from:http://dev.21tx.com/2004/02/02/10207.html
我是一邊看一邊隨手翻的,翻的很差,本來不好意思貼出來的,可能大家看原文更明白些。
我的MSN:blovearcher@hotmail.com
QQ: 27443675
希望對大家有一些幫助,我的目的是希望能和有興趣和正在做P2P的程序員們結(jié)交朋友,謝謝大家支持。
1. 介紹
今天的Internet的"middleboxes"已經(jīng)普遍存在, 比如象網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),主要是因為IPv4的地址空間消耗危機中產(chǎn)生的一個解決方案。然而,由這些"middleboxes"建立的不對稱尋址和連接,已經(jīng)成為點對點 (P2P)應用和協(xié)議中獨特的問題, 這些應用和協(xié)議包括例如網(wǎng)絡(luò)電話和多人在線游戲。這些話題甚至可能在使用 IPv6 協(xié)議后繼續(xù)存在, 比如說在 NAT 常被當作兼容 IPv4 機制[NAT-PT]的地方,還有當NAT 不再需要之后,防火墻將會依然存在(這些問題)。
當前發(fā)展的"middleboxes"最初計劃用在C/S結(jié)構(gòu)中,即在那些相關(guān)的匿名客戶端主動去連接有著固定IP地址和DNS域名的可連接主機。大多數(shù)的"middleboxes"實現(xiàn)一個不對稱的溝通模型,即那些私有的內(nèi)部網(wǎng)絡(luò)上的主機可以和公網(wǎng)上的主機連接通訊,但是公網(wǎng)上的外部主機不能夠和內(nèi)網(wǎng)上的主機通訊除了被 middlebox's 的管理者明確地配置之外。 在 NAPT 的通常情形中,在內(nèi)部網(wǎng)絡(luò)上的一位客戶機在公網(wǎng)上并沒有一個唯一獨特的IP地址,但是可以在同一私網(wǎng)上的其他客戶機一樣,分享一個公網(wǎng)IP地址,并有NAPT管理。 這些在一臺"middlebox"后的不知道名稱和不易訪問的內(nèi)部主機對客戶端軟件比如網(wǎng)頁瀏覽器并不是一個問題,它們之需要向外連接。而且這種不易訪問的特性有時候被視為對保護隱私有利。
但是,在點對點的應用中,英特網(wǎng)上的主機通常會考慮要和"客戶"建立直接和彼此訪問的通話連接。呼叫者和被叫者可能會在不同的"middleboxes" 后面,兩者都可能沒有任何的固定IP地址或者其他的公網(wǎng)存在表現(xiàn)。舉例來說,一個通常的在線游戲架構(gòu),是讓參加游戲的主人連接到一個大家都知道的服務(wù)器上設(shè)定一些初識值,以及連接后的使用目的。然后,為了在游戲期間有更加快速和有效的游戲速度,需要建立彼此直接的連接。同樣地,一個可共享的文件可能可以讓一個大家都知道的資源搜索引擎發(fā)現(xiàn)或者查找到,但如果需要文件數(shù)據(jù)傳輸,就需要和那臺共享文件的主機建立直接的連接了。在點對點連接時,"middlebox"就生成了一個問題。因為在"middlebox"后面的那些需要用TCP或者UDP和其他機器連接的主機通常沒有固定可用的公網(wǎng)端口可以進行連接。 RFC 3235[ NAT-APPL]簡短地說明了這個問題,但是沒有提供任何的通常解決方案。
在這一份文檔中,我們就 P2P/ middlebox 問題有2點說明。 首先,我們總結(jié)那些在middleboxes存在時P2P應用程序可以工作的已知方法。其次,我們提供基于這些實踐的一套應用程序設(shè)計指導方針使P2P在middleboxes下應用的更健康。更進一步,我們提供的設(shè)計指導方針可以讓將來的 middleboxes 更有效率的支持支援 P2P 應用。 我們的重點是要能夠穿透 middleboxes,以提供更廣闊和更直接的P2P 應用。
2. 術(shù)語
在本章中我們首先簡要描述一下一些"middlebox"術(shù)語,我們這里的重點是兩種常導致P2P應用出現(xiàn)問題的middlebox.
