肖堅

摘要：網(wǎng)絡(luò)技術(shù)快速發(fā)展，聯(lián)網(wǎng)設(shè)備的數(shù)量也愈來愈多且多樣化，為了解決IP地址短缺及提升網(wǎng)絡(luò)安全性，大部分的聯(lián)網(wǎng)設(shè)備都會通過網(wǎng)絡(luò)地址轉(zhuǎn)換器（Network Address Translator;NAT）與其他設(shè)備互聯(lián)，由于NAT會提供網(wǎng)絡(luò)地址的轉(zhuǎn)換，并對封包的傳輸有所限制，導(dǎo)致設(shè)備與設(shè)備之間的傳輸會因封包無法穿透NAT而出現(xiàn)問題。因此，如何穿透NAT變成一個重要的研究議題。建立中繼聯(lián)機(jī)及點對點直接聯(lián)機(jī)，并提出一個協(xié)同式NAT穿透方法，以兼顧成功穿透率、傳輸效率及節(jié)省網(wǎng)絡(luò)帶寬的使用。

關(guān)鍵詞：網(wǎng)絡(luò)地址轉(zhuǎn)換; 中繼服務(wù)器;點對點;網(wǎng)絡(luò)地址轉(zhuǎn)換穿透

中圖分類號：TP393? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）23-0050-02

1 前言

現(xiàn)今網(wǎng)絡(luò)技術(shù)快速發(fā)展，加上物聯(lián)網(wǎng)（Internet of Things; IoT）[1][2]的觀念也愈來愈成熟，連上網(wǎng)絡(luò)的設(shè)備愈來愈多，設(shè)備與設(shè)備之間的數(shù)據(jù)傳輸也愈來愈多元，除了信息的傳輸外，還有大量的多媒體信息。

為了提升網(wǎng)絡(luò)安全性，設(shè)備與設(shè)備之間的網(wǎng)絡(luò)環(huán)境也愈來愈復(fù)雜，據(jù)統(tǒng)計至少有超過70%的聯(lián)網(wǎng)設(shè)備都會通過NAT與其他設(shè)備互聯(lián)，由于 NAT 會提供網(wǎng)絡(luò)地址的轉(zhuǎn)換，并對封包的傳輸有所限制，因此常導(dǎo)致設(shè)備與設(shè)備之間的數(shù)據(jù)無法直接傳輸，因此如何穿透NAT是一個重要的研究議題。

現(xiàn)行網(wǎng)絡(luò)上的NAT大致分成四種形態(tài)，分別為一對一NAT 、地址限制 NAT 、端口限制NAT及對稱式NAT [3]。由于對稱式NAT對于封包進(jìn)出的限制最為嚴(yán)格，且因為對稱式NAT在現(xiàn)行網(wǎng)絡(luò)環(huán)境中愈來愈普及，對于點對點之間網(wǎng)絡(luò)傳輸成功率也帶來更多的不確定性。

2 文獻(xiàn)研究

在文獻(xiàn)[6]中，提出一個設(shè)備可以先與其他設(shè)備建立一種主要點對點傳輸信道，此設(shè)備并可以利用此主要傳輸通道再建立多條次要點對點傳輸通道，若偵測主要傳輸信道失敗或傳輸質(zhì)量降低，則次要傳輸通道可以取代原本的主要傳輸通道成為之后傳輸?shù)闹饕ǖ?，在這個方法當(dāng)中，并沒有考慮使用中繼服務(wù)器來穿透 NAT ，故若在對稱式 NAT 的網(wǎng)絡(luò)環(huán)境下，仍然很容易造成無法穿透NAT的情況。文獻(xiàn)[7]的研究當(dāng)中，會先判斷點對點直接穿透NAT是否可行，若可行，則嘗試建立點對點直接聯(lián)機(jī)，若判斷點對點直接穿透NAT不可行，或是建立點對點直接聯(lián)機(jī)失敗，則會使用中繼服務(wù)器來建立中繼聯(lián)機(jī)，并用中繼聯(lián)機(jī)傳送數(shù)據(jù)。在這個方法當(dāng)中有幾個缺點，第一，當(dāng)一端設(shè)備為對稱式 NAT 且另一端設(shè)備為對稱式NAT或端口限制NAT時，在這個研究當(dāng)中都判斷為點對點直接穿透NAT不可行，然而，在這些網(wǎng)絡(luò)環(huán)境下，只要適當(dāng)運用端口預(yù)測技術(shù)及hole punching 技術(shù)，利用點對點的方式仍有可穿透的機(jī)會。第二，如同文獻(xiàn)[5]，仍會有聯(lián)機(jī)延遲的問題。在文獻(xiàn)[4]的研究當(dāng)中，設(shè)備與設(shè)備之間可以先利用隧道（tunneling） 技術(shù)通過中繼服務(wù)器來穿透NAT，建立中繼聯(lián)機(jī)后即可開始傳送數(shù)據(jù)，因此不會有傳輸延遲的問題，中繼聯(lián)機(jī)建立后再嘗試建立點對點直接聯(lián)機(jī)，若點對點直接聯(lián)機(jī)被成功建立，則可利用點對點直接聯(lián)機(jī)傳送數(shù)據(jù)，并于適當(dāng)時機(jī)終止中繼聯(lián)機(jī);若點對點直接聯(lián)機(jī)沒有成功建立，則使用中繼聯(lián)機(jī)傳輸。在這個方法當(dāng)中，在點對點直接聯(lián)機(jī)可以建立卻建立失敗的情況下，未再重新做端口預(yù)測跟設(shè)定，因此也未再嘗試建立點對點直接聯(lián)機(jī)，導(dǎo)致傳輸?shù)男式档?、傳輸成本提高?/p>

