當(dāng)今互聯(lián)網(wǎng)到處存在著一些中間件(MIddleBoxes),如NAT和防火墻撑毛,導(dǎo)致兩個(gè)(不在同一內(nèi)網(wǎng))中的客戶端無(wú)法直接通信昙衅。 這些問(wèn)題即便是到了IPV6時(shí)代也會(huì)存在,因?yàn)榧词共恍枰狽AT粘招,但還有其他中間件如防火墻阻擋了鏈接的建立。 目前部署的中間件多都是在C/S架構(gòu)上設(shè)計(jì)的篮迎,其中相對(duì)隱匿的客戶機(jī)主動(dòng)向周知的服務(wù)端(擁有靜態(tài)IP地址和DNS名稱)發(fā)起鏈接請(qǐng)求男图。 大多數(shù)中間件實(shí)現(xiàn)了一種非對(duì)稱的通訊模型,即內(nèi)網(wǎng)中的主機(jī)可以初始化對(duì)外的鏈接甜橱,而外網(wǎng)的主機(jī)卻不能初始化對(duì)內(nèi)網(wǎng)的鏈接, 除非經(jīng)過(guò)中間件管理員特殊配置栈戳。
在中間件為常見(jiàn)的NAPT的情況下(也是本文主要討論的)岂傲,內(nèi)網(wǎng)中的客戶端沒(méi)有單獨(dú)的公網(wǎng)IP地址, 而是通過(guò)NAPT轉(zhuǎn)換子檀,和其他同一內(nèi)網(wǎng)用戶共享一個(gè)公網(wǎng)IP镊掖。這種內(nèi)網(wǎng)主機(jī)隱藏在中間件后的不可訪問(wèn)性對(duì)于一些客戶端軟件如瀏覽器來(lái)說(shuō) 并不是一個(gè)問(wèn)題,因?yàn)槠渲恍枰跏蓟瘜?duì)外的鏈接褂痰,從某方面來(lái)看反而還對(duì)隱私保護(hù)有好處亩进。然而在P2P應(yīng)用中, 內(nèi)網(wǎng)主機(jī)(客戶端)需要對(duì)另外的終端(Peer)直接建立鏈接缩歪,但是發(fā)起者和響應(yīng)者可能在不同的中間件后面归薛, 兩者都沒(méi)有公網(wǎng)IP地址。而外部對(duì)NAT公網(wǎng)IP和端口主動(dòng)的鏈接或數(shù)據(jù)都會(huì)因內(nèi)網(wǎng)未請(qǐng)求被丟棄掉匪蝙。本文討論的就是如何跨越NAT實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)直接通訊的問(wèn)題主籍。
1. 術(shù)語(yǔ)
防火墻(Firewall): 防火墻主要限制內(nèi)網(wǎng)和公網(wǎng)的通訊,通常丟棄未經(jīng)許可的數(shù)據(jù)包逛球。防火墻會(huì)檢測(cè)(但是不修改)試圖進(jìn)入內(nèi)網(wǎng)數(shù)據(jù)包的IP地址和TCP/UDP端口信息千元。
網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT): NAT不止檢查進(jìn)入數(shù)據(jù)包的頭部,而且對(duì)其進(jìn)行修改颤绕,從而實(shí)現(xiàn)同一內(nèi)網(wǎng)中不同主機(jī)共用更少的公網(wǎng)IP(通常是一個(gè))幸海。
基本NAT(Basic NAT): 基本NAT會(huì)將內(nèi)網(wǎng)主機(jī)的IP地址映射為一個(gè)公網(wǎng)IP,不改變其TCP/UDP端口號(hào)奥务∥锒溃基本NAT通常只有在當(dāng)NAT有公網(wǎng)IP池的時(shí)候才有用。
網(wǎng)絡(luò)地址-端口轉(zhuǎn)換器(NAPT): 到目前為止最常見(jiàn)的即為NAPT汗洒,其檢測(cè)并修改出入數(shù)據(jù)包的IP地址和端口號(hào)议纯,從而允許多個(gè)內(nèi)網(wǎng)主機(jī)同時(shí)共享一個(gè)公網(wǎng)IP地址。
