Работа технологии при наличии NAT

Таким образом, посылая встречные пакеты, узлы проделывают в своих сетевых экранах дырки, через которые уходят их пакеты и приходят пакеты от других узлов.

Условие: программы обмена сообщениями находятся на узлах в локальной сети, где используется NAT. За NAT находятся и узел А, и узел В.

Принцип организации взаимодействия:

1) Узел А посылает пакет серверу, чтобы пройти авторизацию.

Когда пакет отправляется, он проходит через NAT. NAT подменяет адрес отправителя, устанавливая туда свой IP-адрес (100.100.1.1), а также подменяет порт отправителя на некоторый порт из пула портов (со значением, превышающим граничное). Пусть выбран порт 30001.

Измененный пакет приходит на сервер. Сервер по заголовку пакета узнает, что он пришел с узла 100.100.1.1 и порта 30001, а по данным, вложенным в пакет, определяется оригинальный узел-отправитель (узел А с адресом 192.168.1.1, порт 2001);

2) Аналогично происходит авторизация узла В;

Обмен пакетами происходит постоянно: клиент шлет серверу информацию, сервер в ответ периодически шлет состояния.

Например, программа Skype отображает статус пользователей. Эта функциональная возможность является следствием технической реализации: через «дырки», образовавшиеся в сетевых экранах, сервер сообщает узлу информацию об активных контактах.

3) Когда узел А желает позвонить узлу В, он сообщает об этом серверу (пакет вида «А звонит В»). Сервер сообщает эту информацию узлу В. В это же время узел А начинает посылать пакеты на 2 адреса:

4) Первый вариант: пакет от узла А идет на адрес 100.100.2.2, порт 30002. Он проходит через свой NAT и сетевой экран, проделывая «дырочки», однако сетевой экран узла 100.100.2.2 блокирует этот пакет.

В то же время узел В начинает посылать пакеты на адрес узла А (на 2 адреса: 100.100.1.1, порт 30001 и 192.168.1.1, порт 20001). Пакеты проходят через сетевой экран и NAT узла В. Когда пакет доходит до NAT узла A, у NAT уже имеется сохраненное соответствие:

100.100.1.1, порт 30001 -> 192.168.1.1, порт 2001,

поэтому становится возможной обратная трансляция адреса.

Получается, что пакет от узла В дойдет до узла А. То же самое произойдет со следующим пакетом от А к В: он пройдет через сетевые экраны и попадет к узлу В.

Второй вариант: узлы А и В параллельно начинают посылать сообщения на локальные адреса, которые не требуют трансляции. Если узлы находятся в одной локальной сети, то посланный через локальную сеть пакет попадет к получателю напрямую, минуя NAT, проделав «дырочки» в локальных сетевых экранах.

Очевидно, что более быстро выполняются процессы, которые не требуют трансляции адресов, т.е. обмен данными по локальной сети произойдет быстрее, чем через глобальную сеть. В таком случае узлы А и В откажутся от использовании адреса NAT и будут использовать локальные адреса. Это позволяет обеспечить прямое взаимодействие между узлами внутри локальной сети с максимальной скоростью.

Если программа Skype работает в локальной сети, то внутри локальной сети будет обеспечена высокая пропускная способность и безопасность, которая является независимой от внешнего трафика.

Смысл подхода «UDP hole punching» состоит в том, чтобы разблокировать сетевые экраны на любых уровнях: как локальные, так и глобальные сетевые экраны.

Если установить правило на сетевом экране «Для программы Skype весь исходящий UDP-трафик закрыть», то программа лишается возможности отправки данных.

Дата добавления: 2014-11-16; Просмотров: 480; Нарушение авторских прав?; Мы поможем в написании вашей работы!