去中心化的网络设计 — P2P的实现

随着区块链的越来越火，去中心化的网络设计再次被拿到技术人员面前。在这里我使用非常通俗的语言，帮大家来理解去中心化的网络设计的基础—网络穿透。再使用代码来实现穿透。如果阐述不到位的地方，欢迎大家抛砖。代码在此： https://github.com/wangbojing/P2PServer 

 在有中心化服务器的网络中，客户端，服务器，网关构成网络拓扑图。如下图1所示：由于后续出现的名词概念很多，先约法三章，在这里统一一下称呼：所有的终端机器成为客户端，不同客户端使用大写字母区分（A,B,C,…）；客户端上面运行的应用程序统一称为客户程序，不同的应用程序使用不数字区分（1,2,3,…）。作为服务器的物理机称为服务器，而服务器上运行的程序称为服务程序，后文中每一个拓扑组件都只有一个IP地址。为客户端提供公网IP服务的组件称为网关。

                                                               图1 中心化服务器的网络拓扑图

从网关映射到客户端中的网络结构，这里需要引入一个NAT的概念。什么NAT呢？中文名叫网络地址转换，习惯称为网络地址映射。为什么需要网络地址映射呢？：需要说到IPV4网络地址已经用完，全部使用IPV6又会造成很多只支持IPV4的终端设备无法正常使用，所以网络地址映射应运而生，忍辱负重。才会有我们现在所谓的网络穿透的出现。到底怎么映射的？如图2网络地址映射所示。客户程序使用192.168.0.234:7890发送数据，通过网关的网络地址映射在公网被转换为112.93.116.102:6834，被互联网上的大家所认知。此时在公网上使用客户程序的ip与端口被112.93.116.102:6834代替。在这里大家应该明白了NAT是何许物种了。

图2 网络地址映射

为了保持新手福音，业界良心的态度。什么是穿透？因为NAT是客户程序发起的，网络为了保持通讯新建的一个临时牌照，随时可能被收回，而且重新发起后的牌照不一样。从而外界及时知道了这个临时牌照也没有用。所以需要通过穿透在网关上面打个洞，来为外界进行服务。那NAT与穿透有什么关系呢？正因为有了NAT才需要穿透，如果是IPV6每个客户端一个IP地址，那就不需要直接可以找到客户端了。

网络地址映射

 由于网关的安全性要求不一致，就出现四种不同的NAT方式。分别进行阐述：

第一种完全锥形NAT，英文名叫Full Cone NAT。如图3完全锥形NAT所示，客户程序(192.168.0.234:7890)与服务器A(13.44.178.98:9800)通信，通过网关的地址转换产生的临时牌照的公网地址（112.93.116.102:6834），服务器B（157.78.13.156:23456）发送数据到公网地址（112.93.116.102:6834），如果客户程序(192.168.0.234:7890)能够收到服务器B（157.78.13.156:23456）发送的数据，这种NAT映射关系为完全锥形NAT；

图3 完全锥形NAT

第二种限制锥形NAT，英文名叫RestrictedCone NAT。在图3 完全锥形NAT中，如果客户程序(192.168.0.234:7890)不能收到服务器B（157.78.13.156:23456）发送的数据，这种NAT映射关系为限制型锥形NAT。

第三种端口限制锥形NAT，英文名叫Port RestrictedCone NAT。客户程序(192.168.0.234:7890)发送数据给服务程序（13.44.178.98:9800）,网关通过网络地址转换产生的地址（112.93.116.102:6834）,同样的服务器内的另一个服务程序（13.44.178.178:9801）发送数据给网关（112.93.116.102:6834）地址，如果客户程序(192.168.0.234:7890)能够收到，则为限制锥形NAT，如果客户程序(192.168.0.234:7890)不能收到，则为端口限制锥形NAT。

 对于所有的锥型NAT，客户程序（192.168.0.234:7890）对外发送的数据时，网关地址转换的地址都是一样的为（112.93.116.102:6834）,那为什么在图4 限制型锥形NAT中，客户程序不能收到服务程序B（13.44.178.98:9801）的数据呢？因为在网关中没有发生过客户程序（192.168.0.234:7890）给服务程序B（13.44.178.98:9801），故服务程序（13.44.178.98:9801）直接发送给网关（112.93.116.102:6834），则被网关所丢弃。