錐形NAT(Cone NAT): 在建立了一對(duì)(公網(wǎng)IP溢谤,公網(wǎng)端口)和(內(nèi)網(wǎng)IP瞻凤,內(nèi)網(wǎng)端口)二元組的綁定之后憨攒,Cone NAT會(huì)重用這組綁定用于接下來(lái)該應(yīng)用程序的所有會(huì)話(同一內(nèi)網(wǎng)IP和端口),只要還有一個(gè)會(huì)話還是激活的阀参。 例如肝集,假設(shè)客戶端A建立了兩個(gè)連續(xù)的對(duì)外會(huì)話,從相同的內(nèi)部端點(diǎn)(10.0.0.1:1234)到兩個(gè)不同的外部服務(wù)端S1和S2蛛壳。Cone NAT只為兩個(gè)會(huì)話映射了一個(gè)公網(wǎng)端點(diǎn)(155.99.25.11:62000)杏瞻, 確保客戶端端口的“身份”在地址轉(zhuǎn)換的時(shí)候保持不變衙荐。由于基本NAT和防火墻都不改變數(shù)據(jù)包的端口號(hào)捞挥,因此這些類型的中間件也可以看作是退化的Cone NAT。
Server S1 Server S2
18.181.0.31:1235 138.76.29.7:1235
| |
| |
+----------------------+----------------------+
|
^ Session 1 (A-S1) ^ | ^ Session 2 (A-S2) ^
| 18.181.0.31:1235 | | | 138.76.29.7:1235 |
v 155.99.25.11:62000 v | v 155.99.25.11:62000 v
|
Cone NAT
155.99.25.11
|
^ Session 1 (A-S1) ^ | ^ Session 2 (A-S2) ^
| 18.181.0.31:1235 | | | 138.76.29.7:1235 |
v 10.0.0.1:1234 v | v 10.0.0.1:1234 v
|
Client A
10.0.0.1:1234
其中Cone NAT根據(jù)NAT如何接收已經(jīng)建立的(公網(wǎng)IP忧吟,公網(wǎng)端口)對(duì)的輸入數(shù)據(jù)還可以細(xì)分為以下三類:
- 全錐形NAT(Full Cone NAT) 在一個(gè)新會(huì)話建立了公網(wǎng)/內(nèi)網(wǎng)端口綁定之后砌函,全錐形NAT接下來(lái)會(huì)接受對(duì)應(yīng)公網(wǎng)端口的所有數(shù)據(jù),無(wú)論是來(lái)自哪個(gè)(公網(wǎng))終端溜族。 全錐NAT有時(shí)候也被稱為“混雜”NAT(promiscuous NAT)讹俊。
- 受限錐形NAT(Restricted Cone NAT) 受限錐形NAT只會(huì)轉(zhuǎn)發(fā)符合某個(gè)條件的輸入數(shù)據(jù)包。條件為:外部(源)IP地址匹配內(nèi)網(wǎng)主機(jī)之前發(fā)送一個(gè)或多個(gè)數(shù)據(jù)包的結(jié)點(diǎn)的IP地址煌抒。 AT通過(guò)限制輸入數(shù)據(jù)包為一組“已知的”外部IP地址仍劈,有效地精簡(jiǎn)了防火墻的規(guī)則。
- 端口受限錐形NAT(Port-Restricted Cone NAT) 端口受限錐形NAT也類似寡壮,只當(dāng)外部數(shù)據(jù)包的IP地址和端口號(hào)都匹配內(nèi)網(wǎng)主機(jī)發(fā)送過(guò)的地址和端口號(hào)時(shí)才進(jìn)行轉(zhuǎn)發(fā)贩疙。 端口受限錐形NAT為內(nèi)部結(jié)點(diǎn)提供了和對(duì)稱NAT相同等級(jí)的保護(hù),以隔離未關(guān)聯(lián)的數(shù)據(jù)诬像。
