HQY 一个和谐有爱的空间

http://www.cnblogs.com/whyandinside/archive/2010/12/08/1900492.html

http://www.gzsec.com/oldversion/filesys/news_view.asp?newsid=84

在现实Internet网络环境中，大多数计算机主机都位于防火墙或NAT之后，只有少部分主机能够直接接入Internet。很多时候，我们希望网络中的两台主机能够直接进行通信，即所谓的P2P通信，而不需要其他公共服务器的中转。由于主机可能位于防火墙或NAT之后，在进行P2P通信之前，我们需要进行检测以确认它们之间能否进行P2P通信以及如何通信。这种技术通常称为NAT穿透（NAT Traversal）。最常见的NAT穿透是基于UDP的技术，如RFC3489中定义的STUN协议。

STUN，首先在RFC3489中定义，作为一个完整的NAT穿透解决方案，英文全称是Simple Traversal of UDP Through NATs，即简单的用UDP穿透NAT。

在新的RFC5389修订中把STUN协议定位于为穿透NAT提供工具，而不是一个完整的解决方案，英文全称是Session Traversal Utilities for NAT，即NAT会话穿透效用。RFC5389与RFC3489除了名称变化外，最大的区别是支持TCP穿透。

TURN，首先在RFC5766中定义，英文全称是Traversal Using Relays around NAT:Relay Extensions to Session Traversal Utilities for NAT，即使用中继穿透NAT:STUN的扩展。简单的说，TURN与STUN的共同点都是通过修改应用层中的私网地址达到NAT穿透的效果，异同点是TURN是通过两方通讯的“中间人”方式实现穿透。

NAT(Network Address Translation，网络地址转换)的原理

NAT网络包含一个 NAT管理设备及该管理设备后面的网络节点。

NAT网络怎么能够节约公网IP地址呢?这是因为它能够让由私有IP构成的局域网内所有的计算机通过一台具有公网IP和NAT功能的计算机进入公网(Internet)，比如上网冲浪，这样一个局域网就只需要一个或很少几个公网IP就行了，从而达到了节约公网IP地址的目的。也许你要问了，为什么需要NAT呢?局域网的私有IP计算机不是能够通过网关直接进入公网吗?非也，内网IP的数据包根本就不可能在公网上传播，因为公网上的路由器都是屏蔽掉了这些私网IP的，这是因为私有IP本来就是人为保留出来专供私有网络通信用的(RFC 1597中描述)。从另一个角度说，即使私有数据包能够到达公网目标地址，目标地址的响应包也不可能返回真正的源地址，因为源地址是私有IP，目标发送的响应包一种可能是被目标地址所在的拥有相同网络号的内网接收，一种可能就是这种子网不存在，数据包被抛弃。所以内网数据包在进入公网之前，必须被翻译成公网IP，这就是NAT网络的功能，而且NAT技术发展到现在，已不仅局限于翻译IP地址，现在实际翻译时，它不光翻译IP地址，还会翻译TCP/UDP端口。由于这个功能，NAT通常都位于网关计算机上，起着一种路由器的作用，为了讲述方便，以后我们就称这台网关计算机为NAT管理设备。下面就来看看NAT翻译的基本过程(假如局域网192.168.0.0的NAT设备公网IP是218.70.201.185，私有IP是192.168.0.1，现在客户机192.168.0.88要通过NAT管理设备访问cn.yahoo.com的网页，cn.yahoo.com的IP是202.43.216.55)。
当客户机192.168.0.88通过IE向 http://cn.yahoo.com发出请求时，它发出的数据包含有下面的信息：
源地址和源端口：192.168.0.88:1234
目标地址和目标端口：202.43.216.55:80
当这个数据包到达NAT管理设备时，它会检测到这个数据包是要发向公网的，所以它会对源IP地址和端口进行修改(翻译)，并在映射表中新建IP和端口的映射条目，然后再把修改的数据包转发出去，下面就是修改后数据包的相关信息。
源：218.70.201.185:8999
目标：202.43.216.55:80 (无需变)
当cn..yahoo.com响应时，它会把数据包发给NAT管理设备，它的数据包含有下面的信息，
源：202.43.216.55:80
目：218.70.201.185:8999
当NAT管理设备收到响应时，它会检查它的IP地址/端口映射表，并且会找到218.70.201.185:8999与192.168.0.88:1234的映射条目，于是它又修改数据包，然后把数据包转发给192.168.0.88。相关数据包信息如下：
源：202.43.216.55:80
目：192.168.0.88:1234
具体的翻译步骤就如图1所示，其中图1黑线左侧是内网发向公网的翻译过程，右侧则是公网发向内网的翻译过程，从中可以看出，翻译过程也是从上层向下层进行的。

