為了項目的后期IM應用,最近在研究libjingle,中間看了也收集了很多資料,感慨網上很多資料要么太過于糾結協議(如STUN、ICE等)實現細節,要么中間有很多紕漏。最后去偽存真,歸納總結了一下,希望對以后的同行有些許幫助。
如果有什么需要討論或者指正的,歡迎留言或者郵件peakflys@gmail.com
P2P實現的原理
首先先介紹一些基本概念:
NAT(Network Address Translators),網絡地址轉換:網絡地址轉換是在IP地址日益缺乏的情況下產生的,它的主要目的就是為了能夠地址重用。NAT從歷史發展上分為兩大類,基本的NAT和NAPT(Network Address/Port Translator)。
最先提出的是基本的NAT(peakflys注:剛開始其實只是路由器上的一個功能模塊),它的產生基于如下事實:一個私有網絡(域)中的節點中只有很少的節點需要與外網連接(這是在上世紀90年代中期提出的)。那么這個子網中其實只有少數的節點需要全球唯一的IP地址,其他的節點的IP地址應該是可以重用的。
因此,基本的NAT實現的功能很簡單,在子網內使用一個保留的IP子網段,這些IP對外是不可見的。子網內只有少數一些IP地址可以對應到真正全球唯一的IP地址。如果這些節點需要訪問外部網絡,那么基本NAT就負責將這個節點的子網內IP轉化為一個全球唯一的IP然后發送出去。(基本的NAT會改變IP包中的原IP地址,但是不會改變IP包中的端口)
關于基本的NAT可以參看RFC 1631
另外一種NAT叫做NAPT,從名稱上我們也可以看得出,NAPT不但會改變經過這個NAT設備的IP數據報的IP地址,還會改變IP數據報的TCP/UDP端口。基本NAT的設備可能我們見的不多(基本已經淘汰了),NAPT才是我們真正需要關注的。看下圖:
有一個私有網絡10.*.*.*,Client A是其中的一臺計算機,這個網絡的網關(一個NAT設備)的外網IP是155.99.25.11(應該還有一個內網的IP地址,比如10.0.0.10)。如果Client A中的某個進程(這個進程創建了一個UDP Socket,這個Socket綁定1234端口)想訪問外網主機18.181.0.31的1235端口,那么當數據包通過NAT時會發生什么事情呢?
首先NAT會改變這個數據包的原IP地址,改為155.99.25.11。接著NAT會為這個傳輸創建一個Session(Session是一個抽象的概念,如果是TCP,也許Session是由一個SYN包開始,以一個FIN包結束。而UDP呢,以這個IP的這個端口的第一個UDP開始,結束呢,呵呵,也許是幾分鐘,也許是幾小時,這要看具體的實現了)并且給這個Session分配一個端口,比如62000,然后改變這個數據包的源端口為62000。所以本來是
(10.0.0.1:1234->18.181.0.31:1235)的數據包到了互聯網上變為了(155.99.25.11:62000->18.181.0.31:1235)。
一旦NAT創建了一個Session后,NAT會記住62000端口對應的是10.0.0.1的1234端口,以后從18.181.0.31發送到62000端口的數據會被NAT自動的轉發到10.0.0.1上。(注意:這里是說18.181.0.31發送到62000端口的數據會被轉發,其他的IP發送到這個端口的數據將被NAT拋棄)這樣Client A就與Server S1建立以了一個連接。
上面的是一些基礎知識,下面的才是關鍵的部分了。
看看下面的情況:
接上面的例子,如果Client A的原來那個Socket(綁定了1234端口的那個UDP Socket)又接著向另外一個Server S2發送了一個UDP包,那么這個UDP包在通過NAT時會怎么樣呢?