對(duì)稱NAT(Symmetric NAT): 對(duì)稱NAT正好相反屋群,不在所有公網(wǎng)-內(nèi)網(wǎng)對(duì)的會(huì)話中維持一個(gè)固定的端口綁定。其為每個(gè)新的會(huì)話開(kāi)辟一個(gè)新的端口坏挠。如下圖所示:
Server S1 Server S2
18.181.0.31:1235 138.76.29.7:1235
| |
| |
+----------------------+----------------------+
|
^ Session 1 (A-S1) ^ | ^ Session 2 (A-S2) ^
| 18.181.0.31:1235 | | | 138.76.29.7:1235 |
v 155.99.25.11:62000 v | v 155.99.25.11:62001 v
|
Symmetric NAT
155.99.25.11
|
^ Session 1 (A-S1) ^ | ^ Session 2 (A-S2) ^
| 18.181.0.31:1235 | | | 138.76.29.7:1235 |
v 10.0.0.1:1234 v | v 10.0.0.1:1234 v
|
Client A
10.0.0.1:1234
2. P2P通信
根據(jù)客戶端的不同芍躏,客戶端之間進(jìn)行P2P傳輸?shù)姆椒ㄒ猜杂胁煌@里介紹了現(xiàn)有的穿越中間件進(jìn)行P2P通信的幾種技術(shù)降狠。
2.1 中繼(Relaying)
這是最可靠但也是最低效的一種P2P通信實(shí)現(xiàn)对竣。其原理是通過(guò)一個(gè)有公網(wǎng)IP的服務(wù)器中間人對(duì)兩個(gè)內(nèi)網(wǎng)客戶端的通信數(shù)據(jù)進(jìn)行中繼和轉(zhuǎn)發(fā)。如下圖所示:
Server S
|
|
+----------------------+----------------------+
| |
NAT A NAT B
| |
| |
Client A Client B
客戶端A和客戶端B不直接通信榜配,而是先都與服務(wù)端S建立鏈接否纬,然后再通過(guò)S和對(duì)方建立的通路來(lái)中繼傳遞的數(shù)據(jù)。這鐘方法的缺陷很明顯蛋褥, 當(dāng)鏈接的客戶端變多之后临燃,會(huì)顯著增加服務(wù)器的負(fù)擔(dān),完全沒(méi)體現(xiàn)出P2P的優(yōu)勢(shì)。但這種方法的好處是能保證成功膜廊,因此在實(shí)踐中也常作為一種備選方案乏沸。
2.2 逆向鏈接(Connection reversal)
第二種方法在當(dāng)兩個(gè)端點(diǎn)中有一個(gè)不存在中間件的時(shí)候有效。例如爪瓜,客戶端A在NAT之后而客戶端B擁有全局IP地址蹬跃,如下圖:
Server S
18.181.0.31:1235
|
|
+----------------------+----------------------+
| |
NAT A |
155.99.25.11:62000 |
| |
| |
Client A Client B
10.0.0.1:1234 138.76.29.7:1234
客戶端A內(nèi)網(wǎng)地址為10.0.0.1,且應(yīng)用程序正在使用TCP端口1234铆铆。A和服務(wù)器S建立了一個(gè)鏈接蝶缀,服務(wù)器的IP地址為18.181.0.31,監(jiān)聽(tīng)1235端口薄货。NAT A給客戶端A分配了TCP端口62000翁都,地址為NAT的公網(wǎng)IP地址155.99.25.11, 作為客戶端A對(duì)外當(dāng)前會(huì)話的臨時(shí)IP和端口菲驴。因此S認(rèn)為客戶端A就是155.99.25.11:62000荐吵。而B(niǎo)由于有公網(wǎng)地址,所以對(duì)S來(lái)說(shuō)B就是138.76.29.7:1234赊瞬。