从上面可以看出，最开始发起连接的内网计算机(这里是192.168.0.88)对网关进行NAT翻译是一无所知的，它根本就不知道网关对它的数据包“做了手脚”，上面所讲的可以说是最理想的翻译，这种翻译对IP地址和端口信息只存在于IP首部和TCP/UDP首部的数据包是非常适合的，但恰恰这个世界是复杂的，网络世界也不例外，每种技术都会有它的缺陷，下面就来看看NAT所面临的网络连接问题。

NAT有4种不同的类型

1) Full Cone

这种NAT网络内部的机器A连接过外网机器C后,NAT会打开一个端口.然后外网的任何发到这个打开的端口的UDP数据报都可以到达A.不管是不是C发过来的.
例如 A:192.168.8.100 NAT:202.100.100.100 C:292.88.88.88
A(192.168.8.100:5000) -> NAT(202.100.100.100:8000) -> C(292.88.88.88:2000)
任何发送到 NAT管理设备(202.100.100.100:8000)的数据都可以到达A(192.168.8.100:5000)

2) Address Restricted Cone

这种NAT网络内部的机器A连接过外网的机器C后,NAT打开一个端口.然后C可以用任何端口和A通信.其他的外网机器不行.
例如 A:192.168.8.100 NAT:202.100.100.100 C:292.88.88.88
A(192.168.8.100:5000) -> NAT(202.100.100.100 : 8000) -> C(292.88.88.88:2000)
任何从C发送到 NAT管理设备(202.100.100.100:8000)的数据都可以到达A(192.168.8.100:5000)

3) Port Restricted Cone

这种NAT网络内部的机器A连接过外网的机器C后,NAT打开一个端口.然后C可以用原来的端口和A通信.其他的外网机器不行.
例如 A:192.168.8.100 NAT:202.100.100.100 C:292.88.88.88
A(192.168.8.100:5000) -> NAT(202.100.100.100 : 8000) -> C(292.88.88.88:2000)
C(202.88.88.88:2000)发送到 NAT管理设备(202.100.100.100:8000)的数据都可以到达A(192.168.8.100:5000)

以上三种NAT通称Cone NAT(圆锥形NAT).我们只能用这种NAT进行UDP打洞.

4) Symmetric（对称形）

对于这种NAT。连接不同的外部Server，NAT管理设备打开的端口会变化。也就是内部机器A连接外网机器B时，NAT管理设备会打开一个端口，连接外网机器C时又会打开另外一个端口。

对于双方都是Port Restricted Cone NAT的时候，则需要利用UDP打洞原理进行“先打洞，然后才能直接通信”。
对 于Cone NAT.要采用UDP打洞.需要一个公网机器server C来充当”介绍人”.处于NAT之后的内网的A,B先分别和C通信,打开各自的NAT端口.C这个时候知道A,B的公网IP: Port. 现在A和B想直接连接.比如A给B直接发包，除非B是Full Cone，否则不能通信.反之亦然.
为什么啊？因为对于处于NAT管理设备之后的A,B。 如果想A要与外界的D通信，则首先必须要A发包到D，然后A经过NAT管理设备NA，NA把A的内网地址和端口转换为NA的外网地址和端口。和D通信之后，D 才能经过NA和A通信。也就是说，只能A和外界主动通信，外界不能主动和处于NA之后的A通信。这种包会被NA直接丢弃的。这也就是上面所说的Port Restricted Cone 的情形啊！ A(192.168.8.100:5000) -> NA(202.100.100.100:8000) -> D(292.88.88.88:2000)但是我们可以这样.
A --- NA --- Server C --- NB --- B

