农猪的小窝

浮躁的心需要一个温暖的小窝停下来安静

日志

关于我

SANERYE

需要改变！

文章分类

解决外网与内网或内网之间的通信，NAT穿透

2010-09-17 09:16:07| 分类：计算机IT学习类 | 标签： |举报 |字号大中小订阅

下载LOFTER 我的照片书 |

在网络编码中会发现程序在局域网中是可以适用的，但是在外网与内网之间和内网与内网之间就不可行。
问题就在于NAT。首先介绍下NAT。
NAT的作用NAT(Network Address Translator)，网络地址转换。顾名思义，它是一种把内部私有网络IP地址翻译成公有网络IP地址的技术，如图5-1所示。NAT是在IP地址日益缺乏的情况下产生的，它的主要目的是使地址能够重用[9]。

解决外网与内网或内网之间的通信，NAT穿透 - sanerye - DreamEyesSKY

图5-1 NAT模型
IP地址分为五类：A类，B类，C类，D类，E类（这里不考虑保留的IP地址）。A、B、C类可被计算机作为IP地址，D类为组播地址，E类为特殊用途的地址。A、B、C类中，又可分为公有地址和私有地址，私有地址用于内网，不同的内网，私有地址可重用，从而节省了公网地址，它不可在公网中被路由，所以内网的主机要访问公网的服务器，便要经过NAT。公有地址是全球唯一的，能在公网上被路由。

内网主机用私有地址在内网能与其它的内网主机无误地通信，但它不能直接用私有地址访问外网的主机，因为私有地址不能被路由。它要与外网通信，必须经过NAT设备（如网关，路由器），如图5-2所示。主机A与服务器S通信，它须先通过网关，此时网关改变它的数据包地址及端口，把私有地址（10.0.0.2）改为公有地址（155.99.25.11），使数据包能在公网上被路由，送至服务器端。服务器端返回的数据包到达网关后，网关把公网地址改为相应的私有地址，然后转发到主机A。通过这种方法，一个内网只需一个公有IP地址，就把整个内网的计算机接入Internet，从而解决IP地址缺乏的问题。
NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。也可通过软件实现这一功能，Windows 98 SE、Windows 2000 都包含了这一功能。
NAT的分类及工作原理

基本NAT与NAPT如图5-3所示，NAT分为两大类，基本的NAT和NAPT（Network Address/Port Translator）[10][11]。
基本的NAT，它仅将内网主机的私有IP地址转换成公网IP地址，但并不将TCP/UDP端口信息进行转换，有动态与静态之区分。由于现在大部分都属于另一种类型，即NAPT，故这里不详细讨论基础NAT。
另外一种NAT叫做NAPT（Network Address/Port Translator），从名称上我们也可以看得出，NAPT不但会改变经过这个NAT设备的IP数据报的IP地址，还会改变IP数据报的TCP/UDP端口。NAPT的地址及端口的转换过程，请看图5-4：

私有网络中某一主机Client A（10.0.0.2），它的某个进程通过1234端口，想访问外网服务器18.181.0.31的1235端口。那么当数据包通过NAT时，这个NAT的外网地址是155.99.25.11，首先NAT会改变这个数据包的原IP地址，改为155.99.25.11。并分配一个端口（如62000）给Client A，把数据包的原端口号改为62000。所以本来是（10.0.0.2:1234->18.181.0.31:1235）的数据包到了互联网上变为了（155.99.25.11:62000->18.181.0.31:1235），如图5-4左图所示。NAT会记住62000端口对应的是10.0.0.2的1234端口，以后从外网服务器18.181.0.31发送到62000端口的数据会被NAT自动的改变目的IP和端口号，然后转发到10.0.0.2上（如图5-4右图所示）
锥型NAT与对称型NAT