3 協(xié)同式NAT穿透方法

由于借由中繼服務(wù)器的協(xié)助能有很高的NAT穿透率，另一方面，點對點NAT穿透率雖然較低，但使用點對點聯(lián)機(jī)傳輸能提升傳輸效率并降低傳輸成本，因此這個研究的概念是兩端設(shè)備分別先后與對方嘗試建立中繼聯(lián)機(jī)及點對點聯(lián)機(jī)，并用一種協(xié)同機(jī)制來決定何時需采用中繼聯(lián)機(jī)機(jī)制、何時采用點對點聯(lián)機(jī)機(jī)制來傳輸以達(dá)到穿透NAT并兼顧傳輸效率、傳輸成本等目的。

基于這樣的機(jī)制，若點對點直接聯(lián)機(jī)可建立成功，則可利用點對點直接聯(lián)機(jī)傳輸以提升傳輸效率，同時并將中繼聯(lián)機(jī)刪除以減少中繼轉(zhuǎn)傳成本;若點對點直接聯(lián)機(jī)無法建立或是被判斷可建立卻建立失敗，則可直接用中繼聯(lián)機(jī)來傳輸，也不會造成因需要等待建立聯(lián)機(jī)而造成的傳輸延遲。另外，在點對點直接聯(lián)機(jī)被判斷為可以建立卻建立失敗的情況，通常都是因為NAT外部的通訊端口被占用而導(dǎo)致聯(lián)機(jī)建立失敗，因此在這種情況，則在利用中繼聯(lián)機(jī)傳輸?shù)耐瑫r仍會持續(xù)嘗試建立點對點直接聯(lián)機(jī)，待點對點直接聯(lián)機(jī)建立成功，則可進(jìn)一步將中繼聯(lián)機(jī)刪除。

3.1 設(shè)備與NAT的信息搜集及交換

本方法在一個設(shè)備嘗試與另一個設(shè)備聯(lián)機(jī)或是當(dāng)一個設(shè)備接受其他設(shè)備聯(lián)機(jī)的請求時，會先與中繼服務(wù)器注冊，以便之后建立中繼聯(lián)機(jī)，接著會通過STUN 服務(wù)器的協(xié)助來取得與設(shè)備連接的NAT 的外部IP 位置，并搭配端口預(yù)測算法來預(yù)測與設(shè)備連接的NAT的外部端口配置（以下稱為映射端口） 以便通過映像端口來傳送封包，如多媒體串流等。

做完映像端口預(yù)測，接著會做與設(shè)備連接的NAT形態(tài)辨識，并將點對點直接聯(lián)機(jī)所需信息與另一設(shè)備交換，另外，若映射端口無法預(yù)測，則映射端口值為0。

3.2 建立中繼聯(lián)機(jī)

當(dāng)設(shè)備收到另一設(shè)備的點對點直接聯(lián)機(jī)所需信息，則可先通過中繼服務(wù)器穿透NAT以建立中繼聯(lián)機(jī)，并開始通過中繼聯(lián)機(jī)傳送與接收數(shù)據(jù)。接著可使用連接兩端設(shè)備的NAT的形態(tài)及映像端口這兩個信息來判斷設(shè)備間的點對點直接聯(lián)機(jī)的可行性。

3.3 點對點直接聯(lián)機(jī)的可行性判斷

由于在對稱式NAT 中每一個NAT 內(nèi)部地址對應(yīng)不同的目的地，都對應(yīng)到不同的NAT外部地址，且NAT外部位元址的配置有的是有規(guī)則性的，有的則是沒有規(guī)則性的，因此對稱式NAT的映射端口有的是可預(yù)測，有的是不能預(yù)測的，而一對一NAT、地址限制NAT及端口限制NAT這三種形態(tài)的NAT的映像端口皆可預(yù)測。

3.4 協(xié)同式NAT穿透

若依上述判斷方法判斷點對點直接聯(lián)機(jī)不可行，則不建立點對點直接聯(lián)機(jī)，只通過中繼聯(lián)機(jī)傳送/接收數(shù)據(jù);若判斷點對點直接聯(lián)機(jī)可行，則會利用接收到的點對點直接聯(lián)機(jī)所需信息的與設(shè)備連接的NAT外部IP地址及預(yù)測的映像端口嘗試與另一設(shè)備建立點對點直接聯(lián)機(jī)，若點對點直接聯(lián)機(jī)成功建立，則會馬上刪除中繼聯(lián)機(jī)，使用點對點直接聯(lián)機(jī)來傳送/接收數(shù)據(jù)以提升傳輸效率、降低傳輸成本。另一方面，若點對點直接聯(lián)機(jī)被判斷可行但卻因映像端口被占用而建立失?。?即數(shù)據(jù)無法通過所建立的點對點聯(lián)機(jī)正常接收），則會再次嘗試建立點對點直接聯(lián)機(jī)。