這時可能會有兩種情況發生,一種是NAT再次創建一個Session,并且再次為這個Session分配一個端口號(比如:62001)。另外一種是NAT再次創建一個Session,但是不會新分配一個端口號,而是用原來分配的端口號62000。前一種NAT叫做Symmetric NAT,后一種叫做Cone NAT。如果你的NAT剛好是第一種,那么很可能會有很多P2P軟件失靈。(可以慶幸的是,現在絕大多數的NAT屬于后者,即Cone NAT)
peakflys注:Cone NAT具體又分為3種:
(1)全圓錐( Full Cone) : NAT把所有來自相同內部IP地址和端口的請求映射到相同的外部IP地址和端口。任何一個外部主機均可通過該映射發送IP包到該內部主機。
(2)限制性圓錐(Restricted Cone) : NAT把所有來自相同內部IP地址和端口的請求映射到相同的外部IP地址和端口。但是,只有當內部主機先給IP地址為X的外部主機發送IP包,該外部主機才能向該內部主機發送IP包。
(3)端口限制性圓錐( Port Restricted Cone) :端口限制性圓錐與限制性圓錐類似,只是多了端口號的限制,即只有內部主機先向IP地址為X,端口號為P的外部主機發送1個IP包,該外部主機才能夠把源端口號為P的IP包發送給該內部主機。
好了,我們看到,通過NAT,子網內的計算機向外連結是很容易的(NAT相當于透明的,子網內的和外網的計算機不用知道NAT的情況)。
但是如果外部的計算機想訪問子網內的計算機就比較困難了(而這正是P2P所需要的)。
那么我們如果想從外部發送一個數據報給內網的計算機有什么辦法呢?首先,我們必須在內網的NAT上打上一個“洞”(也就是前面我們說的在NAT上建立一個Session),這個洞不能由外部來打,只能由內網內的主機來打。而且這個洞是有方向的,比如從內部某臺主機(比如:192.168.0.10)向外部的某個IP(比如:219.237.60.1)發送一個UDP包,那么就在這個內網的NAT設備上打了一個方向為219.237.60.1的“洞”,(這就是稱為UDP Hole Punching的技術)以后219.237.60.1就可以通過這個洞與內網的192.168.0.10聯系了。(但是其他的IP不能利用這個洞)。
P2P的常用實現
一、普通的直連式P2P實現
通過上面的理論,實現兩個內網的主機通訊就差最后一步了:那就是雞生蛋還是蛋生雞的問題了,兩邊都無法主動發出連接請求,誰也不知道誰的公網地址,那我們如何來打這個洞呢?我們需要一個中間人來聯系這兩個內網主機。
現在我們來看看一個P2P軟件的流程,以下圖為例:
首先,Client A登錄服務器,NAT A為這次的Session分配了一個端口60000,那么Server S收到的Client A的地址是202.187.45.3:60000,這就是Client A的外網地址了。同樣,Client B登錄Server S,NAT B給此次Session分配的端口是40000,那么Server S收到的B的地址是187.34.1.56:40000。
此時,Client A與Client B都可以與Server S通信了。如果Client A此時想直接發送信息給Client B,那么他可以從Server S那兒獲得B的公網地址187.34.1.56:40000,是不是Client A向這個地址發送信息Client B就能收到了呢?答案是不行,因為如果這樣發送信息,NAT B會將這個信息丟棄(因為這樣的信息是不請自來的,為了安全,大多數NAT都會執行丟棄動作)。現在我們需要的是在NAT B上打一個方向為202.187.45.3(即Client A的外網地址)的洞,那么Client A發送到187.34.1.56:40000的信息,Client B就能收到了。這個打洞命令由誰來發呢?自然是Server S。
總結一下這個過程:如果Client A想向Client B發送信息,那么Client A發送命令給Server S,請求Server S命令Client B向Client A方向打洞。然后Client A就可以通過Client B的外網
地址與Client B通信了。
注意:以上過程只適合于Cone NAT的情況,如果是Symmetric NAT,那么當Client B向Client A打洞的端口已經重新分配了,Client B將無法知道這個端口(如果Symmetric NAT的端口是順序分配的,那么我們或許可以猜測這個端口號,可是由于可能導致失敗的因素太多,這種情況下一般放棄P2P ---peakflys)。
