被NAT A丢弃但在NAT B上建立映射记录NAT B不在丢弃来自A的报文。 Server通知A可以通讯A发起数据UDP包给BNAT B放行B收到A的包双方开始通讯 注若是对称NAT当B向A打洞的端口要重新分配(NAT A不会再分配11000端口)B无法获取这个端口所以不适用本方法。 实例TCP穿越NAT A登录ServerNAT A分配端口11000Server得到A的地址为100.10.10.10:11000 B登录ServerNAT B分配端口22000Server得到B的地址为200.20.20.20:22000 A向B发送TCP数据包SYN:192.168.10.11:1234200.20.20.20:22000在NAT A上打洞 B向A发送TCP数据包SYN:192.168.20.22:1234100.10.10.10:11000在NAT B上打洞 通道建立A与B三次握手建立TCP连接
