UDP punch(打洞|穿透)

本文主要是介绍UDP punch(打洞|穿透)，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

目标

路由穿透，实现广域网P2P通讯。

4种典型NAT类型

按照NAT设备在进行地址映射时行为的不同，NAT可以分为以下四种： 

1)Full-cone NAT, also known as one-to-one NAT

• 一旦一个内网地址 (iAddr:iPort) 被映射到一个外部地址 (eAddr:ePort), 来自 iAddr:iPort 的任何数据包将通过 eAddr:ePort 发送.
• 任何外部主机能够通过eAddr:ePort这个地址发送数据包到iAddr:iPort.

2)Address-restricted-cone NAT

• 一旦一个内网地址 (iAddr:iPort) 被映射到一个外部地址 (eAddr:ePort), 来自 iAddr:iPort 的任何数据包将通过 eAddr:ePort 发送.
• 仅只有接收到主机(iAddr:iPort)通过eAddr:ePort发送的数据包的外部主机通过该主机的任何端口发送到eAddr:ePort的数据包才能够被正确的转发到iAddr:iPort.也就是说主机有关端口无关.

3)Port-restricted cone NAT

类似于address restricted cone NAT, 但是端口号有限制.

• 一旦一个内网地址 (iAddr:iPort) 被映射到一个外部地址 (eAddr:ePort), 来自 iAddr:iPort 的任何数据包将通过 eAddr:ePort 发送.
• 仅只有接收到主机(iAddr:iPort)通过eAddr:ePort发送的数据包的外部主机通过该主机的相同端口发送到eAddr:ePort的数据包才能够被正确的转发到iAddr:iPort.

4)Symmetric NAT

• 来自相同内部ip和port发送到相同目的地ip和port的请求被映射到唯一的外部ip和port地址；如果相同的内部主机采用相同的ip和port地址发送到不同的目的地，那么重新分配映射地址。
• 只有先前收到内部主机发送的包的外部主机才能够发送返回包到内部主机。

针对前面三种NAT类型（即cone NAT）只要通信双方彼此知道对方的内部地址和外部地址的映射关系，然后通过UDP打洞的方式就可以建立相互连接的通信；但是第四种也就是Symmetric NAT的话由于每次向不同目的地发送数据包时采用不同的外部地址，也就没办法通过直接的方式建立P2P连接。

如何判断本机NAT类型

可以通过PyStun来判断：

NAT Type: Full Cone
External IP: 180.160.213.93
External Port: 32130

几种现代穿透协议

STUN(Session Traversal Utilities for NAT)

STUN协议为终端提供一种方式能够获知自己经过NAT映射后的地址，从而替代位于应用层中的私网地址，达到NAT穿透的目的。STUN协议是典型的Client-Server协议，各种具体应用通过嵌入STUN客户端与STUN Server端通讯来完成交互。 

在典型的运用STUN进行NAT穿透的场景中，STUN客户端首先向位于公网上的STUN服务器 发送Binding Request消息，STUN服务器接收到请求消息后识别出经过NAT转换后的公网地址60.1.1.1:12345，将其附加在Binding Response消息中返回给客户端。客户端得到这个地址 后用它替换SDP中的私网地址与终端B完成媒体协商。使用STUN进行NAT穿透对应用的要 求是必须使用同样的端口与STUN服务器交互和进行应用层通讯，比如当希望使用端口 37000进行RTP包的NAT穿透时，必须同样使用37000端口与STUN服务器通讯，否则从STUN服务器获得的NAT映射后的地址一般与实际地址时不一样的。另一个要求是STUN客户端与 服务器端的通讯和应用使用获得的NAT映射地址进行应用层通讯在时间上必须有连贯性， 这源于NAT设备建立的绑定有生存时间，当原绑定消亡后，NAT设备为同一个私网地址建 立的新绑定往往不同，因此转换后的公网地址是不同的。

 

STUN方案的特性如下表：

 