NAPT又分为锥型（Cone）和对称型（Symmetric），如图5-5所示，它们的区别在于，在NAT已分配端口号给Client A的情况下，如果Client A继续用1235端口与另一外网服务器通讯，锥型NAT还会继续用原来62000端口，即所分配的端口号不变。而对于对等型NAT，NAT将会分配另一端口号（如62001）给Client A的1235端口。也就是说，同一内网主机同一端口号，对于锥型NAT，无论与哪一外网主机通讯，都不改变所分配的端口号；而对于对等型NAT，同一内网主机同一端口号，每一次与不同的外网主机通讯，就重新分配另一个端口号。
完全锥型NAT、受限制锥型NAT与端口受限制型NAT
锥型NAT可另外分类为完全锥形（Full Cone）NAT，受限制锥形（Restricted Cone）NAT，端口受限制锥形（Port Restricted Cone）NAT。
①完全锥形（Full Cone）NAT
这种NAT内部的主机A连接过外网主机C后，NAT会打开一个端口。然后外网的任何发到这个打开的端口的UDP数据报都可以到达A，不管是不是C发过来的[12]。
例如 A: 192.168.8.100  NAT: 202.100.100.100  C: 292.88.88.88
A(192.168.8.100:5000) -> NAT(202.100.100.100:8000) -> C(292.88.88.88:2000)
任何发送到NAT(202.100.100.100:8000)的数据都可以到达A(192.168.8.100:5000)。
②受限制锥形（Restricted Cone）NAT
这种NAT内部的主机A连接过外网的主机C后，NAT打开一个端口。然后C可以用任何端口和A通信，但其他的外网主机不可以。
例如 A: 192.168.8.100  NAT: 202.100.100.100  C: 292.88.88.88
A(192.168.8.100:5000) -> NAT(202.100.100.100:8000) -> C(292.88.88.88:2000)
任何从C发送到NAT(202.100.100.100:8000)的数据都可以到达A(192.168.8.100:5000)。
③端口受限制锥形（Port Restricted Cone）NAT
这种NAT内部的主机A连接过外网的主机C后，NAT打开一个端口。然后C只能用原来的端口和A通信，其他的外网主机不可以。
例如 A: 192.168.8.100  NAT: 202.100.100.100  C: 292.88.88.88
A(192.168.8.100:5000) -> NAT(202.100.100.100:8000) -> C(292.88.88.88:2000)
只有C(202.88.88.88:2000)发送到 NAT(202.100.100.100:8000)的数据都可以到达A(192.168.8.100:5000)。
NAT产生的问题
NAT很好地解决了地址紧缺的问题，屏蔽了内部网络，但也带来一些问题。内网的主机向外连接是很容易的（NAT相当于透明的，内网的和外网的主机均不用知道NAT的情况）。但如果外部的计算机想访问子网内的计算机就比较困难了，这可以使内网主机先发起连接从而解决问题。但是如果两台主机都分别位于两不同NAT后面时，两台主机无法通信。当分别位于两不同NAT（NAT A，NAT B）后面的两台主机A和B欲进行通讯时，若主机B主动发起连接，它该连哪个地址呢？第一种情况：试图直接连到主机A的内网私有地址（10.0.0.2:1234）肯定会失败，因为10.0.0.2根本就不是一个可以在公网上路由的IP地址；第二种情况，试图直接连到B的NAT公有地址（155.99.25.11:62000），NAT A会拒绝这个数据包，因为这个端口并无绑定内网主机的某个端口，或即使有所绑定，但这个端口所绑定的外网地址和端口并不是B的地址和端口。若A主动连接B，结果一样。