• A,B 为主机；

• NA, NB 为NAT设备；

• Server C为外网的机器；

1. 如果A想与B通信；

2. A首先连接 C, C得到A的外网NA的地址和端口；

3. B也要连接C，C得到B的外网NB的地址和端口；

4. A告诉C说我要和B通讯；

5. C通过NB发信息给B，告诉B A的外网NA的地址和端口；

6. B向NA发数据包（肯定会被NA丢弃，因为NA上并没有 A->NB 的合法session），但是NB上就建立了有B->NA的合法session了；

7. B发数据包给C，让 C 通知 A，我已经把洞打好了；

8. A接受到通知后向 B 的外网发NB数据包，这样就不会被丢弃掉了。因为对于NB来说，它看到的是A的外网NA的地址，而通过第6步，B已经让NA成为NB的合法通信对象了。所以当NA发数据包给NB时，NB就会接收并转发给B；

9. B给A发数据反过来走一遍就可以了。

注意： 路由器和防火墙的UDP打洞的端口有个时间限制的，在一定时间内如果没有数据通讯会自动关闭

STUN

STUN 的全称是Simple Traversal of UDP Through NAT，即UDP对NAT的简单穿越方式。应用程序（即STUN CLIENT）向NAT外的STUN SERVER通过UDP发送请求STUN 消息询问自身的转换后地址，STUN SERVER收到请求消息，产生响应消息，响应消息中携带请求消息的源端口，即STUN CLIENT在NAT上对应的外部端口。然后响应消息通过NAT发送给STUN CLIENT，STUN CLIENT通过响应消息体中的内容得知其在NAT上对应的外部地址，并且将其填入以后呼叫协议的UDP负载中，告知对端，同时还可以在终端注册时直接注 册这个转换后的公有IP地址，这样就解决了H.323/MGCP/SIP穿越NAT的通信建立问题以及作为被叫时的问题。本端的接收地址和端口号为NAT 外的地址和端口号。由于通过STUN协议已在NAT上预先建立媒体流的NAT映射表项，故媒体流可顺利穿越NAT。
需要注意的是，NAT/PAT 对于地址转换关系是有一定生命期的，某个地址转换后在一段时间内没有被使用将会被清除，当这个业务流再次出现时，将会建立一个新的地址转换关系，这就意味 着STUN的询问过程以及终端的注册过程都需要再执行一遍才能保证通信的正确。解决这个问题一个比较通行的方案是采用某种方式保持NAT/PAT的转换关 系，例如在NAT/PAT生命期内重复注册一次，比如NAT/PAT的生命期是3分钟，那么就将注册重复周期设置为2分钟。

另外STUN server并非指一个专用的服务器，而是指一种功能、一个协议，我们可以在softswitch或者任何一个需要此功能的服务器上内置此协议, 后面代码也包含一个简单的Server实现。

但 是在NAT采用对称模式(symmetric NAT)工作时，STUN的方案就会出现问题。假如我们在softswitch上提供STUN server功能，终端A通过STUN可以获得NAT为终端A与softswitch之间通信分配的地址A'，并将这个地址注册在softswitch 上，当一个公网上的终端B呼叫终端A时，A'和B通过softswitch完成呼叫建立过程。当B试图向A'发送媒体流时，问题就出现了。因为对称NAT 只允许从softswitch发送数据给地址A'，从B发送的媒体流将被丢弃。所以STUN无法应用于工作在对称模式的NAT.

STUN协议最大的优点是无需现有NAT/FW设备做任何改动,同时STUN方式可在多个NAT串联的网络环境中使用. STUN的局限性在于STUN并不适合支持TCP连接的穿越,同时STUN方式不支持对对称NAT（Symmetric NAT）.

TURN

这 种方式又称SPAN(Simple Protocol for Augmenting NATs)方式. TURN方式解决NAT问题的思路与STUN相似，也是基于私网接入用户通过某种机制预先得到其私有地址对应在公网的地址（STUN方式得到的地址为出口 NAT上的地址，TURN方式得到地址为TURNServer上的地址），然后在报文负载中所描述的地址信息直接填写该公网地址的方式，实际应用原理也是 一样的。
TURN的全称为Traversal Using RelayNAT，即通过Relay方式穿越NAT，TURN应用模型通过分配TURNServer的地址和端口作为客户端对外的接受地址和端口，即私网 用户发出的报文都要经过TURNServer进行Relay转发，这种方式除了具有STUN方式的优点外，还解决了STUN应用无法穿透对称 NAT（Symmetric NAT）以及类似的Firewall设备的缺陷，即无论企业网/驻地网出口为哪种类型的NAT/FW，都可以实现NAT的穿透，同时TURN支持基于 TCP的应用，如H323协议。TURN的局限性在于所有报文都必须经过TURNServer转发，增大了包的延迟和丢包的可能性.

