当前位置：首页 > news >正文

一些主要应用和NAT

news 2025/10/9 6:11:20

NAT(Network Address Translator，网络地址转换器)：功能是把私有IP 地址（LAN 内部，如 192.168.x.x、10.x.x.x）转换成公共IP地址（公网可路由）。NAT被无线路由器广泛使用，解决 IPv4地址不够用的问题，同时也能起到一定的安全隔离作用。

私有地址：包括A 类：10.0.0.0/8，B 类：172.16.0.0/12，C 类：192.168.0.0/16。这些地址不能在公网路由，只能在局域网（LAN）内部使用。例如10.0.0.9，即使ip地址相同，在不同的局域网内完全是不同的设备。

NAT基本模型：当内网主机192.168.1.2:1234像要访问公网8.8.8.8:53并试图建立TCP连接时，NAT会先将其源IP地址A，和源端口B分别修改为自己的IP地址C，一个自己分配的端口D（NAT转换），然后建立（A，B）和（C，D）之间的映射关系。接着使用外部IP地址和端口发送数据包。当NAT收到数据包时，它会查找映射关系，并将数据包的目标IP和端口重写（逆向转换），然后发往正确的对象。

四种不同的NAT：

NAT类型	映射建立规则	访问权限 (过滤) 规则
全锥形	`内网IP:Port` ↔ `公网IP:Port`	无限制，任何外部主机均可访问该映射
地址受限锥形	`内网IP:Port` ↔ `公网IP:Port`	仅限内网主机曾通信过的IP地址
端口受限锥形	`内网IP:Port` ↔ `公网IP:Port`	仅限内网主机曾通信过的IP地址:端口
对称	`(内网IP:Port -> 外网A)` ↔ `(公网IP:PortA)` `(内网IP:Port -> 外网B)` ↔ `(公网IP:PortB)`	与端口受限相同，但每个映射独立生效

注：前三者的映射建立规则为，当你的电脑(192.168.0.10:1234) 第一次向任何外部目标（比如服务器A 11.11.11.11:80）发送数据包时，NAT路由器会在其映射表中创建一个条目。对称NAT的映射建立规则为，同一个内部地址端口，访问不同的外部目标，会得到不同的公网端口映射。

NAT的特征：

1.NAT允许从内向外建立连接，但是禁止从外向内建立连接。

2.NAT实际上禁止了新的传输协议。NAT设备被硬编码为只理解两种协议的头部格式：TCP (IP协议号 6) 和 UDP (IP协议号 17)。新的传输协议唯一的方法是伪装成UDP。

如何绕过NAT对于“只能向外建立连接的限制”：

1.连接逆转（Connection Reversal）:在NAT之后的A和服务器R建立了联系，外部的B想要和A建立联系的话，把请求转发给R，然后R把这条请求告诉A，最后A和B建立联系。

2.中继（Relay）：当双方都在NAT之后时，既然双方无法直接建立连接，那就干脆放弃直接连接，找一个双方都能访问的“中间人”（公网服务器）来转发所有数据。

3.NAT打洞（Hole Punching）：当A和B都在NAT之后时，客户端A和客户端B都主动连接到一个公网上的“集合服务器”（Rendezvous Server），服务器会看到A和B经过NAT转换后的公网地址和端口（比如 A' 和 B'）。服务器将 B' 的地址告诉A，将 A' 的地址告诉B。收到对方地址后，A和B几乎在同一瞬间，各自向对方的公网地址（A向B'发，B向A'发）发送一个UDP包。（此时A到B被打通，B到A也被打通）。

技术	核心思想	优点	缺点	适用场景
中继 (Relay)	所有流量通过公网服务器转发	100%成功，兼容所有NAT	延迟高，成本高，非真P2P	作为所有P2P尝试失败后的最终保障方案
打洞 (Hole Punching)	双方同时向对方发包，在NAT上打洞	真P2P，延迟低，无带宽成本	对称NAT下成功率低	大多数P2P应用的首选尝试方案
连接逆转	利用已有连接，命令对方反向连接	解决非对称网络下的连接问题	要求一方网络可达性好，较复杂	C/S架构中，服务器主动联系客户端的场景