防火墻
一個防火墻限制私人內(nèi)網(wǎng)和公眾英特網(wǎng)之間的通訊,典型地防火墻就是丟棄那些它認為未經(jīng)許可的數(shù)據(jù)包。在數(shù)據(jù)包穿越一個防火墻時,它檢查但是不修改包里的 IP地址和TCP/ UDP 端口信息。
網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)
當數(shù)據(jù)包穿過NAT時,NAT不僅檢查同時也修改數(shù)據(jù)的包頭信息,并且允許更多的在NAT后的主機分享少數(shù)公網(wǎng)IP地址(通常只有1個)。
NAT通常有2種主要類型:
Basic Nat
一個Basic NAT映射一個內(nèi)在的私有IP地址到一個公網(wǎng)IP地址,但當數(shù)據(jù)包穿過NAT時,不更換它的TCP/UDP端口號。Basic Nat通常是只用在一些具備公共IP地址池的NAT上,通過它可以地址綁定,即代表一臺內(nèi)部主機。
Network Address/Port Translator (NAPT)
但是最通常的,當數(shù)據(jù)包穿過NAT時,一個NAPT檢查并修改它的TCP/UDP端口,那么就可以允許多臺內(nèi)網(wǎng)主機同時共享一個單獨的公網(wǎng)IP地址了。
關(guān)于 NAT 的分類和術(shù)語,[NAT-TRAD] 和 [NAT-TERM]中有更多的信息。那些將來分類的NAPT的附加術(shù)語在較近的工作[STUN]中被定義。當一個內(nèi)網(wǎng)的主機經(jīng)過一個NAT和外部進行TCP或者UDP連接的期間,NAPT分配一個公網(wǎng)IP 住址和端口,以便來自外部終端響應的數(shù)據(jù)包能被NAPT接收,解釋,并轉(zhuǎn)發(fā)給內(nèi)網(wǎng)的主機。這個結(jié)果是由 NAPT 建立一個(私有IP地址,私有端口)和(公網(wǎng)IP地址,公網(wǎng)端口)之間的端口綁定實現(xiàn)的。在這個期間NAPT將為綁定的端口執(zhí)行地址翻譯。一個關(guān)于P2P應用的問題是,當一個內(nèi)部主機從一個私有IP,私有端口同時與外網(wǎng)上的多臺不同的主機建立多個連接時,NAT是如何運作的。
Cone NAT
建立一個端口,把一個(私有IP,私有端口)和(公用IP,公用端口)綁定后,對于以后來自同一私有IP和端口號的應用連接,cone NAT將重復使用這個綁定的端口,只要有一個連接會話,這個綁定端口就會保持激活狀態(tài)。
例如,下面圖表中,推想一下客戶端A通過一個cone NAT同時建立2個外部會話,從同樣的內(nèi)部網(wǎng)絡(luò)終端(10.0.0.1:1234)到2個不同的外部服務(wù)器,S1和S2。cone NAT只會分配一個公用的終端,155.99.25.11:62000,都會到兩個會話,并在地址轉(zhuǎn)換期間確保客戶端端口的一致。Basic NAT和防火墻不修改通過middlebox的數(shù)據(jù)包中的端口號,這些類型的middlebox可以被認為是一種特殊的Cone Nat。
Server S1 Server S2
18.181.0.31:1235 138.76.29.7:1235
| |
| |
+----------------------+----------------------+
|
^ Session 1 (A-S1) ^ | ^ Session 2 (A-S2) ^
| 18.181.0.31:1235 | | | 138.76.29.7:1235 |
v 155.99.25.11:62000 v | v 155.99.25.11:62000 v
|
Cone NAT
155.99.25.11
|
^ Session 1 (A-S1) ^ | ^ Session 2 (A-S2) ^
| 18.181.0.31:1235 | | | 138.76.29.7:1235 |
v 10.0.0.1:1234 v | v 10.0.0.1:1234 v
|
Client A
10.0.0.1:1234
Symmetric NAT
對稱的NAT(Symmetric NAT),與Cone NAT有明顯差別,在所有會話期間中不會保持綁定(私有IP,私有端口)和(公共IP,公共端口)的端口不變。相反,它會為每個新對話重新分配一個新的公共端口。
舉例來說,設(shè)想客戶A從同樣端口上要發(fā)起兩個外部對話,一個和S1連接,另一個和S2連接。Symmetric NAT可能會為第一個會話分配一個公共的端點 155.99.25.11:62000,而為第二個會話分配一個不同的公共端點155.99.25.11:62001。為了地址轉(zhuǎn)換,NAT可以區(qū)分這兩個會話傳輸?shù)哪康模驗楹瓦@些會話有關(guān)的外部端點(就是S1、S2)是不同的,甚至在通過地址轉(zhuǎn)換時丟失了客戶端的目的標示。(即丟了S1、S2的IP地址NAT也知道如何區(qū)分,我是這么理解的,可能有誤。)
Server S1 Server S2
18.181.0.31:1235 138.76.29.7:1235
| |
| |
+----------------------+----------------------+
|
^ Session 1 (A-S1) ^ | ^ Session 2 (A-S2) ^
| 18.181.0.31:1235 | | | 138.76.29.7:1235 |
v 155.99.25.11:62000 v | v 155.99.25.11:62001 v
|
Symmetric NAT
155.99.25.11
|
^ Session 1 (A-S1) ^ | ^ Session 2 (A-S2) ^
| 18.181.0.31:1235 | | | 138.76.29.7:1235 |
v 10.0.0.1:1234 v | v 10.0.0.1:1234 v