當(dāng)客戶端B想要發(fā)起一個(gè)對(duì)客戶端A的P2P鏈接時(shí),要么鏈接A的外網(wǎng)地址155.99.25.11:62000贼涩,要么鏈接A的內(nèi)網(wǎng)地址10.0.0.1:1234巧涧,然而兩種方式鏈接都會(huì)失敗。 鏈接10.0.0.1:1234失敗自不用說(shuō)遥倦,為什么鏈接155.99.25.11:62000也會(huì)失敗呢谤绳?來(lái)自B的TCP SYN握手請(qǐng)求到達(dá)NAT A的時(shí)候會(huì)被拒絕,因?yàn)閷?duì)NAT A來(lái)說(shuō)只有外出的鏈接才是允許的袒哥。 在直接鏈接A失敗之后缩筛,B可以通過(guò)S向A中繼一個(gè)鏈接請(qǐng)求,從而從A方向“逆向“地建立起A-B之間的點(diǎn)對(duì)點(diǎn)鏈接堡称。
很多當(dāng)前的P2P系統(tǒng)都實(shí)現(xiàn)了這種技術(shù)瞎抛,但其局限性也是很明顯的,只有當(dāng)其中一方有公網(wǎng)IP時(shí)鏈接才能建立却紧。越來(lái)越多的情況下桐臊, 通信的雙方都在NAT之后,因此就要用到我們下面介紹的第三種技術(shù)了晓殊。
2.3 UDP打洞(UDP hole punching)
第三種P2P通信技術(shù)断凶,被廣泛采用的,名為“P2P打洞“巫俺。P2P打洞技術(shù)依賴于通常防火墻和cone NAT允許正當(dāng)?shù)腜2P應(yīng)用程序在中間件中打洞且與對(duì)方建立直接鏈接的特性认烁。 以下主要考慮兩種常見(jiàn)的場(chǎng)景,以及應(yīng)用程序如何設(shè)計(jì)去完美地處理這些情況。第一種場(chǎng)景代表了大多數(shù)情況却嗡,即兩個(gè)需要直接鏈接的客戶端處在兩個(gè)不同的NAT 之后舶沛;第二種場(chǎng)景是兩個(gè)客戶端在同一個(gè)NAT之后,但客戶端自己并不需要知道稽穆。
2.3.1. 端點(diǎn)在不同的NAT之后
假設(shè)客戶端A和客戶端B的地址都是內(nèi)網(wǎng)地址冠王,且在不同的NAT后面。A舌镶、B上運(yùn)行的P2P應(yīng)用程序和服務(wù)器S都使用了UDP端口1234柱彻,A和B分別初始化了 與Server的UDP通信,地址映射如圖所示:
Server S
18.181.0.31:1234
|
|
+----------------------+----------------------+
| |
NAT A NAT B
155.99.25.11:62000 138.76.29.7:31000
| |
| |
Client A Client B
10.0.0.1:1234 10.1.1.3:1234
現(xiàn)在假設(shè)客戶端A打算與客戶端B直接建立一個(gè)UDP通信會(huì)話餐胀。如果A直接給B的公網(wǎng)地址138.76.29.7:31000發(fā)送UDP數(shù)據(jù)哟楷,NAT B將很可能會(huì)無(wú)視進(jìn)入的 數(shù)據(jù)(除非是Full Cone NAT),因?yàn)樵吹刂泛投丝谂cS不匹配否灾,而最初只與S建立過(guò)會(huì)話卖擅。B往A直接發(fā)信息也類似。