NAT工作原理：由于NAT会对很多特殊情况特殊处理，这里只举一个例子。在TCP打洞时，如果两方出现了时序问题，导致一方更早的发送了SYN，而另一方还没有发送SYN建立映射，当NAT收到一个外部传来的纯SYN试图建立连接时，显然会遭遇失败。根据RFC文档，此时NAT不应该马上丢弃一个陌生的SYN包，而是应该等待6秒钟，如果6秒后映射仍未被打通，才丢弃它。如果6秒之内被打通，这个陌生的SYN包仍会被丢弃，但是NAT会把这个SYN包纳入许可名单之中。这里为什么NAT不马上接收这个SYN包，这是为了防止NAT内的客户端刚刚发送SYN包，状态尚未稳定就收到来自外部的SYN包。丢弃第一个SYN包并非为了阻止“同时打开”的发生，而是为了延迟它的发生，将其从一个混乱的、可能有时序问题的“竞态”，变成一个更稳定、更可预测的流程。

HTTP：全称超文本传输协议 (HyperText Transfer Protocol)

HTTP请求报文格式：

method即为指令如GET，URL是网址，version是版本。白色格子是空格，左箭头是回车（回到行首），下箭头表示换行。第一行后面是多行的请求头，每行一个，每个请求头行以字段名开头，后跟其值。然后是一个空行。当发送一个GET时body为空，但其他方法有可能不为空。

HTTP的核心模型是请求-响应。

HTTP/1.1 Keep Alive：在HTTP/1.0中，由于需要为每个资源都申请建立连接，我们会在三次握手阶段浪费大量时间。因此在HTTP/1.1中，我们引入了持久连接。在一次HTTP请求-响应周期结束后，客户端和服务器之间的TCP连接不会立即关闭，而是保持“存活”状态，等待后续的请求复用。当浏览器需要请求下一个资源（比如第一张图片）时，它会直接在已经建立好的这条TCP连接上发送新的HTTP请求，直到终止。也就是完成了一个资源一个TCP连接到多个资源一个TCP连接的转变。

SPDY协议：HTTP/1.1中，假如浏览器依次发送了三个请求A（耗时最长），B，C，即使服务器已经处理了B，C，也会被A所阻塞。为解决这样的问题，SPDY将每一个HTTP“请求-响应”对，都被视为一个独立的“流”，来自不同流的数据帧可以交错地在同一个TCP连接上发送，接收端收到数据帧后，根据每个帧上地流ID，再重新组合成各自独立地请求或响应。

这和路由器输入缓冲的解决方法类似，都是用多个虚拟/逻辑队列代替只有一个的物理队列，配合一个更加智能的调度策略，来绕卡单个阻塞点。

BitTorrent工作的基本要素：

群（swarm，或者说对等方集群，peer swarm）：所有正在针对同一个.torrent文件进行下载和上传的用户（peers）的集合。

server（准确来说是Tracker，追踪服务器）：它不持有文件本身，只负责记录哪些peer正在下载哪些文件，当一个新的peer加入时，tracker会给他一份当前swarm中其他peer的IP地址列表。

client（准确来说是peer，对等方）：分为两种，下载者和做种者，前者指正在下载文件，尚未拥有全部文件块的peer。后者指已经拥有全部文件的peer，它不需要下载，只负责上传文件块。

.torrent文件：包含Tracker服务器的地址，文件名称大小目录结构，文件块的大小，以及最重要的一个由所有文件块做的SHA-1哈希值组成的列表。

文件块哈希：每当一个Peer成功下载完一个文件块后，它会立刻用SHA-1算法计算这个块的哈希值，然后与.torrent文件里记录的、对应块的“官方”哈希值进行比对。如果哈希值匹配，说明这个块是完整且正确的。如果不匹配，说明数据在传输中已损坏或被篡-改，这个块会被丢弃并重新下载。这确保了最终拼凑起来的文件是100%正确的。

分布式哈希表：由于传统的Tracker模式会使Tracker服务器受到过多的关注，为提高BitTorrent网络的鲁棒性和抗审查性，采取了分布式哈希表。Peers之间互相存储和查询其他Peer的联系信息而不再依赖于Tracker。

Best-P：指Piece选择策略，最经典的就是“最稀缺优先”，下载者在决定下载哪个文件块时，优先下载整个群中持有者最少的那个块。

以牙还牙算法：这是Peer之间决定是否给对方上传数据的策略。每个Peer会周期性地选出几个正在给它上传数据、且上传速度最快的Peer，并对它们进行“疏通”（Unchoke），允许向它们上传数据。对于那些不给它上传数据的Peer，则保持“阻塞”（Choke）。

DNS（Domain Name System，域名系统）：DNS是一个为互联网设计的、分层的、分布式的命名系统。其核心功能是将域名（Hostname）等各种标识符解析为IP地址或其他所需的资源记录。通过使用域名，IP地址等被转化为了可读的，可理解的文字，更加方便人类的使用。