|
Client A
10.0.0.1:1234
Cone NAT和Symmetric NAT之間的比較與TCP/UDP之間的比較有些類似。(TCP需要綁定,UDP不需要,Cone NAT需要綁定,Symmetric NAT不需要)
按照NAT從已知的公共IP,公共端口接收的數(shù)據(jù)限制,Cone NAT可以更進一步的進行分類。這種分類通常都是UDP連接的,因為NAT和防火墻會拒絕任何無條件的TCP連接,除非明確地以別的方式配置。
Full Cone NAT
在給一個新的外部會話建立了一個公共/私有的端口綁定后,一個full cone NAT就可以通過這個公共端口從公網(wǎng)上的任何外部端點接收數(shù)據(jù)通訊了。Full cone NAT也常常叫做"混合"NAT。
Restricted Cone NAT
當網(wǎng)絡(luò)主機發(fā)一個或者幾個數(shù)據(jù)包給外部主機后,一個受限的cone NAT(Restricted Cone NAT)才會接受來自這個外部(源)IP地址的數(shù)據(jù)包。受限的cone NAT有效的運用了防火墻的原理,拒絕沒有要求的數(shù)據(jù),只接收已知道的外部IP地址傳來的數(shù)據(jù)。(偏開原文,大意就是網(wǎng)絡(luò)主機需要發(fā)一個請求給外部IP地址要求要數(shù)據(jù),NAT才會接收這個外部IP地址傳來的數(shù)據(jù),不然不接收。)
Port-Restricted Cone NAT
一個端口受限的cone NAT(Port-Restricted Cone NAT),也是這樣,只接收那些網(wǎng)絡(luò)主機曾經(jīng)發(fā)給一個外部IP地址和端口相匹配的數(shù)據(jù)。一個Port-Restricted cone NAT可以和對稱 NAT一樣(symmetric NAT),保護內(nèi)部節(jié)點不接收未被請求的數(shù)據(jù)包,但是保持一個私有端口在連接過程中不變。
(偏開原文,即不僅請求的IP和外部發(fā)來數(shù)據(jù)的IP是一樣的,PORT也要是一樣,這樣才接收數(shù)據(jù)。對稱NAT也有這個效果,但這種cone NAT保持端口不變,而對稱NAT要變端口號的)。
最后,在這篇文檔中我們定義一些新的術(shù)語來給middleboxes中有關(guān)P2P的行為進行分類:
P2P-Application
在這篇文檔中P2P-Application被當做一個應用程序,在那些參與P2P連接的并在一個公共的登錄服務(wù)器注冊的終端運行,可以是一個私有端點,也可以是一個公共端點,或者兩者都是,并建立一個初步的會話。
P2P-Middlebox
P2P- Middlebox就是允許P2P應用程序交換數(shù)據(jù)的的middlebox。
P2P-firewall
一個P2P-防火墻就是提供防火墻功能的P2P- Middlebox,但不具備地址映射功能。
P2P-NAT
P2P-NAT就是提供NAT功能,也提供防火墻功能的P2P- Middlebox。一臺P2P- Middlebox必須為UDP傳輸至少提供Cone NAT功能,允許應用程序使用UDP建立完整的P2P連接。
looPBack translation(自環(huán)映射)
當一臺位于私有域的主機,它的NAT試圖用此主機在公網(wǎng)的映射地址連接其他位于同樣NAT后的其他主機,相當于NAT裝置在數(shù)據(jù)包上做了兩次NAT轉(zhuǎn)換。在數(shù)據(jù)報到達目標主機之前,源主機的私有端點被轉(zhuǎn)換成NAT分配的公共端點,然后把目標主機的公共端點轉(zhuǎn)換成目標主機的私有端點。我們在上面提到的地址轉(zhuǎn)換用一臺NAT裝置完成就稱為"Loopback translation"。
3. 用middleboxes進行P2P通訊的技術(shù)
這段文章詳細的回顧一下使用現(xiàn)有的middlebox實現(xiàn)P2P通訊的技術(shù),主要從應用程序或協(xié)議設(shè)計上來述說。
3.1 Relaying(傳輸)
最可靠的,但是效率最低的,實現(xiàn)P2P通訊的方法就是在傳輸過程中,把P2P通訊看成向C/S通訊的網(wǎng)絡(luò)一樣。例如,推想2個客戶主機,A和B,各自發(fā)起一個TCP或UDP的連接,連接到一個大家都知道的擁有固定IP地址的服務(wù)器S上。客戶主機都在各自的私有網(wǎng)絡(luò)中,但是它們各自的middlebox不允許自己的客戶端可以直接和其它主機連接。
Server S
|
|
+----------------------+----------------------+
| |
NAT A NAT B
| |
| |
Client A Client B
不能直接連接,兩個客戶端就使用S服務(wù)器進行消息的傳遞。例如,要發(fā)送一條信息到客戶端B,客戶端A以C/S連接方式簡單的發(fā)送一條信息到S服務(wù)器,然后S服務(wù)器使用已經(jīng)和客戶端B建立的C/S連接發(fā)送這條信息到客戶端B。
這種方法的優(yōu)勢在于只要兩個客戶端都連在服務(wù)器上,它就是有效的。它的明顯缺點是它需要了服務(wù)器的處理并占用了帶寬,而且即使服務(wù)器的網(wǎng)絡(luò)狀況良好,也有一定的通訊滯后問題。TRUN協(xié)議[TURN]定義了這種P2P應用的相關(guān)方法。
3.2 逆向連接 (Connection reversal)
第二種技術(shù)是在只有一個客戶位于middlebox后的條件下運用的。舉例來說, 推想客戶A在 NAT 后面但是客戶 B 有一個全球有效的 IP 地址, 參照下面圖表:
Server S
18.181.0.31:1235
|
|
+----------------------+----------------------+