 ICE

ICE跟STUN和TURN不一样，ICE不是一种协议，而是一个framework，它整合了STUN和TURN。

 UPnP

UPnP是若干网络协议的组合，主要用于设备的互联，但是一种叫做Internet Gateway Device (IGD) Protocol的防火墙穿越技术是基于UPnP的。

http://blog.chinaunix.net/uid-11572501-id-2868684.html

STUN简介 STUN（Simple Traversal of UDP over NATs，NAT 的UDP简单穿越）是一种网络协议，它允许位于NAT（或多重NAT）后的客户端找出自己的公网地址，查出自己位于哪种类型的NAT网络之后以及NAT管理设备为某一个本地端口所绑定的Internet端端口。这些信息被用来在两个同时处于NAT路由器之后的主机之间建立UDP通信。该协议由RFC 3489定义。
一旦客户端得知了Internet端的UDP端口，通信就可以开始了。
SIP之类的协议是使用UDP分组在Internet上传输音频和/或视频数据的。不幸的是，由于通信的两个末端往往位于NAT管理设备之后，因此用传统的方法是无法建立连接的。这也就是STUN发挥作用的地方。 
STUN是一个客户机－服务器协议。一个VoIP电话或软件包可能会包括一个STUN客户端。这个客户端会向STUN服务器发送请求，之后，服务器就会向STUN客户端报告NAT路由器的公网IP地址以及NAT为允许传入流量传回内网而开通的端口。
以上的响应同时还使得STUN客户端能够确定正在使用的NAT类型——因为不同的NAT类型处理传入的UDP分组的方式是不同的。四种主要类型中有三种是可以使用的：完全圆锥型NAT、受限圆锥型NAT和端口受限圆锥型NAT——但大型公司网络中经常采用的对称型NAT（又称为双向NAT）则不能使用。

NAT工作原理：NAT主要的通过对数据包头的地址替换来完成内网计算机访问外网服务的。当内部机器要访问外部网络时，NAT管理设备把内部的IP1与端口号1(网络层地址与传输层地址)，转换成NAT的外部IP2与新的端口号2，再送给外部网络，数据返回时，再把目的为IP2:端口2的数据包替换为IP1:端口 1，送给内网机器。若通讯协议的内容中有IP地址的传递，如FTP协议，NAT管理设备在翻译时还要注意数据包内涉及协议地址交互的地方也要替换，否则协议就会出现地址混乱。在NAT管理设备中维护了这个要替换地址的映射表，并根据内部计算机的通讯需求维护该表。外部网络来数据包能否进入NAT，主要是看是否已经有可映射的表项，若没有就会丢弃

NAT给P2P带来的问题是：NAT只允许单方面发起连接，通讯的双方不是平等的，P2P网络的基础有了问题，具体的表现为：

• 内网主机IP是私有的，外部主机看不到，也无法主动发起连接

• 即使知道了内网IP，但NAT管理设备会丢弃没有在影射表的数据包

• 内网主机可以作为客户端访问外网，但不能作为服务器提供服务

• 当两个主机都位于各自的NAT管理设备之后，要实现P2P的连接，就不仅是谁主动的问题，而是如何解决在两个NAT管理设备上同时有对方映射表项的问题。

STUN标准中，根据内部终端的地址(P:p)到NAT出口的公网地址(A:b)的影射方式，把NAT分为四种类型：

1. Full Cone：来自相同的内部地址的请求消息映射为相同的外部地址，与外部地址(目的地址)无关。映射关系为P:p?A:b，任何外部主机可通过(A:b)发送到数据到(P:p)上。

　　2. Restricted Cone：来自相同的内部地址的请求消息映射为相同的外部地址，返回的数据只接受该内部节点曾发数据的那个目的计算机地址X。映射关系为P:p?A:b?X，只有来自X的数据包才可通过(A:b)发送到数据到(P:p)上。

　　3. Port Restricted Cone：来自相同的内部地址的请求消息映射为相同的外部地址，返回的数据只接受该内部节点曾发数据的那个目的地址X:x。映射关系为 P:p?A:b?X:x，只有来自X:x的数据包才可通过(A:b)发送到数据到(P:p)上。

