一、概述
关于NAT的一些基本知识,可以参考NAT基本原理及穿透详解。本文主要讲当前工业场景中穿透NAT,使用最为频繁的STUN/TURN协议。
二、技术点及原理
三、方式及流程图
STUN协议实现流程图如下(本段参考其他blog):
NAT的探测过程逻辑解释:
假设有UAC(p2p客户端B),NAT(A),SERVER(打洞服务器C), UAC的IP为 IPB, NAT的IP为 IPA , SERVER的 IP为IPC1 、IPC2。 请注意,服务器C有两个IP。
- STEP1:探测B是否可用UDP,是否在NAT后
B向C的IPC1的port1端口发送一个UDP包。 C收到这个包后,会把它收到包的源IP和port写到UDP包中,然后把此包通过 IPC1 和 port1 发还给B。这个IP和port也就是NAT的外网IP和port,也就是说你在STEP1中就得到了NAT的外网IP。
熟悉NAT工作原理的应该都知道,C返回给B的这个UDP包B一定收到。 如果在你的应用中,向一个STUN服务器发送数据包后,你没有收到STUN的任何回应包,那只有两种可能:
- STUN服务器不存在,或者你弄错了port。
- 你的NAT设备拒绝一切UDP包从外部向内部通过, 如果排除防火墙限制规则,那么这样的NAT设备如果存在,那肯定是坏了
当B收到此UDP后,把此UDP中的IP和自己的IP做比较, 如果是一样的,就说明自己是在公网,下步NAT将去探测防火墙类型,就不多说了。如果不一样,说明有NAT的存在,系统进行STEP2的操作。
- STEP2:探测A是否是全锥型
B向C的IPC1发送一个UDP包,请求C通过另外一个IPC2和PORT(不同与SETP1的IP1)向B返回一个UDP数据包(现在知道为什么C要有两个IP了吧,为了检测cone NAT的类型)。我们来分析一下,如果B收到了这个数据包,那说明什么?说明NAT来着不拒,不对数据包进行任何过滤,这也就是STUN标准中的full cone NAT。遗憾的是,full cone nat太少了,这也意味着你能收到这个数据包的可能性不大。 如果没收到,那么系统进行STEP3的操作。
- STEP3:探测A是否是对称型
B向C的IPC2的port2发送一个数据包,C收到数据包后,把它收到包的源IP和port写到UDP包中,然后通过自己的IPC2和port2把此包发还给B。 和step1一样,B肯定能收到这个回应UDP包。此包中的port是我们最关心的数据,下面我们来分析:如果这个port和step1中的port一样,那么可以肯定这个NAT是个CONE NAT,否则是对称NAT。
道理很简单:根据对称NAT的规则,当目的地址的IP和port有任何一个改变,那么NAT都会重新分配一个port使用,而在step3中,和step1对应,我们改变了IP和port。因此,如果是对称NAT,那这两个port肯定是不同的。如果在你的应用中,到此步的时候PORT是不同的,那就只能放弃P2P了,原因同上面实现中的一样。如果不同,那么只剩下了restrict cone 和port restrict cone。系统用step4探测是是哪一种。
- STEP4:探测A是受限锥型还是端口受限锥型
B向C的IP2的一个端口PD发送一个数据请求包,要求C用IP2和不同于PD的port返回一个数据包给B。我们来分析结果:如果B收到了,那也就意味着只要IP相同,即使port不同,NAT也允许UDP包通过。显然这是restrict cone NAT。如果没收到,没别的好说,port restrict NAT。