| |
NAT A |
155.99.25.11:62000 |
| |
| |
Client A Client B
10.0.0.1:1234 138.76.29.7:1234
客戶A有一個私有IP地址10.0.0.1,并且一個應用程序使用TCP端口1234。這個客戶端和服務(wù)器S的公網(wǎng)IP地址18.181.0.31和端口1235建立了一個連接。NAT A為了客戶端A和服務(wù)器S的會話,臨時分配了一個終端地址,其TCP端口62000,它自己的IP地址是155.99.25.11:因此,服務(wù)器S認為客戶端A用的是IP地址155.99.25.11,端口是62000。然而,客戶端B有著自己的固定IP地址,138.76.29.7,并且在它上面的P2P應用程序可以在端口1234接收TCP連接。
現(xiàn)在推想客戶端B想要與客戶端A建立一個P2P連接會話。B可能用客戶端A本身的地址,即10.0.0.1:1234,也可能用在服務(wù)器S上得到到的地址,155,99.25.11:62000,去嘗試連接。然而無論在哪一種情況下,連接都會失敗。第一種情況下,指向IP地址10.0.0.1的通訊包會被丟棄,因為10.0.0.1不是一個公網(wǎng)固定IP地址。第二種情況下,來自客戶端B的TCP SYN請求包將會到達NAT A的62000端口,但NAT A將會拒絕這個請求,因為NAT A只允許向外發(fā)送數(shù)據(jù)。
在嘗試和客戶端A建立直接連接失敗后,客戶端B會利用服務(wù)器S傳遞一個請求,讓客戶端A去主動連接客戶。客戶端A在通過服務(wù)器S接收到傳遞的請求后,會使用客戶端B的公共IP地址和端口建立一個TCP連接。 因為這個連接是在防火墻內(nèi)部發(fā)起的,所以NAT A允許這個連接建立,而客戶端B也能接收這個連接,因為它并不處于middlebox后面。當前實現(xiàn)P2P系統(tǒng)的一種技術(shù),它有一個主要的局限性,就是它只能允許P2P中一方在NAT后面:而兩方都在NAT后面的情況是很常見的,這種方法就會失敗。因為這種逆向連接并不是解決問題的普遍方法,通常不推薦這個方法。應用程序可以選擇試一試逆向連接,但當"向前"或"逆向"都不能建立連接時,應用程序應該能夠自動的可以選擇另外的連接機制,比如relaying(即3.1說的)。
3.3 UDP hole punching
第三種技術(shù),也是這篇文章的一個重要點之一,就是被稱為"UDP Hole Punching"的技術(shù)。當兩個需要通訊的主機可能都在middlebox后面的時候,UDP hole punching依賴于cone NAT和普通防火墻的一些特性,允許合適的P2P應用程序以"punch holes"方式通過middlebox并且建立彼此之間直接的連接。這種技術(shù)在RFC 3027[NAT- PORT]的5.1節(jié)中簡要的提及,并且在英特網(wǎng)[KEGEL]非證實的提到,也在最近的一些協(xié)議[TEREDO, ICE]中用到。正如名字中的所提到的,這種技術(shù)只能用于UDP連接。
我們將會考慮兩個特別情況,并且考慮應用程序如何完善的處理兩者之間的握手連接。第一種情況下,也是較為普通的情況,兩個在不通的NAT后面的客戶端要求直接的進行P2P連接。第二種情況,兩臺客戶端位于同一個NAT后面,但不能肯定(兩臺客戶端位于同一個NAT后面)。
3.3.1 位于不同NAT后面(Peers behind different NATs)
假設(shè)客戶端A和B都有自己的私有IP地址,也都位于不同的NAT后面。P2P應用程序在A、B和服務(wù)器S上運行,用的都是UDP端口1234。A和B各自和服務(wù)器S建立UDP通訊連接,使NAT A為A的連接分配一個自己的公共端口62000,而NAT B為B的連接分配的是31000端口。
Server S
18.181.0.31:1234
|
|
+----------------------+----------------------+
| |
NAT A NAT B
155.99.25.11:62000 138.76.29.7:31000
| |
| |
Client A Client B
10.0.0.1:1234 10.1.1.3:1234
現(xiàn)在推想一下,客戶端A想要直接和B建立一個UDP通訊會話。假設(shè)A簡單的發(fā)一個UDP信息包到B的公共地址138.76.29.7:31000,然而NAT B將會丟棄這些進入的數(shù)據(jù)信息(除非它是一個FULL cone NAT),原因是NAT B和S已經(jīng)建立的外部會話,而A發(fā)送的信息中的源地址和端口號是和S不匹配的(可以參照一下上面的內(nèi)容,匹配才能接受)。同樣,假如B發(fā)送一個條UDP數(shù)據(jù)包給A的公網(wǎng)地址,NAT A也會丟棄。
但是,假設(shè)A發(fā)出一個UDP數(shù)據(jù)信息給B的公網(wǎng)IP地址,同時也通過服務(wù)器S傳遞一個請求給B,要求B也發(fā)一個UDP信息給A的公網(wǎng)IP地址。A直接向B的公共IP地址(138.76.29.7:31000)發(fā)送的數(shù)據(jù)包會讓NAT A在A的私有地址和B的公網(wǎng)地址之間建立了一個新的連接會話。同時,B到A的公網(wǎng)地址(155.99.25.11:62000)的信息會導致NAT B在B的私有地址和A的公共地址之間建立一個新的連接會話。一旦這種新的UDP連接在兩者之間建立起來,客戶端A和B就不需要服務(wù)器S的"介紹"就能彼此直接通訊了。
