轉自:
第一部分:NAT介紹
第二部分:NAT類型檢測
第一部分: NAT介紹
各種不同類型的NAT(according to RFC)
Full Cone NAT:
內網主機建立一個UDP socket(LocalIP:LocalPort) 第一次使用這個socket給外部主機發送數據時NAT會給其分配一個公網(PublicIP:PublicPort),以後用這個socket向外面任何主機發送數據都將使用這對(PublicIP:PublicPort)。此外,任何外部主機只要知道這個(PublicIP:PublicPort)就可以發送數據給(PublicIP:PublicPort),內網的主機就能收到這個數據包
Restricted Cone NAT:
內網主機建立一個UDP socket(LocalIP:LocalPort) 第一次使用這個socket給外部主機發送數據時NAT會給其分配一個公網(PublicIP:PublicPort),以後用這個socket向外面任何主機發送數據都將使用這對(PublicIP:PublicPort)。此外,如果任何外部主機想要發送數據給這個內網主機,只要知道這個(PublicIP:PublicPort)並且內網主機之前用這個socket曾向這個外部主機IP發送過數據。只要滿足這兩個條件,這個外部主機就可以用自己的(IP,任何端口)發送數據給(PublicIP:PublicPort),內網的主機就能收到這個數據包
Port Restricted Cone NAT:
內網主機建立一個UDP socket(LocalIP:LocalPort) 第一次使用這個socket給外部主機發送數據時NAT會給其分配一個公網(PublicIP:PublicPort),以後用這個socket向外面任何主機發送數據都將使用這對(PublicIP:PublicPort)。此外,如果任何外部主機想要發送數據給這個內網主機,只要知道這個(PublicIP:PublicPort)並且內網主機之前用這個socket曾向這個外部主機(IP,Port)發送過數據。只要滿足這兩個條件,這個外部主機就可以用自己的(IP,Port)發送數據給(PublicIP:PublicPort),內網的主機就能收到這個數據包
Symmetric NAT:
內網主機建立一個UDP socket(LocalIP,LocalPort),當用這個socket第一次發數據給外部主機1時,NAT爲其映射一個(PublicIP-1,Port-1),以後內網主機發送給外部主機1的所有數據都是用這個(PublicIP-1,Port-1),如果內網主機同時用這個socket給外部主機2發送數據,第一次發送時,NAT會爲其分配一個(PublicIP-2,Port-2), 以後內網主機發送給外部主機2的所有數據都是用這個(PublicIP-2,Port-2).如果NAT有多於一個公網IP,則PublicIP-1和PublicIP-2可能不同,如果NAT只有一個公網IP,則Port-1和Port-2肯定不同,也就是說一定不能是PublicIP-1等於 PublicIP-2且Port-1等於Port-2。此外,如果任何外部主機想要發送數據給這個內網主機,那麼它首先應該收到內網主機發給他的數據,然後才能往回發送,否則即使他知道內網主機的一個(PublicIP,Port)也不能發送數據給內網主機,這種NAT無法實現UDP-P2P通信。
第二部:NAT類型檢測
前提條件:有一個公網的Server並且綁定了兩個公網IP(IP-1,IP-2)。這個Server做UDP監聽(IP-1,Port-1),(IP-2,Port-2)並根據客戶端的要求進行應答。
第一步:檢測客戶端是否有能力進行UDP通信以及客戶端是否位於NAT後?
客戶端建立UDP socket然後用這個socket向服務器的(IP-1,Port-1)發送數據包要求服務器返回客戶端的IP和Port, 客戶端發送請求後立即開始接受數據包,要設定socket Timeout(300ms),防止無限堵塞. 重複這個過程若干次。如果每次都超時,無法接受到服務器的迴應,則說明客戶端無法進行UDP通信,可能是防火牆或NAT阻止UDP通信,這樣的客戶端也就不能P2P了(檢測停止)。
當客戶端能夠接收到服務器的迴應時,需要把服務器返回的客戶端(IP,Port)和這個客戶端socket的(LocalIP,LocalPort)比較。如果完全相同則客戶端不在NAT後,這樣的客戶端具有公網IP可以直接監聽UDP端口接收數據進行通信(檢測停止)。否則客戶端在NAT後要做進一步的NAT類型檢測(繼續)。
第二步:檢測客戶端NAT是否是Full Cone NAT?
客戶端建立UDP socket然後用這個socket向服務器的(IP-1,Port-1)發送數據包要求服務器用另一對(IP-2,Port-2)響應客戶端的請求往回發一個數據包,客戶端發送請求後立即開始接受數據包,要設定socket Timeout(300ms),防止無限堵塞. 重複這個過程若干次。如果每次都超時,無法接受到服務器的迴應,則說明客戶端的NAT不是一個Full Cone NAT,具體類型有待下一步檢測(繼續)。如果能夠接受到服務器從(IP-2,Port-2)返回的應答UDP包,則說明客戶端是一個Full Cone NAT,這樣的客戶端能夠進行UDP-P2P通信(檢測停止)。
第三步:檢測客戶端NAT是否是Symmetric NAT?
客戶端建立UDP socket然後用這個socket向服務器的(IP-1,Port-1)發送數據包要求服務器返回客戶端的IP和Port, 客戶端發送請求後立即開始接受數據包,要設定socket Timeout(300ms),防止無限堵塞. 重複這個過程直到收到迴應(一定能夠收到,因爲第一步保證了這個客戶端可以進行UDP通信)。
用同樣的方法用一個socket向服務器的(IP-2,Port-2)發送數據包要求服務器返回客戶端的IP和Port。
比較上面兩個過程從服務器返回的客戶端(IP,Port),如果兩個過程返回的(IP,Port)有一對不同則說明客戶端爲Symmetric NAT,這樣的客戶端無法進行UDP-P2P通信(檢測停止)。否則是Restricted Cone NAT,是否爲Port Restricted Cone NAT有待檢測(繼續)。
第四步:檢測客戶端NAT是否是Restricted Cone NAT還是Port Restricted Cone NAT?
客戶端建立UDP socket然後用這個socket向服務器的(IP-1,Port-1)發送數據包要求服務器用IP-1和一個不同於Port-1的端口發送一個UDP數據包響應客戶端, 客戶端發送請求後立即開始接受數據包,要設定socket Timeout(300ms),防止無限堵塞. 重複這個過程若干次。如果每次都超時,無法接受到服務器的迴應,則說明客戶端是一個Port Restricted Cone NAT,如果能夠收到服務器的響應則說明客戶端是一個Restricted Cone NAT。以上兩種NAT都可以進行UDP-P2P通信。
注:以上檢測過程中只說明了可否進行UDP-P2P的打洞通信,具體怎麼通信一般要藉助於Rendezvous Server。另外對於Symmetric NAT不是說完全不能進行UDP-P2P達洞通信,可以進行端口預測打洞,不過不能保證成功。