域名结构：

位于顶部的root是根域名服务器，全球只有13个根服务器。服务器采取高度复制的特性，不仅提高了网络的健壮性，而且提高了性能。（让用户访问里他们最近的那台服务器）

查询解析流程：DNS查询分为递归查询和迭代查询，前者由客户端向解析器发起，期望得到最终的一个IP地址，客户端不参与中间的查询过程。迭代查询由解析器向各级权威服务器发起，当客户端需要访问一个域名www.wuhu.com时，如果它在查询的任何阶段都没有对应的缓存条目（即不知道com的IP地址，不知道wuhu.com的IP地址，不知道www.huwu.com的IP地址），解析器先询问谁管理com域名，得到管理com域名的服务器的IP地址后，再询问wuhu的IP地址，这样以此类推得到www.wuhu.com的IP地址并返回给客户端。

缓存机制和DNS中记录的修改：为避免每次查询都重复上面的过程，缓存是DNS的关键。由于DNS读取为主（一个域名的IP地址可能一年都不会变化）和最终一致性这两个特性，使得缓存机制值得并且可行。由于缓存机制的存在，当我们在权威服务器上修改一条A记录时，这个修改不会瞬间同步到全世界，大量的服务器还保有这条A记录的缓存。为了使“持有”旧缓存的用户在更改期间服务不会中断，我们会采取一下策略：提前将TTL降低；在DNS切换后，让新旧两个IP地址上的服务器同时在线运行一段时间。这样，我们可以实现平滑的过渡，确保了用户的体验。

DNS主要基于UDP工作：1.UDP相比TCP没有三次握手，对于一个只包含非常小的问题的DNS查询，延迟更低,性能更高。2.UDP是无连接的，意味着UDP也是无状态的，一次交互之后服务器可以完全忘记这次交互，使得DNS服务器可以轻松应对来自全球的海量查询。

资源记录（Resource Records）：资源记录是DNS数据库中的基本数据单元。每一条资源记录都是一条关于特定域名的声明或信息。当你说“解析一个域名”时，你实际上是在请求DNS服务器返回与该域名相关的一条或多条资源记录。

rdata：记录的具体内容，取决于type，如果type是A，那么data就是一个IPV4地址。A records（address records ）会告诉你IP地址，NS records则是指示你需要的权威服务器的域名。

DNS查询和响应报文的通用报文格式的头部：

DNS域名压缩机制：

由于一个DNS报文中，同一个域名或其一部分常常会重复出现多次，所以域名会被拆成一个个标签，例如 www.stanford.edu 被拆分成 www, stanford, edu。每个标签在编码时，前面加上一个字节表示标签长度。整个域名的末尾用一个长度为0的字节0x00表示根域名，标志域名的结束。例如www.stanford.edu 的网络线路格式 (wire format) 是： \x03www\x08stanford\x03edu\x00

\x03www: 长度为3，内容是"www"。
\x08stanford: 长度为8，内容是"stanford"。
\x03edu: 长度为3，内容是"edu"。
\x00: 长度为0，表示结束。

再然后利用指针机制来压缩。由于一个标签最大长度是63字节，即00111111。这意味着一个合法长度字节，其最高两位永远是00。借此，我们把指针设定为两字节，11xxxxxx yyyyyyyy的形式。每当DNS遇到一个域名长度字节，这个字节（8位）有两种不同的可能性，如果它的首两位是00，那么它是一个域名长度字节，如果它的首两位是11，那么它是一个指针字节。指针的两字节刨除11的那两位，剩余的14位组成一个无符号整数，表示一个偏移量，这个14位的偏移量，指向的是从整个DNS报文的起始位置（即ID字段的第一个字节）开始计算的字节偏移。这样，一个标签从长度字节（一字节）+标签名（最多63字节）被转换为了两字节的指针。

胶水记录（clue record）：为了解决这样的问题：在我向.com服务器询问并寻找example.com的权威服务器时其域名为nsl.example.com，此时根据规则我应该先去查找example.com的权威服务器，但其权威服务器就是nsl.example.com本身。为了打破这个循环，这里的.com服务器一开始就应该在提供权威服务器的NS记录时，同时提供该权威服务器的IP地址（A或AAAA记录），这样就可以直接到权威服务器那去问询了。

CNAME record：其作用是为一个域名设置别名，当DNS解析器查询得到CNAME记录时，它会转而去查询CNAME记录之后的真正的名字。一个域名一旦被设置为CNAME域名，它就不能再拥有任何其他类型的DNS记录。

MX record（Mail Exchange Record）：MX记录负责接收邮件的服务器的完全限定域名，这个主机名自身必须能通过A或AAAA记录解析到一个IP地址。（所以这个主机名不能是CNAME record）MX记录不能直接指向一个IP地址。

DHCP（Dynamic Host Configuration Protocol）：