UDP hole punching技術(shù)有幾個很有用的特點。一旦在兩個位于middlebox后面的客戶端建立了一個直接的P2P連接,在連接中的任何一方都可以扮演一個"介紹人"的角色,依次繼續(xù)和另一個客戶端建立連接,減少了最初的服務(wù)器S的負擔。如果說有[STUN]的話,假如兩個中的任意一個或兩個都碰巧不在middlebox后面,上述應用程序?qū)⑼瑯涌梢越2P通訊通道,應用程序不需要嘗試明確middlebox的類型。Hole punching技術(shù)甚至可以自動的運用在多級NAT下面,多重NAT就是那些客戶端需要經(jīng)歷多級地址轉(zhuǎn)換才能進入公網(wǎng)。
3.3.2 位于同一NAT后(Peers behind the same NAT)
現(xiàn)在考慮兩臺客戶端(但并不確定)都在同一個NAT后面的情況,因此會有私有IP地址空間。客戶端A與服務(wù)器S建立一個UDP會話,NAT會分配一個公共端口62000。客戶端B與服務(wù)器S也建立一個簡單的連接,NAT為此分配一個公共端口62001。
Server S
18.181.0.31:1234
|
|
NAT
A-S 155.99.25.11:62000
B-S 155.99.25.11:62001
|
+----------------------+----------------------+
| |
Client A Client B
10.0.0.1:1234 10.1.1.3:1234
假想A和B使用UDP hole punching技術(shù)與服務(wù)器S的建立一個外部的通訊路線做為中間介紹。然后A和B將可以通過服務(wù)器S得到各自公共IP地址和端口號,然后使用這些地址各自向?qū)Ψ桨l(fā)送數(shù)據(jù)。兩個客戶能夠以這種方式彼此通訊,只要NAT不僅僅允許外網(wǎng)上的主機可以和內(nèi)網(wǎng)上的主機進行UDP傳輸會話,也可以允許內(nèi)網(wǎng)上的主機可以和其他內(nèi)網(wǎng)的主機進行UDP會話。我們在"loopback translation"中設(shè)計到這種情況,因為來自私有網(wǎng)絡(luò)的數(shù)據(jù)包到達NAT后,會"looped back"到私有網(wǎng)絡(luò)上就象從公網(wǎng)來的一樣。例如,當A向B的公共IP地址發(fā)送一個UDP包,這個包的包頭有一個源IP地址和端口,是10.0.0.1:1234,而目的地址是155.99.25.11.62001。NAT接受到這個包,會把源地址轉(zhuǎn)換(映射)為155.99.25.11:62000(就是A的公網(wǎng)地址),把目的地址轉(zhuǎn)換為10.1.1.3:1234,然后發(fā)給B。即使NAT支持回環(huán)映射,NAT的轉(zhuǎn)換和發(fā)送步驟看上去是多余的,在A和B通訊時似乎為NAT添加了潛在的負擔。
這個問題的解決方法是直接的。當A和B一開始在服務(wù)器S上交換地址信息時,它們就可以包含他們自己的IP地址和端口號,并且是可見的,對服務(wù)器S也是可見的。客戶端根據(jù)它們得到的地址同時開始向?qū)Ψ桨l(fā)數(shù)據(jù)包,并建立成功的通訊。假如這兩個客戶端都在同一NAT后面,數(shù)據(jù)包象通訊一開始就能直接到達,而不需要通過NAT就能建立直接連接。假如這兩個客戶端位于不同的NAT后,到達彼此私有地址的數(shù)據(jù)包會被丟棄,但是客戶端可以通過各自的公共地址來建立連接。重要的是這些數(shù)據(jù)包需要通過一些方法去鑒別,然而,在這種情況下,A發(fā)到B的私有地址的數(shù)據(jù)包完全有可能到達A私網(wǎng)內(nèi)其他無關(guān)的終端,B發(fā)到A的包也是這樣。
3.3.3 Peers separated by multiple NATs(多級NAT)
在有多重NAT設(shè)備的拓撲結(jié)構(gòu)中,如果沒有一些拓撲的知識,在兩個客戶端之間建立理想的P2P鏈路是不可能的。看看下面的舉的例子。
Server S
18.181.0.31:1234
|
|
NAT X
A-S 155.99.25.11:62000
B-S 155.99.25.11:62001
|
|
+----------------------+----------------------+
| |
NAT A NAT B
192.168.1.1:30000 192.168.1.2:31000
| |
| |
Client A Client B
10.0.0.1:1234 10.1.1.3:1234
假設(shè)NAT X是由一個英特網(wǎng)服務(wù)提供者(ISP)設(shè)置的一個大型NAT,在一些公網(wǎng)IP地址上擁有許多用戶,NAT A和B是小用戶群的NAT網(wǎng)關(guān),由ISP的用戶自己獨自配置,有各自的私有網(wǎng)絡(luò)和用戶群,使用的是ISP提供的IP地址。只有SERVER S和NAT X有自己全球固定的IP地址,而NAT A和B用的"公共"IP地址實際上是ISP地址域中私有地址,而客戶端A和B的地址對NAT A和B來說也是私有的地址。每當客戶端需要和服務(wù)器S建立一個外部的連接,都會導致NAT A和B和客戶端建立一個單獨的公共/私有連接,然后讓NAT X為每個連接會話建立一個公共/私有連接。
現(xiàn)在推想客戶A和B嘗試建立一個直接的P2P UDP連接。對客戶端A來說,最佳的方法是發(fā)送一個數(shù)據(jù)信息到客戶端B在NAT B上,屬于ISP的地址域的公共IP地址192.168.1.2:31000,對客戶端B來說就是發(fā)信息到A在NAT A的公共IP地址192.168.1.1:30000(原文是NAT B,是不是筆誤,還是我理解有問題?)。不幸的是,A和B并沒有知道這些地址的方法,因為服務(wù)器S只能看到客戶端"全局"的公共IP地址,就是155.99.25.11:62000和155.99.25.11:62001。甚至當A和B有某些方法可以得到這些地址,但他們依然不能保證這些地址是有用的,因為這些由ISP的私有地址域分配的地址可能與客戶自己分配的私有地址由沖突。客戶端因此沒有選擇只能使用由服務(wù)器S知道的公共IP地址來通訊,并且依賴NAT X來提供loopback translation。