假設(shè)A開(kāi)始給B的公網(wǎng)地址發(fā)送UDP數(shù)據(jù)的同時(shí)墨技,給服務(wù)器S發(fā)送一個(gè)中繼請(qǐng)求惩阶,要求B開(kāi)始給A的公網(wǎng)地址發(fā)送UDP信息。A往B的輸出信息會(huì)導(dǎo)致NAT A打開(kāi) 一個(gè)A的內(nèi)網(wǎng)地址與與B的外網(wǎng)地址之間的新通訊會(huì)話扣汪,B往A亦然断楷。一旦新的UDP會(huì)話在兩個(gè)方向都打開(kāi)之后,客戶端A和客戶端B就能直接通訊崭别, 而無(wú)須再通過(guò)引導(dǎo)服務(wù)器S了冬筒。
UDP打洞技術(shù)有許多有用的性質(zhì)。一旦一個(gè)的P2P鏈接建立茅主,鏈接的雙方都能反過(guò)來(lái)作為“引導(dǎo)服務(wù)器”來(lái)幫助其他中間件后的客戶端進(jìn)行打洞舞痰, 極大減少了服務(wù)器的負(fù)載。應(yīng)用程序不需要知道中間件具體是什么(如果有的話)诀姚,因?yàn)橐陨系倪^(guò)程在沒(méi)有中間件或者有多個(gè)中間件的情況下 也一樣能建立通信鏈路响牛。
2.3.2. 端點(diǎn)在相同的NAT之后
現(xiàn)在考慮這樣一種情景,兩個(gè)客戶端A和B正好在同一個(gè)NAT之后(而且可能他們自己并不知道)学搜,因此在同一個(gè)內(nèi)網(wǎng)網(wǎng)段之內(nèi)娃善。 客戶端A和服務(wù)器S建立了一個(gè)UDP會(huì)話,NAT為此分配了公網(wǎng)端口62000瑞佩,B同樣和S建立會(huì)話聚磺,分配到了端口62001,如下圖:
Server S
18.181.0.31:1234
|
|
NAT
A-S 155.99.25.11:62000
B-S 155.99.25.11:62001
|
+----------------------+----------------------+
| |
Client A Client B
10.0.0.1:1234 10.1.1.3:1234
假設(shè)A和B使用了上節(jié)介紹的UDP打洞技術(shù)來(lái)建立P2P通路炬丸,那么會(huì)發(fā)生什么呢瘫寝?首先A和B會(huì)得到由S觀測(cè)到的對(duì)方的公網(wǎng)IP和端口號(hào)蜒蕾,然后給對(duì)方的地址發(fā)送信息。 兩個(gè)客戶端只有在NAT允許內(nèi)網(wǎng)主機(jī)對(duì)內(nèi)網(wǎng)其他主機(jī)發(fā)起UDP會(huì)話的時(shí)候才能正常通信焕阿,我們把這種情況稱之為”回環(huán)傳輸“(lookback translation)咪啡,因?yàn)閺膬?nèi)部 到達(dá)NAT的數(shù)據(jù)會(huì)被“回送”到內(nèi)網(wǎng)中而不是轉(zhuǎn)發(fā)到外網(wǎng)。例如暮屡,當(dāng)A發(fā)送一個(gè)UDP數(shù)據(jù)包給B的公網(wǎng)地址時(shí)撤摸,數(shù)據(jù)包最初有源IP地址和端口地址10.0.0.1:1234和 目的地址155.99.25.11:62001,NAT收到包后褒纲,將其轉(zhuǎn)換為源155.99.25.11:62000(A的公網(wǎng)地址)和目的10.1.1.3:1234准夷,然后再轉(zhuǎn)發(fā)給B。即便NAT支持 回環(huán)傳輸莺掠,這種轉(zhuǎn)換和轉(zhuǎn)發(fā)在此情況下也是沒(méi)必要的衫嵌,且有可能會(huì)增加A與B的對(duì)話延時(shí)和加重NAT的負(fù)擔(dān)。