二、STUN方式的P2P實現
STUN是RFC3489規定的一種NAT穿透方式,它采用輔助的方法探測NAT的IP和端口。毫無疑問的,它對穿越早期的NAT起了巨大的作用,并且還將繼續在NAT穿透中占有一席之地。
STUN的探測過程需要有一個公網IP的STUN server,在NAT后面的UAC必須和此server配合,互相之間發送若干個UDP數據包。UDP包中包含有UAC需要了解的信息,比如NAT外網IP,PORT等等。UAC通過是否得到這個UDP包和包中的數據判斷自己的NAT類型。
假設有如下UAC(B),NAT(A),SERVER(C),UAC的IP為IPB,NAT的IP為 IPA ,SERVER的 IP為IPC1 、IPC2。請注意,服務器C有兩個IP,后面你會理解為什么需要兩個IP。
(1)NAT的探測過程
STEP1:B向C的IPC1的port1端口發送一個UDP包。C收到這個包后,會把它收到包的源IP和port寫到UDP包中,然后把此包通過IP1C和port1發還給B。這個IP和port也就是NAT的外網IP和port,也就是說你在STEP1中就得到了NAT的外網IP。
熟悉NAT工作原理的應該都知道,C返回給B的這個UDP包B一定收到。如果在你的應用中,向一個STUN服務器發送數據包后,你沒有收到STUN的任何回應包,那只有兩種可能:1、STUN服務器不存在,或者你弄錯了port。2、你的NAT設備拒絕一切UDP包從外部向內部通過,如果排除防火墻限制規則,那么這樣的NAT設備如果存在,那肯定是壞了„„
當B收到此UDP后,把此UDP中的IP和自己的IP做比較,如果是一樣的,就說明自己是在公網,下步NAT將去探測防火墻類型,就不多說了(下面有圖)。如果不一樣,說明有NAT的存在,系統進行STEP2的操作。
STEP2:B向C的IPC1發送一個UDP包,請求C通過另外一個IPC2和PORT(不同與SETP1的IP1)向B返回一個UDP數據包(現在知道為什么C要有兩個IP了吧,為了檢測cone NAT的類型)。
我們來分析一下,如果B收到了這個數據包,那說明什么?說明NAT來著不拒,不對數據包進行任何過濾,這也就是STUN標準中的full cone NAT。遺憾的是,full cone nat太少了,這也意味著你能收到這個數據包的可能性不大。如果沒收到,那么系統進行STEP3的操作。
STEP3:B向C的IPC2的port2發送一個數據包,C收到數據包后,把它收到包的源IP和port寫到UDP包中,然后通過自己的IPC2和port2把此包發還給B。
和step1一樣,B肯定能收到這個回應UDP包。此包中的port是我們最關心的數據,下面我們來分析:
如果這個port和step1中的port一樣,那么可以肯定這個NAT是個CONE NAT,否則是對稱NAT。道理很簡單:根據對稱NAT的規則,當目的地址的IP和port有任何一個改變,那么NAT都會重新分配一個port使用,而在step3中,和step1對應,我們改變了IP和port。因此,如果是對稱NAT,那這兩個port肯定是不同的。
如果在你的應用中,到此步的時候PORT是不同的,那就只能放棄P2P了,原因同上面實現中的一樣。如果不同,那么只剩下了restrict cone 和port restrict cone。系統用step4探測是是那一種。
STEP4:B向C的IP2的一個端口PD發送一個數據請求包,要求C用IP2和不同于PD的port返回一個數據包給B。
我們來分析結果:如果B收到了,那也就意味著只要IP相同,即使port不同,NAT也允許UDP包通過。顯然這是restrict cone NAT。如果沒收到,沒別的好說,port restrict NAT.
協議實現的算法運行圖如下:
一旦路經到達紅色節點時,UDP的溝通是沒有可能性的(peakflys注:準備來說除了包被防火墻blocked之外,其他情況也是有可能建立P2P的,只是代價太大,一般放棄)。一旦通過黃色或是綠色的節點,就有連接的可能。
最終通過STUN服務器得到自己的NAT類型和公網IP、Port,以后建立P2P時就非常容易了
peakflys注:Libjingle正是通過ICE&STUN方式,建立的P2P連接。關于libjingle的介紹,待續……
參考資料:
1、維基百科之STUN
2、http://midcom-p2p.sourceforge.net/draft-ford-midcom-p2p-01.txt(shootingstars)