3.3.4 Consistent prot binddings(保持端口綁定)
hole punching 技術(shù)有一個需要注意的地方:它只能工作在兩臺NAT都是cone NAT(或沒有NAT 防火墻)的情況下,只要UDP端口還在使用,它就需要保持一個固定的端口把一個給定(私有IP,私有UDP端口)和一個(公共IP,公共UDP端口)綁定。象對稱NAT一樣,為每個新的連接會話分配一個新的公共端口,對一個UDP應用程序來說,為了和不同的外部通訊重用一個已經(jīng)存在的地址轉(zhuǎn)換是不可以的。(這邊稍微有點糊涂,再多看看。) 既然cone NAT運用是相當普遍的,UDP hole punching技術(shù)應用的也相當廣泛,但是還有一小部分是對等NAT配置,因此不能支持這種技術(shù)。
3.4 UDP port number prediction
有關(guān)UDP hole punching技術(shù)在上面已經(jīng)被討論過,它可以允許在一些對等NAT存在的地方也能建立P2P UDP連接會話。這種方法有時被稱為"N+1"技術(shù) [BIDIR ]并且由Takeda[SYM-STUN]詳細介紹。這種方法分析NAT的工作方式并且試圖預測它為將來的連接會話分配的公共端口。再次考慮那兩個客戶的狀態(tài),A和B,在各自分開的NAT后面,已經(jīng)與一臺擁有永久地址的服務(wù)器S建立了UDP連接。
Server S
18.181.0.31:1234
|
|
+----------------------+----------------------+
| |
Symmetric NAT A Symmetric NAT B
A-S 155.99.25.11:62000 B-S 138.76.29.7:31000
| |
| |
Client A Client B
10.0.0.1:1234 10.1.1.3:1234
NAT A分配一個屬于自己的UDP端口62000以在A和S之間建立通訊連接,而NAT B分配一個31000端口用于在B和S之間建立連接。通過與服務(wù)器的通訊,A和B可以從服務(wù)器S上得到對方的公共IP地址和端口號。客戶端A現(xiàn)在發(fā)送一個UDP數(shù)據(jù)包到地址138.76.29.7,端口31001(注意端口數(shù)目的增加),而客戶端B同時發(fā)送一個數(shù)據(jù)包到地址的155,99.25.11,端口62001上。如果NAT A和B依次為新的連接分配端口,如果從A-S和B-S連接建立后沒過多少時間,那在A和B之間的一個雙向通訊通道就可以工作起來。A到B的數(shù)據(jù)包讓NAT A建立一個新的連接,NAT A(所期望的)分配一個公共端口62001,因為之前A和S的連接會話用的62000端口,接下來就是62001。同樣的,B到A的數(shù)據(jù)包將讓NAT B打開一個新連接,并將(也是所期望的)分配一個端口31001。如果客戶端可以正確的預測到NAT為新的連接分配的端口,一條雙向的UDP通訊通道就會象如下圖所示一樣建立起來。
Server S
18.181.0.31:1234
|
|
+----------------------+----------------------+
| |
NAT A NAT B
A-S 155.99.25.11:62000 B-S 138.76.29.7:31000
A-B 155.99.25.11:62001 B-A 138.76.29.7:31001
| |
| |
Client A Client B
10.0.0.1:1234 10.1.1.3:1234
顯而易見有很多情況都能導致這種方法失敗。假如任意一個預測的端口碰巧已經(jīng)被其他無關(guān)的連接占用,NAT將會錯過正確的端口,連接嘗試也將失敗。假如任意一個NAT有時或者總是選擇非連續(xù)的端口號,這個方法也將失敗。假如在A(B)建立了它和S的連接之后,但在發(fā)送第一個數(shù)據(jù)包到B(A)之前,一個不同的客戶端在NAT(也或者B)打開一個新的外部連接到任何外部主機,無關(guān)的客戶端會不注意的"偷"了(A TO B或者B TO A)所要求的端口。因此在任一NAT都包含不止一臺客戶端時,這種方法很少使用。
實際上,如果那些NAT是cone NAT,或者一個是cone NAT,另一個是對稱NAT,這種情況下的P2P應用程序依然需要工作,應用程序需要實現(xiàn)查明在任何一個上與end [STUN]有關(guān)的NAT是哪一鐘,并按此來修改它的工作方式,這樣增加了算法的復雜程序并讓網(wǎng)絡(luò)變的脆弱。最終,假如任何一方客戶端在2級以上的NAT下并且離客戶端最近的NAT是對稱的,預測端口的方式是無法工作的。對所有這些原因來說,應用程序是無法實現(xiàn)這種方法的,在這里被提及是為了歷史和信息目的(就是告訴大家有這么回事,我想)
3.5. Simultaneous TCP open(TCP同時打開)
在一對節(jié)點都在已存在middlebox后,有一種建立直接P2P TCP連接的方法有時候會被使用。大多數(shù)TCP連接都是從一個終端發(fā)從一個SYN包到另一個終端,另一個中斷同步響應一個SYN-ACK包。無論怎樣,對于兩個終端來說,同時通過發(fā)送同步包到對方然后用一個ACK包應答來建立一個TCP連接是可行的。這種過程就被稱為"simultaneous open"(同時打開)