有两种方法解决这个问题。方法一：通过服务器，服务器作为中间人，转发主机间的数据。但若用户数量到达一定数目时，这方法浪费带宽且给服务器带来很大压力，所以方法不可行。方法二，还是通过服务器，但服务器只充当“介绍人”，不转发主机间的数据，具体请看下面的“UDP打孔技术” （UDP hole punching）
穿透NAT——UDP打孔技术
所谓的“打孔技术”，就是在内网的NAT设备上打上一个“孔”（也就是在NAT上建立一个会话，绑定地址和端口号），这个孔不能由外部来打，只能由内网内的主机来打。而且这个孔可能是有方向的，比如从内部某台主机（比如：192.168.0.10）向外部的某个IP(比如：219.237.60.1)发送一个UDP包，那么就在这个内网的NAT设备上打了一个方向为219.237.60.1的“孔”，以后219.237.60.1就可以通过这个孔与内网的192.168.0.10联系了[13]。
下面就根据NAT的各种类型详细解析如何“打孔”，如何穿透NAT。
1．完全锥形（Full Cone）NAT
处于不同内网的主机A和主机B，各自先连接服务器，从而在各自NAT设备上打开了一个“孔”，服务器收到主机A和主机B的连接后，知道A与B的公网地址和NAT分配给它们的端口号，然后把这些NAT地址与端口号告诉A与B，由于在完全锥形NAT的特点，A和B给服务器所打开的“孔”，能给别的任何的主机使用。故A与B可连接对方的公网地址和端口直接进行通信。服务器在这里充当“介绍人”，告诉A与B对方的地址和端口号。
2．受限制锥形（Restricted Cone）NAT
A和B还是要先连接服务器，服务器发送A和B的地址和端口信息给A和B，但由于受限制锥形NAT的特点，他们所打开的“孔”，只能与服务器通信。要使他们可以直接通信，解决办法如下：
假如主机A开始发送一个UDP信息到主机B的公网地址上，与此同时，它又通过服务器中转发送了一个邀请信息给主机B，请求主机B也给主机A发送一个UDP信息到主机A的公网地址上。这时主机A向主机B的公网IP发送的信息导致NAT A打开一个处于主机A的和主机B之间的会话，与此同时，NAT B也打开了一个处于主机B和主机A的会话。一旦这个新的UDP会话各自向对方打开了，主机A和主机B之间就可以直接通信了[14]。
3．端口受限制锥形（Port Restricted Cone）NAT
对于该类型的NAT，解决办法跟上面的方法一样。
4．对称型（Symmetric）NAT
对称型NAT，对于不同的外网主机地址，它都会分配不同的端口号，所以进行UDP打孔比较困难，但也可以进行端口预测打孔，不过不能保证成功。
以上的穿透NAT，是对NAPT来进行穿透，主要是针对UDP协议。TCP协议也有可能，但是可行性非常小，要求更高。并且，语音视频通信是用UDP传输的，故针对TCP的NAT穿透在这里不作讨论。基础NAT不修改经过的数据包的端口号，它们可以看作是完全锥形NAT的精简版本，即基础NAT也可以被穿透。NAT设备将在一定时间后关闭UDP的一个映射，所以为了保持与服务器能够一直通信，服务器或客户端必须要周期性地发送UDP包，保持映射不被关闭。
目前比较常用的NAT类型是完全锥型NAT
　