特性	说明
实现复杂度	实现简单
TCP穿透支持	不支持
对现有设备的要求	要求客户端支持，对现有NAT设备无改动要求，需增加STUN服务器
可扩展性	可扩展性好，与具体协议无关
安全性	一般
健壮性	差，不支持symmentric型NAT
其他	支持自动检测NAT类型，使用户即使在使用STUN协议无法实现NAT 穿透时还可以根据NAT类型自主选择其他可使用的NAT穿透方案

TURN(Traversal Using Relay NAT)

TURN解决NAT穿透的思路与STUN类似，都是通过修改应用层中的私网地址达到NAT穿透。 与STUN不同的是，TURN是通过两方通讯的“中间人”的方式实现穿透，在这种方式下， 要进行通讯的两方分别与位于公网上的TURN服务器建立各自的连接进行通讯，由服务器负 责在两方之间进行数据转发。要达到这个目的，实现TURN客户端的终端必须在通讯开始前 与TURN服务器进行交互，得到服务器为其临时分配的位于TURN服务器上的公网地址，客户端使用它替换位于应用层中的私网地址。

TURN方案的特性如下表：

 

特性	说明
实现复杂度	难于实现。TURN的安全性设计增加终端设置的复杂度
TCP穿透支持	支持
对现有设备的要求	对现有NAT设备无要求，要求客户端支持，需增加TURN服务器s
可扩展性	可扩展性好，与具体协议无关
安全性	一般
健壮性	好，支持所有类型的NAT
其他	与P2P穿透方式相比，性能时relay穿透方式的弱点。另外TURN无法 实现负载分担，解决的方式是把media relay服务器的分配工作放在 SIP proxy完成

ICE(Interactive Connectivity Establishment)

与STUN和TURN相比，ICE并非是解决NAT穿透问题的协议，而是一个框架，在这个框架中， 可以整合其他现存的NAT穿透协议，如STUN、TURN、RSIP等。区别于其他的NAT穿透解 决方案，ICE是一种探索和更新式的解决方案，通过搜集自身和对端尽可能多的网络信息（各种网络地址），尝试在这些地址间建立数据通道，并在这一过程中不断更新先前收集到的信息，从而找出和选择能够进行NAT穿透的数据通道。

在通常的ICE部署环境中，我们有两个客户端想要建立通信连接，他们可以直接通过signaling服务器（如SIP服务器）执行offer/answer过程来交换SDP消息。

在ICE过程开始的时候，客户端忽略他们各自的网络拓扑结构，不管是不是在NAT设备后面或者多个NAT后面，ICE允许客户端发现他们的所在网络的拓扑结构的信息，然后找出一个或者更多的可以建立通信连接的路径。

下图显示了一个典型的ICE部署环境，客户端L和R都在各自的NAT设备后面，下面简单描述下ICE建立通信的过程：

（1）L和R先分别通过STUN和TURN服务器获取自己的host address,server-reflexive address、relayed address（和TURN转发服务器相对应的地址），其中server-reflexive address和relayed address通过定时刷新保证地址不过期。这些地址通常叫做candidate地址。

（2）给这些candidate地址分配优先级排序并格式化成SDP格式，通过SIP服务器交换彼此的SDP；

（3）交换完成后根据一定的原则把本地的候选和远程的候选进行配对，每一对都有自己的优先级并根据优先级进行排序后放入Check列表里面（两边都会有相同的Check列表）。

（4）然后进行连接性测试，测试前会选择一个客户端扮演Controlled角色和另一个扮演Controlling角色，连通性检查完成后扮演Controlling角色的客服端负责在有效的Candidate对列表里面选择一个作为一个被选中的传输通道并通知Controlled的客服端。

（5）利用被选中的candidate地址对进行通信。

v=0
o=ice4j.org 0 0 IN IP4 192.168.106.215
s=-
t=0 0
a=ice-options:trickle
a=ice-ufrag:bc01a
a=ice-pwd:1boove7ehnpo1lqho7unefni36
m=audio 3030 RTP/AVP 0
c=IN 192.168.106.215 IP4
a=mid:audio
a=candidate:1 1 udp 2130706431 192.168.106.215 3030 typ host
a=candidate:2 1 udp 1694498815 121.15.130.xxx 64923 typ srflx raddr 192.168.106.215 rport 3030

这篇关于UDP punch(打洞|穿透)的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！