如果一個middlebox從嘗試建立一個TCP連接的私有網(wǎng)絡(luò)的外面接受一個TCP SYN包,middlebox通常以丟棄這個SYN包或者發(fā)送一個TCP RST(連接復位)包的方式來拒絕這個連接嘗試。但是,如果同步包與源和目的地址端口一起到達,那么會讓middlebox相信一個TCP連接已經(jīng)建立起來,然后middlebox將會允許數(shù)據(jù)包通過。特別是如果middlebox剛剛得到并轉(zhuǎn)換了一個從同樣地址和端口來的SYN包,它將認為連接是成立的并允許進來的SYN通過。如果客戶端A和B能彼此預測公共端口,它們各自的middlebox將分配下一個TCP連接端口,如果其中一個客戶端和另一個客戶端建立一個外部的TCP連接,可以在對方SYN到達本地middlebox之前就發(fā)送SYN包通過它本地自己的middlebox,那么P2P TCP連接就可以工作了。
令人遺憾的是,這個方法也可能比上面說的UDP端口號預測方法更脆弱并對時效更加敏感。首先,除非在進行TCP連接時,兩個middleboxes是簡單的防火墻或者cone NAT,在各自嘗試猜測公共端口號來讓NAT分配新的連接時,和上面(UDP端口預測)說到的完全一樣的事情會導致連接失敗。另外,如果有一方的客戶發(fā)送的同步包太迅速的到達對面的middlebox,遠端middlebox可能會用一個RST包拒絕SYN包,接下來就會導致本地的middlebox關(guān)閉對話并且在將來SYN重發(fā)時使用了相同但無用的端口號。最終,對simultaneous open的支持作為一個TCP的特殊應用,沒有在廣泛的系統(tǒng)中被使用。因此,這個方法也只為歷史因素在這里被同樣提及;它不建議被應用程序使用。在現(xiàn)有NAT上想要實現(xiàn)P2P直接通訊的應用程序應該使用UDP。
4. Application design guidelines(應用程序設(shè)計思路)
4.1 What works with P2P middleboxes(如何和P2P middlebox一起工作)
既然UDP hole punching是在兩個都位于NAT后的主機之間建立P2P直接通訊方法中最有效率的一個,并且它可以在多種現(xiàn)有NAT上使用,如果要求建立有效的P2P通訊,通常建議這種方法,但當直接通訊不能建立時,就得依靠簡單的傳播。(還不怎么明白)
4.2 Peers behind the same NAT(主機在同一個NAT后面)
實際上有相當數(shù)量的用戶不止2個IP地址,會有3個或者更多的IP地址。這樣的話,告訴登錄服務(wù)器究竟是哪一個地址變的就有些困難了。因此在這種情況下,應用程序應該發(fā)送它所有的IP地址。
4.3 Peer discovery(主機發(fā)現(xiàn))
應用程序會發(fā)送一些數(shù)據(jù)包到幾個地址,以發(fā)現(xiàn)哪一個地址是最合適的,應用程序可能變成(后面的不太明白,自己理解吧,sorry), 由于主機可能會不恰當?shù)倪x擇一個路由地址當做一個內(nèi)部局域網(wǎng)(例如11.0.1.1,已經(jīng)被DOD網(wǎng)絡(luò)分配,DOD是一種網(wǎng)絡(luò)模型)。因此應用程序應該小心的發(fā)送推測的呼叫包。
申請把包送到幾地址發(fā)現(xiàn), 哪一個適宜適合一規(guī)定貴族使用可能成為一個亂扔凈價的' 空間廢品'的顯著的源頭,
4.4 TCP P2P applications (TCP P2P應用程序)
被程序員們廣泛使用的SOCKET API,常用于C/S結(jié)構(gòu)應用設(shè)計中。在它的通常使用方式中,一個SOCKET能綁定一個TCP或UDP端口。一個應用程序不會被允許用同樣的端口(TCP or UDP)和多個SOCKET綁定來和多個外部主機同時建立連接(或)用一個SOCKET在端口上監(jiān)聽而其他SOCKET來建立外部連接。但是上述單個SOCKET的端口綁定限制在UDP上不是問題,因為UDP是基于數(shù)據(jù)報文的協(xié)議。UDP P2P應用程序設(shè)計者可以用recvfrom()和sendto()函數(shù)來讓一個SOCKET不僅發(fā)送而且可以從多個主機上接受數(shù)據(jù)報文。
這不是TCP具有的情況。由于TCP,每個輸入和輸出連接都要和一個單獨的SOCKET有聯(lián)系。Linux Sockets API用SO_REUSEADDR選項的幫助來解決這個問題(是不是應該這么說?),這個選項好象不起作用,但可以
(在標準Single Unix里沒有這個函數(shù))。Win32 API提供了一個相同的調(diào)用SetReuseAddress。使用任何上述的選擇,應用程序可以復用一個TCP端口的多個SOCKET。就是說,可以打開兩個綁定在同樣端口上的TCP stream Socket,一個用與listen(),另一個用與其它主機connect()
4.5 Use of midcom protocol()
如果應用程序知道它們需要穿越的middlebox并且這些middlebox實現(xiàn)midcom 協(xié)議,應用程序能使用midcom協(xié)議更容易的穿越middlebox。
例如,P2P應用程序需要NAT middlebox保持終端端口的綁定狀態(tài)。假如middlebox可以支持midcom,P2P應用程序可以控制修改綁定端口(或者綁定地址)的參數(shù),例如生存時間,maxidletime(?),因此應用程序不僅可以直接的連接外部主機而且也可以從外部主機接受連接;這樣就不需要定期保持端口綁定的狀態(tài)。當應用程序不再需要綁定,也可以使用midcom協(xié)議簡單的取消綁定。
5. NAT Design Guidelines (NAT設(shè)計指導)
這部分討論網(wǎng)絡(luò)地址轉(zhuǎn)換的設(shè)計,他們會影響P2P應用程序。
5.1 Deprecat the use of symmetric NATs (不贊成使用對等NAT)
對等NAT在那些C/S結(jié)構(gòu)的應用中比如網(wǎng)絡(luò)瀏覽中得到廣泛應用,它們只需要建立一個向外的連接即可。但是現(xiàn)在,比如實時消息和語音會議等P2P應用程序被廣泛的應用。對等NAT不能支持保留終端的定義并且不適用于P2P應用程序。不建議使用對等NAT來支持P2P應用程序。
