音视频学习笔记 - WebRTC NAT穿越过程

1. Candidate

它表示WebRTC与远端通信时使用的协议, IP地址和端口, 一般由以下字段组成:

• 本地IP地址
• 本地端口号
• 候选者类型, host, srflx和relay
• 优先级
• 传输协议
• 访问服务的用户名
• ......

如:

{
  IP: xxx.xxx.xxx.xxx,
  port: number,
  type: host/srflx/relay,
  priority: number,
  protocol: UDP/TCP,
  usernameFragment: string
  ...
}

其中, host表示本地主机候选者, srflx表示内网主机映射的外网地址和端口号, relay表示中继候选者.

WebRTC会按照上面描述的格式对候选者进行排序, 然后按优先级从高到低的顺序进行连通性测试, 当连通性测试成功后, 通信双方就建立起了连接.

2. STUN协议

通过STUN协议, 主机可以获取到自己的外网IP地址和端口号.

目前比较流行的STUN服务器是CoTURN.

3. TURN协议

relay类型候选者也是通过STUN协议完成的, 只不过它使用的STUN消息类型与获取srflx型候选者的STUN消息的类型不一样. RFC5766的STUN协议描述了如何获取relay服务器的Candidate过程.

4. NAT打洞 / P2P穿越

如果两台主机不在同一内网, WebRTC将尝试NAT打洞. WebRTC将NAT分为完全锥型, IP限制型, 端口限制型, 对称型.

假设内网主机X的地址表示为xip:xport, NAT外网映射地址表示为nip:nport, 公网主机A,B,C的地址表示为aip:aport, bip:bport, cip:cport....

4.1 完全锥型NAT

8836f91edfcc9a2420e3fd11098f95af

对于输出端, 即内外主机X向外网主机发送的数据, 它们的源地址xip:xport, 都会被映射为"洞"的地址nip:nport.

对于输入端, 即外网主机A, B, C..., 向"洞" nip:nport发送的数据都会被转发到主机X.

4.2 IP限制锥型NAT

6358816cf33831f22338cb26016d028a

对于输出端, 同完全锥型NAT.

对于输入端, 只有X向特定外部主机发送过数据, 该特定外部主机从任意端口发送到 nip:nport的数据, 都会被转发到X, 如上图, X向B发送过数据, B主机的任意端口向nip:nport发送的数据, 才会被转发到X.

4.3 端口限制锥型

d6490bff17fdad51271266cef074920b

对于输出端, 同完全锥型NAT.

对于输入端, 在IP限制锥型的基础上, 添加了端口限制; 即只有X向特定外部主机的特定端口发送过数据, 该特定主机的特定端口向nip:nport发送的数据, 才会被转发到X.

4.4 对称型NAT

a80a2b1c98b8becce0c99e979fa3ba7c

对于输出端, X发出的每一条连接的数据, 都会在NAT上产生一条映射关系, NAT网关会把内部主机地址端口对(如:xip:xport)和外部主机地址端口对(如:aip:aport)完全相同的报文看做一个连接, 如主机X向主机A的a端口发数据时在NAT上产生的映射关系R1与向主机A的b端口发送的数据, 产生的映射关系R2是不同的, 每个不同的四元组(源ip:port, 目的ip:port), 在NAT上都是一个新的"洞".

对于输入端, 同端口限制锥型.

NAT的类型检测

1. 判断是否有NAT防护

   1. 主机向服务器#1的某个IP和端口发送一个请求, 服务器#1收到请求后, 会通过同样的IP和端口返回一个响应消息.

   2. 如果主机收不到服务器#1返回的消息, 说明用户的网络限制了UDP协议, 直接退出.

   3. 如果能收到包, 则判断返回的主机的外网IP地址是否与主机自身的IP地址一样, 如果一样, 说明主机是一台拥有公网地址的主机, 如果不一样, 跳到第六步.

   4. 如果主机拥有公网IP, 则还需要进一步判断其防火墙类型, 所以它会再向服务器#1发一次请求, 此时, 服务器#1从另外一个网卡的IP和不同端口返回响应消息.

   5. 如果主机能收到, 说明它是一台没有防护的公网主机; 如果收不到, 说明有对称型的防火墙保护.

   6. 如果返回的外网IP地址与主机IP不一致, 说明主机处于NAT防护下, 此时需要对主机的NAT防护类型做进一步探测.

2. 探测NAT环境

   1. 在NAT环境下, 主机向服务器#1发送请求, 服务器#1通过另外一个网卡的IP和不同端口给主机返回响应消息.
   2. 如果此时主机可以收到响应消息, 说明它是在完全锥型NAT下, 如果收不到消息, 需要做进一步判断.
   3. 如果主机收不到消息, 它向服务器#2发请求, 服务器#2使用收到请求的IP地址和端口向主机返回消息.
   4. 主机收到消息后, 判断从服务器#2获取的外网IP和端口与之前从服务器#1获取的外网IP和端口是否一致, 如果不一致, 说明该主机是在对称型NAT下.
   5. 如果IP地址一样, 则再次发送请求, 此时主机向服务器#1发请求, 服务器#1使用同样的IP和不同的端口返回消息.
   6. 此时, 如果主机可以收到响应消息, 说明是IP限制型NAT, 否则是端口限制型NAT.