如图6-7所示，步骤如下：
①客户端A发UDP数据报经NAT A，把数据发送到服务器。NAT A分配端口给客户端A。服务器接收到信息后，把客户端A经NAT A后的地址及端口信息记录下来。
②客户端B发UDP数据报经NAT B，把数据发送到服务器。NAT B分配端口给客户端B。服务器接收到信息后，把客户端B经NAT B后的地址及端口信息记录下来。
③ 服务器把客户端B的地址及端口信息发送给客户端A，把客户端A的地址及端口信息发送给客户端B，客户端A、B就可以通过所获得的对方的地址及端口号进行通信了。

【备注：本文摘自网络文章，特此备注，仅供分享学习！】。有部分看过本文的博友发现文章中有出现错误的地方，请大家都能够把发现的错误写在评论上面，以做修正！谢谢各位啦！

评论这张

转发至微博

阅读(5412)| 评论(10)

历史上的今天

this.p={  m:2,
              b:2,
              loftPermalink:'',
              id:'fks_081069081087086069086081087095085082081070086095087075087',
              blogTitle:'解决外网与内网或内网之间的通信，NAT穿透',
              blogAbstract:'\r\n<DIV\>在网络编码中会发现程序在局域网中是可以适用的，但是在外网与内网之间和内网与内网之间就不可行。 <BR\>问题就在于NAT。首先介绍下NAT。 <BR\><WBR\>NAT的作用<WBR\>NAT(Network Address Translator)<WBR\>，网络地址转换。顾名思义，它是一种把内部私有网络IP<WBR\>地址翻译成公有网络IP<WBR\>地址的技术，如图5-1<WBR\>所示。NAT<WBR\>是在IP<WBR\>地址日益缺乏的情况下产生的，它的主要目的是使地址能够重用[9]<WBR\>。 <BR\><WBR\><A target=\"_blank\" rel=\"nofollow\" href=\"http://b16.photo.store.qq.com/http_imgload.cgi?/rurl4_b=0b3b5c6e811763380d4a8bd65c0d6827cda8d5bffe9fb6979adea38b3963313b69f8c2867e87cb40293ddbdd305002729b16ef82db423c632c65287f95b3f3484d8d2e48083e9335537d2679026e96c5d1da3a51\"  \></A\></DIV\>',
              blogTag:'nat,主机,内网,地址,端口',
              blogUrl:'blog/static/14052918320108179167151',
              isPublished:1,
              istop:false,
              type:0,
              modifyTime:1456126973218,
              publishTime:1284686167151,
              permalink:'blog/static/14052918320108179167151',
              commentCount:10,
              mainCommentCount:2,
              recommendCount:0,
              bsrk:-100,
              publisherId:0,
              recomBlogHome:false,
              currentRecomBlog:false,
              attachmentsFileIds:[],
              vote:{},
              groupInfo:{},
              friendstatus:'none',
              followstatus:'unFollow',
              pubSucc:'',
              visitorProvince:'',
              visitorCity:'',
              visitorNewUser:false,
              postAddInfo:{},
              mset:'000',
              mcon:'',
              srk:-100,
              remindgoodnightblog:false,
              isBlackVisitor:false,
              isShowYodaoAd:false,
              hostIntro:'需要改变！',
              hmcon:'1',
              selfRecomBlogCount:'0',
              lofter_single:'<iframe width="140" height="560" style="overflow:hidden;" src="http://www.lofter.com/mailEntry.do?blogad=1&blog" frameBorder="0"></iframe>'
            }

{list a as x}
    {if !!x}
    <div class="iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
      {if x.visitorName==visitor.userName}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        {if x.moveFrom=='wap'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/wapblog.html?frompersonalbloghome"><span title="来自网易手机博客" class="iblock wapIcon"> </span></a>
        {elseif x.moveFrom=='iphone'}
          <a class="noul pnt" target="_blank"><span title="来自iPhone客户端" class="iblock iphoneIcon"> </span></a>
        {elseif x.moveFrom=='android'}
          <a class="noul pnt" target="_blank"><span title="来自Android客户端" class="iblock androidIcon"> </span></a>
        {elseif x.moveFrom=='mobile'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/emsblog.html?frompersonalbloghome"><span title="来自网易短信写博" class="iblock wapIcon"> </span></a>
        {/if}
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
          ${fn(x.visitorNickname,8)|escape}
        </a>
      </div>
    </div>
    {/if}
    {/list}

<#--最新日志，群博日志--> <#--推荐日志-->

<p class="fc06">推荐过这篇日志的人：</p>
    <div>
      {list a as x}
      {if !!x}
      <div class="iblock nbw-fce nbw-f40">
        <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
        <img alt="${x.recommenderNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.recommenderName)}"/>
        </a>
        <div class="cwd thide">
          <a class="fc03 m2a" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
            ${fn(x.recommenderNickname,6)|escape}
          </a>
        </div>
      </div>
      {/if}
      {/list}
    </div>
    {if !!b&&b.length>0}
    <p  class="fc06">他们还推荐了：</p>
    <ul>
    {list b as y}
      {if !!y}
        <li class="rrb"><span class="iblock">·</span><a class="fc03 m2a" target="_blank" href="http://blog.163.com/${y.recommendBlogPermalink}/?from=blog/static/14052918320108179167151">${y.recommendBlogTitle|escape}</a></li>
      {/if}
    {/list}
    </ul>
    {/if}

<#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇，下一篇--> <#-- 热度 -->

{list a as x}
    {if !!x}
    <div class="hotItem iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
      {if x.publisherUsername==visitor.userName}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
          ${fn(x.publisherNickname,8)|escape}
        </a>
      </div>
      <a class="f-myLikeIcons hottype {if x.type==1} js-liketype{elseif x.type==2} js-reblogtype{elseif x.type==3} js-sharetype{else}{/if}" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/"> </a>
    </div>
    {/if}
    {/list}

<#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->

页脚

我的照片书 - 手机博客 - 下载LOFTER APP - 订阅此博客

农猪的小窝

导航

日志

解决外网与内网或内网之间的通信，NAT穿透

历史上的今天

最近读者

热度

评论

页脚