一個P2P-middlebox必須在UDP通訊時具備Cone NAT的特點,允許應用程序可以建立使用UDP hole punching技術(shù)建立穩(wěn)定的P2P連接。理論上,一個P2P-middlebox應該也允許應用程序既可以經(jīng)過TCP,也可以通過UDP建立P2P連接。
5.2 Add incremental cone-NAT support to symmetric NAT devices (增加遞增的cone-NAT以支持對等NAT設(shè)備)
一種可以讓對等NAT設(shè)備擴展支持P2P應用程序的是分配它的可轉(zhuǎn)讓的端口空間,為一到一的連接預訂一個合適的端口,為一個一到多的連接預訂合適的一套不同的端口。
更進一步(未來?),一個NAT裝置可以明確的被那些P2P應用程序和主機配置,因此NAT裝置可以自動由正確的端口數(shù)據(jù)塊來分配一個P2P端口。
5.3 Maintain consisten port bindings for UDP ports (保持UDP端口的綁定)
這份資料對NAT設(shè)計者最主要和最重要的建議是NAT保持一個固定的端口,綁定一個給定的(內(nèi)部IP地址,內(nèi)部UDP端口)和一個相應的(公共IP地址,公共UDP端口)
只要有任何連接存在并使用這個端口綁定,這個端口綁定就要存在。通過檢查每一個包的源和目的IP地址和端口號,NAT可能會過濾關(guān)于每一個連接基礎(chǔ)的數(shù)據(jù)包(? 俺8懂)。當在一個私有網(wǎng)絡(luò)上的節(jié)點建立了一個新的外部連接時,使用了一個現(xiàn)有的已經(jīng)轉(zhuǎn)換過的UDP連接會話的IP地址和UDP端口號,NAT應該保證新的UDP連接作為現(xiàn)有連接給定一個同樣的公共IP地址和UDP端口。
5.3.1 Preserving port numbers(保持端口號) (就是客戶端用啥端口,NAT分配啥端口這個意思吧)
一些NAT,當建立一個新的UDP連接時,會嘗試給一個相應的私有端口號分配一個同樣的公共端口號,如果這個端口號碰巧是可用的。例如,假如地址是10.0.0.1的客戶端A用一個從端口1234發(fā)送的數(shù)據(jù)包建立一個外部的UDP連接,NAT的公共端口1234碰巧是可用的,那么NAT會為連接使用NAT公共IP地址上的端口號1234作為轉(zhuǎn)換客戶端A的地址。由于如果內(nèi)部網(wǎng)絡(luò)的最多一個節(jié)點正在使用這個端口號,它是對一個NAT保持端口唯一可行的方法,這種方式可能對一些希望只用特別的UDP端口號的過去的UDP程序有幫助,但不建議應用程序依靠這種方式。
另外, 一個NAT不應該在一個新連接中保持端口號,如果確實如此將與保持公共和私有終端地址綁定的目的相抵觸。例如,假定客戶端A在內(nèi)部的1234端口上與外部服務(wù)器S建立了一個連接,NAT A已經(jīng)為這個連接分配了公共端口62000,因為端口號1234在NAT上此時是不可用的。現(xiàn)在假想在NAT上的端口號1234后來可以使用了,而此時A和S的連接仍然存在,客戶端A用同樣的內(nèi)部端口1234建立一個新的連接到外部節(jié)點B上。在這種情況下,因為端口綁定已經(jīng)在客戶端A的端口1234和NAT的公共端口62000上建立,所以這個綁定應該繼續(xù)保持,新連接也應該用62000端口作為公共端口,來對應客戶端A的端口1234。NAT不應該僅僅因為端口1234變的可用了就為新的連接分配公共端口1234:這種特點不可能在任何情況下都對應用程序有幫助,由于應用程序已經(jīng)對一個轉(zhuǎn)換的端口號進行操作,并且它會中斷應用程序用UDP hole punching技術(shù)建立P2P連接的嘗試。
5.4 Maintaining consistent port bindings for TCP ports (為TCP端口保持端口綁定)
和UDP地址轉(zhuǎn)換的特點一致,cone NAT也應該對TCP連接保持私有和公共IP地址,TCP端口號的綁定不變,就如上面的關(guān)于UDP描述的方式一樣。保持TCP終端綁定不變將增加NAT對P2P TCP應用程序在從同樣源端口建立多個TCP連接時的兼容性。
5.5 Large timeout for P2P applications (P2P程序的大超時?)
我們推薦middlebox在P2P應用時使用的最小超時大約5分鐘(300秒),即,在P2P應用時為端口綁定或為分配端口時,來給middlebox配置這個空閑超時時間。當middlebox慣用目前配置時,就常常嘗試使用更短的時間。但是更短的超時時間是有些問題的。考慮一個有16個終端節(jié)點的P2P應用程序,他們將每10秒發(fā)給網(wǎng)絡(luò)一個保持活動狀態(tài)的數(shù)據(jù)包以避免NAT超時。這樣做是因為一個可能會以middlebox超時時間的5倍發(fā)送保持活動的數(shù)據(jù)包,在這種情況下,保持活動的包將在網(wǎng)絡(luò)上被丟棄。
5.6 Support loopback translation(支持自環(huán)轉(zhuǎn)換)
我們強烈建議middlebox 支持自環(huán)轉(zhuǎn)換,允許在一臺middlebox后面的主機可以和其它位于同一middlebox后的主機通過它們的可能被轉(zhuǎn)換的公共端點通訊。支持自環(huán)轉(zhuǎn)換是相當重要的,特別是在那些大容量多層NAT中,作為第一級的NAT。如第3.3.3 部分的描述,位于同一臺一級NAT下,但是第二級NAT不同的主機無法通過UDP hole punching彼此通訊,即使全部middlebox保持端點在NAT上的映射不變,除非第一級NAT支持自環(huán)轉(zhuǎn)換。