　　4. Symmetric(对称) NAT：只有来自相同的内部地址(P:p)，并且发送到同一个地址(X:x) 的请求消息，才被映射为相同的外部地址(A:b)，返回的数据只接受该内部节点曾发数据的那个目的地址X:x。映射关系为P:p?A:b?X:x，当 (P:p)访问(Y:y)时，映射为P:p?B:c?Y:y。

P2P利用STUN穿越NAT：

　　位于NAT后面终端A与B要穿越NAT直接通讯，可以借助在公网上的第三者Server来帮助。

　　穿越NAT的情况分为为两种方式：

1、一方在NAT管理设备之后，一方在公网上。这种情况相对简单，只要让NAT管理设备之后的终端先发起通讯，NAT管理设备就没有作用了，它可以从Server上取得另一个Peer的地址，主动连接，回来的数据包就可以方便地穿越NAT。

2、双方都在NAT管理设备之后，连接的成功与否与两个NAT网络的类型有关。

主要的思路的先通过终端与Server的连接，获得两个终端在NAT管理设备的外部地址(IP与端口号)，再由终端向对方的外部地址发邀请包，获取自己与对方通讯的外部地址，俗称为“打洞”。关键是获取了NAT管理设备外部映射的地址，就可以发包直接沟通，建立连接。但当一方是对称型，另一方是Port Restricted或对称型时，无法有效获取外部地址，邀请包无法到达对方，也就无法穿越NAT。具体的分析可以根据两个NAT网络的类型分成若干情况分析，这里给一般的穿越例子。

实例：UDP穿越NAT管理设备：

　　A登录Server，NAT管理设备A 分配端口11000，Server得到A的地址为100.10.10.10:11000   （实际上是NAT管理设备A的地址和端口）

　　B登录Server，NAT管理设备B 分配端口22000，Server得到B的地址为200.20.20.20:22000

　　此时B会把直接来自A的包丢弃（A也会直接把来自B的包丢弃），所以要在NAT管理设备B 上打一个方向为A的洞，那么A就可以向200.20.20.20:22000发送数据了

　　打洞的指令来自Server。即Server告诉B向A的地址100.10.10.10:11000发一个UDP报文，被NAT管理设备A 丢弃，但在NAT管理设备B上建立了映射记录，NAT管理设备B不在丢弃来自A的报文。

　　Server通知A立即与B进行通讯，A发起数据UDP包给B，NAT管理设备B放行，B收到A的包，双方开始通讯

　　注：若是对称NAT网络，当B向A打洞的端口要重新分配(NAT A不会再分配11000端口)，B无法获取这个端口，所以不适用本方法。

　　实例：TCP穿越NAT：

tcp打洞与udp打洞的区别：tcp在传输数据前要connect,connect 过程中两方要通信

　　A登录Server，NAT管理设备A 分配端口11000，Server得到A的地址为100.10.10.10:11000

　　B登录Server，NAT管理设备B 分配端口22000，Server得到B的地址为200.20.20.20:22000

　　Server告诉A向B发送TCP数据包 SYN:192.168.10.11:1234 => 200.20.20.20:22000，在NAT管理设备A上打洞

　　Server再告诉B向A发送TCP数据包 SYN:192.168.20.22:1234 => 100.10.10.10:11000，在NAT管理设备B上打洞

　　通道建立，A与B三次握手建立TCP连接

TCP（传输控制协议）和UDP（用户数据报协议是网络体系结构TCP/IP模型中传输层一层中的两个不同的通信协议。

TCP：传输控制协议，一种面向连接的协议，给用户进程提供可靠的全双工的字节流，TCP套接口是字节流套接口(stream socket)的一种。

UDP：用户数据报协议。UDP是一种无连接协议。UDP套接口是数据报套接口(datagram socket)的一种。