對(duì)于這個(gè)情況彻秆,優(yōu)化方案是很直觀的楔绞。當(dāng)A和B最初通過(guò)S交換地址信息時(shí),他們應(yīng)該包含自身的IP地址和端口號(hào)(從自己看)唇兑,同時(shí)也包含從服務(wù)器看的自己的 地址和端口號(hào)酒朵。然后客戶端同時(shí)開(kāi)始從對(duì)方已知的兩個(gè)的地址中同時(shí)開(kāi)始互相發(fā)送數(shù)據(jù),并使用第一個(gè)成功通信的地址作為對(duì)方地址扎附。如果兩個(gè)客戶端在同一個(gè) NAT后耻讽,發(fā)送到對(duì)方內(nèi)網(wǎng)地址的數(shù)據(jù)最有可能先到達(dá),從而可以建立一條不經(jīng)過(guò)NAT的通信鏈路帕棉;如果兩個(gè)客戶端在不同的NAT之后,發(fā)送給對(duì)方內(nèi)網(wǎng)地址的數(shù)據(jù)包 根本就到達(dá)不了對(duì)方饼记,但仍然可以通過(guò)公網(wǎng)地址來(lái)建立通路香伴。值得一提的是,雖然這些數(shù)據(jù)包通過(guò)某種方式驗(yàn)證具则,但是在不同NAT的情況下完全有可能會(huì)導(dǎo)致A往B 發(fā)送的信息發(fā)送到其他A內(nèi)網(wǎng)網(wǎng)段中無(wú)關(guān)的結(jié)點(diǎn)上去的即纲。
2.3.3. 端點(diǎn)在多級(jí)NAT之后
在一些拓樸結(jié)構(gòu)中,可能會(huì)存在多級(jí)NAT設(shè)備博肋,在這種情況下低斋,如果沒(méi)有關(guān)于拓樸的具體信息, 兩個(gè)Peer要建立“最優(yōu)”的P2P鏈接是不可能的匪凡,下面來(lái)說(shuō)為什么膊畴。以下圖為例:
Server S
18.181.0.31:1234
|
|
NAT X
A-S 155.99.25.11:62000
B-S 155.99.25.11:62001
|
|
+----------------------+----------------------+
| |
NAT A NAT B
192.168.1.1:30000 192.168.1.2:31000
| |
| |
Client A Client B
10.0.0.1:1234 10.1.1.3:1234
假設(shè)NAT X是一個(gè)網(wǎng)絡(luò)提供商ISP部署的工業(yè)級(jí)NAT,其下子網(wǎng)共用一個(gè)公網(wǎng)地址155.99.25.11病游,NAT A和NAT B分別是其下不同用戶的網(wǎng)關(guān)部署的NAT唇跨。只有服務(wù)器S 和NAT X有全局的路由地址稠通。Client A在NAT A的子網(wǎng)中,同時(shí)Client B在NAT B的子網(wǎng)中买猖,每經(jīng)過(guò)一級(jí)NAT都要進(jìn)行一次網(wǎng)絡(luò)地址轉(zhuǎn)換改橘。
現(xiàn)在假設(shè)A和B打算建立直接P2P鏈接,用一般的方法(通過(guò)Server S來(lái)打洞)自然是沒(méi)問(wèn)題的玉控,那能不能優(yōu)化呢飞主?一種想當(dāng)然的優(yōu)化辦法是A直接把信息發(fā)送給NAT B的 內(nèi)網(wǎng)地址192.168.1.2:31000,且B通過(guò)NAT B把信息發(fā)送給A的路由地址192.168.1.1:30000高诺,不幸的是碌识,A和B都沒(méi)有辦法得知這兩個(gè)目的地址,因?yàn)镾只看見(jiàn)了客戶端 ‵全局‵地址155.99.25.11懒叛。退一步說(shuō)丸冕,即便A和B通過(guò)某種方法得知了那些地址,我們也無(wú)法保證他們是可用的薛窥。因?yàn)镮SP分配的子網(wǎng)地址可能和NAT A B分配的子網(wǎng)地址 域相沖突胖烛。因此客戶端沒(méi)有其他選擇,只能使用S來(lái)進(jìn)行打洞并進(jìn)行回環(huán)傳輸诅迷。
2.3.4. 固定端口綁定