當(dāng)再嘗試建立點對點直接聯(lián)機(jī)，設(shè)備會重新作映像端口的配置，包含發(fā)送請求至某臺STUN服務(wù)器以獲得目前NAT映像端口配置的情況，依據(jù)目前的情況做接下來的映像端口配置，并再次與其他設(shè)備交換點對點直接聯(lián)機(jī)所需信息，重新利用新收到的點對點直接聯(lián)機(jī)所需信息的與設(shè)備連接的NAT外部IP地址及預(yù)測的映像端口再嘗試與另一設(shè)備建立點對點直接聯(lián)機(jī)，待點對點直接聯(lián)機(jī)成功建立，再將中繼聯(lián)機(jī)刪除改由使用點對點直接聯(lián)機(jī)進(jìn)行傳輸。

然而，如果多次嘗試建立點對點直接聯(lián)機(jī)皆失敗，則設(shè)備會改用收到的點對點直接聯(lián)機(jī)所需信息的設(shè)備所在本地網(wǎng)絡(luò)地址與另一設(shè)備建立點對點直接聯(lián)機(jī)，會采用此機(jī)制是因為有些無線網(wǎng)絡(luò)基地臺并不支持NAT loopback，在這種情況，若兩端設(shè)備同時連上此基地臺時，用NAT外部地址來建立聯(lián)機(jī)是無法建立成功的。

3.5 實施方式及流程

基于上述所提出的方法，我們使用市面上普遍可見的無線路由器來做實驗，兩端設(shè)備分別連上各式無線路由器，不同的無線路由器呈現(xiàn)不同的NAT形態(tài)，其點對點直接聯(lián)機(jī)的成功率實驗結(jié)果如表1所示。有部分設(shè)備連到D-link無線路由器，在雙方協(xié)調(diào)好映射端口之后，當(dāng)要開始傳輸多媒體串流數(shù)據(jù)時，這些設(shè)備的數(shù)據(jù)卻是從另外一個隨意選擇的映像端口送出而不是當(dāng)初協(xié)調(diào)好的映射端口，當(dāng)這種情形發(fā)生，如果另外一個設(shè)備的 NAT 形態(tài)為端口限制或是對稱式NAT時，將導(dǎo)致點對點直接聯(lián)機(jī)傳輸失敗，如表1的符號“x”所處的情形，在這種情形發(fā)生時，只能使用中繼聯(lián)機(jī)來傳輸，但如表1所示，大部分點對點直接聯(lián)機(jī)傳輸是可行的。

4 結(jié)論

本論文所提出的方法，借由先建立傳輸成功率較高的中繼聯(lián)機(jī)，再嘗試建立傳輸效率較高、傳輸成本較低的點對點聯(lián)機(jī)，而可節(jié)省使用者等待嘗試建立點對點聯(lián)機(jī)的時間，并且盡量使用傳輸效率較高、傳輸成本較低的點對點聯(lián)機(jī)，可同時具有傳輸效率更高、傳輸成本更低的方式且傳輸成功率更高的效果。

參考文獻(xiàn)：

[1] 方承志，程宥鋮，火興龍.基于MLS的窄帶物聯(lián)網(wǎng)系統(tǒng)下行信道估計算法[J/OL]. 計算機(jī)工程，2019（5）.

[2] 周童.嵌入式系統(tǒng)在物聯(lián)網(wǎng)領(lǐng)域中的應(yīng)用[J/OL].電子技術(shù)與軟件工程，2019（10）：197.

[3] 陳恒勛，閆永航，孟丹，等.NAT穿越技術(shù)研究[J].現(xiàn)代信息科技，2020，4（6）：94-98.

[4] 賀清碧，黃大榮，趙玲.網(wǎng)絡(luò)地址轉(zhuǎn)換器友好通訊構(gòu)件的設(shè)計與實現(xiàn)[J].科學(xué)技術(shù)與工程，2016，16（18）：197-203，224.

[5] Interactive Connectivity Establishment （ICE）： A Protocol for Network Address Translator （NAT） Traversal for Offer/Answer Protocols， RFC 5245， 2010.

[6] Berkat S. Tung， Barry A. Whitebook， Joe S. Abuan， H. Jeong， Y. Yang and R. Garcia， “Apparatus and method for establishing and utilizing backup communication channels，” U.S. Patent 8 819 244， Aug. 26， 2014.

[7] Andrew H. Vyrros， Jeremy Matthew Werner and Patrick Gates， “Apparatus and method for inviting users to online sessions，” U.S. Patent 8 412 833， Apr. 2， 2013.

【通聯(lián)編輯：代影】