UDP打洞技術(shù)有一個(gè)主要的條件:只有當(dāng)兩個(gè)NAT都是Cone NAT(或者非NAT的防火墻)時(shí)才能工作佩番。因?yàn)槠渚S持了一個(gè)給定的(內(nèi)網(wǎng)IP,內(nèi)網(wǎng)UDP)二元組 和(公網(wǎng)IP罢杉, 公網(wǎng)UDP)二元組固定的端口綁定趟畏,只要該UDP端口還在使用中,就不會(huì)變化滩租。如果像對(duì)稱NAT一樣赋秀,給每個(gè)新會(huì)話分配一個(gè)新的公網(wǎng)端口,就 會(huì)導(dǎo)致UDP應(yīng)用程序無(wú)法使用跟外部端點(diǎn)已經(jīng)打通了的通信鏈路律想。由于Cone NAT是當(dāng)今最廣泛使用的猎莲,盡管有一小部分的對(duì)稱NAT是不支持打洞的,UDP打洞 技術(shù)也還是被廣泛采納應(yīng)用技即。
3.具體實(shí)現(xiàn)
一般的網(wǎng)絡(luò)編程著洼,都是客戶端比服務(wù)端要難,因?yàn)橐幚砼c服務(wù)器的通信同時(shí)還要處理來(lái)自用戶的事件而叼;對(duì)于P2P客戶端來(lái)說(shuō)更是如此身笤,因?yàn)镻2P客戶端不止作 為客戶端,同時(shí)也作為對(duì)等連接的服務(wù)器端葵陵。這里的大體思路是液荸,輸入命令傳輸給服務(wù)器之后,接收來(lái)自服務(wù)器的反饋埃难,并執(zhí)行相應(yīng)代碼莹弊。例如A想要與B建立 通信鏈路涤久,先給服務(wù)器發(fā)送punch命令以及給B發(fā)送數(shù)據(jù),服務(wù)器接到命令后給B發(fā)送punch_requst信息以及A的端點(diǎn)信息忍弛,B收到之后向A發(fā)送數(shù)據(jù)打通通路响迂,然 后A與B就可以進(jìn)行P2P通信了。經(jīng)測(cè)試细疚,打通通路后即便把服務(wù)器關(guān)閉蔗彤,A與B也能正常通信。
一個(gè)UDP打洞的例子見(jiàn)P2P-Over-MiddleBoxes-Demo
關(guān)于TCP打洞疯兼,有一點(diǎn)需要提的是然遏,因?yàn)門(mén)CP是基于連接的,所以任何未經(jīng)連接而發(fā)送的數(shù)據(jù)都會(huì)被丟棄吧彪,這導(dǎo)致在recv的時(shí)候是無(wú)法直接從peer端讀取數(shù)據(jù)待侵。 其實(shí)這對(duì)UDP也一樣,如果對(duì)UDP的socket進(jìn)行了connect姨裸,其也會(huì)忽略連接之外的數(shù)據(jù)秧倾,詳見(jiàn)connect(2)。
所以傀缩,如果我們要進(jìn)行TCP打洞那先,通常需要重用本地的endpoint來(lái)發(fā)起新的TCP連接,這樣才能將已經(jīng)打開(kāi)的NAT利用起來(lái)赡艰。具體來(lái)說(shuō)售淡,則是要設(shè)置socket的 SO_REUSEADDR或SO_REUSEPORT屬性,根據(jù)系統(tǒng)不同慷垮,其實(shí)現(xiàn)也不盡一致揖闸。一般來(lái)說(shuō),TCP打洞的步驟如下:
- A 發(fā)送 SYN 到 B (出口地址料身,下同)楔壤,從而創(chuàng)建NAT A的一組映射
- B 發(fā)送 SYN 到 A, 創(chuàng)建NAT B的一組映射
- 根據(jù)時(shí)序不同惯驼,兩個(gè)SYN中有一個(gè)會(huì)被對(duì)方的NAT丟棄,另一個(gè)成功通過(guò)NAT
- 通過(guò)NAT的SYN報(bào)文被其中一方收到递瑰,即返回SYNACK祟牲, 完成握手
- 至此,TCP的打洞成功抖部,獲得一個(gè)不依賴于服務(wù)器的鏈接
轉(zhuǎn)自: https://zhuanlan.zhihu.com/p/26796476