图4 限制型锥形NAT

第四种对称NAT，英文，名叫Symmetric NAT。如图5对称NAT所示，客户程序（192.168.0.234:7890）发送数据给两个不同服务器（13.44.178.98:9800）和（157.78.13.156:23456）时，网关会进行不同的网络地址映射产生（112.93.116.102:6834）和（112.93.116.102:6835）。这是对于整个NAT网络发送数据出去的过程，而接收数据与端口限制锥形NAT一致。

图5 对称NAT

本节介绍三种锥形NAT和对称NAT的概念，相信到此你还是不知道NAT类型与怎么穿透网关友什么关系。

穿透剖析

 怎么穿透网关来实现去中心化，如图6穿透网络NAT拓扑图所示

在理想的情况下，在NAT 1中客户程序（192.168.0.234:7890）知道NAT 2中客户程序（192.168.2.168:2786）的网络映射地址（157.123.80.165:6954），并给网络映射地址（157.123.80.165:6954）发送数据，并且客户程序（192.168.2.168:2786）能够收到数据；而NAT 2中客户程序（192.168.2.168:2786）也知道NAT 1中客户程序的网络映射地址，并给其网络映射地址（112.93.116.102:6834）发送数据，并且也能收到数据。此时对于服务器而言，就已经没有起到数据中转的作用，此时客户程序（192.168.0.234:7890）与客户程序（192.168.2.168:2786）能够互相收发数据，服务程序（13.44.178.98:9800）已经没有作用，对于客户端程序来说，已经实现了去中心化。

 这只是在理论情况，现在具体实现步骤以及结合四种NAT类型来分析一下。

第一种：NAT 1为完全锥形NAT，NAT 2为任何一种NAT模式，如图7 完全锥形NAT的穿透，绿色字体的顺序。

客户程序（192.168.0.234:7890）先发送一个连接请求给服务程序，通知服务程序，需要连接客户程序（192.168.2.168:2786）。

服务程序收到连接请求后，发送给notify消息给客户程序（192.168.2.168:2786）,通知客户程序（192.168.2.168:2786），发送p2p连接请求给网关（112.93.116.102:6834）。

客户程序（192.168.2.168:2786）发送p2p连接请求给网关（112.93.116.102:6834），由于NAT1为完全锥形NAT，所以客户程序（192.168.0.234:7890）能够收到客户程序（192.168.2.168:2786）的请求。

客户程序（192.168.0.234:7890）收到p2p连接请求后，从请求数据中解析出请求发送者客户程序（192.168.2.168:2786）的IP地址与端口，并立即返回确认消息。此时双方进入P2P的穿透模式。

然而在这里有一点需要注意：NAT2为对称NAT的时候，在3步骤的时候，网关会新生成另一个端口，IP地址不变，用来与NAT1中的网络进行通信；在4步骤的时候，客户程序（192.168.0.234:7890）返回数据的地址，就是新生成的端口。

图7 完全锥形NAT的穿透

第二种：NAT 1为限制锥形NAT或者端口限制锥形NAT（两个锥形NAT模式是一样的，就不分开解释了），NAT 2为锥形NAT。如图8 限制锥形NAT的穿透所示

客户程序（192.168.0.234:7890）发送连接请求给服务程序，通知服务程序，需要连接客户程序（192.168.2.168:2786）。

服务程序收到连接请求后，发送给notify消息给客户程序（192.168.2.168:2786）,通知客户程序（192.168.2.168:2786），发送p2p连接请求给网关（112.93.116.102:6834）。

客户程序（192.168.2.168:2786）发送p2p连接请求给网关（112.93.116.102:6834），由于NAT1为限制锥形NAT，所以客户程序（192.168.0.234:7890）收不到发送的p2p连接请求，此步骤最终的是在NAT2的网关（157.123.80.165:6954）新生成一条NAT目的地址的记录。与后续6步骤作为配合。

客户程序（192.168.2.168:2786）提醒服务程序通知客户程序（192.168.0.234:7890），

服务程序马上通知客户程序（192.168.0.234:7890）发送请求给NAT2的网关（157.123.80.165:6954）。

客户程序（192.168.0.234:7890）发送p2p连接请求给网关（157.123.80.165:6954），由于刚刚3步骤发出了请求，此时网关会认为是3步骤返回的响应，所以能够p2p连接请求发送给客户程序（192.168.2.168:2786）

客户程序（192.168.2.168:2786）收到p2p连接请求后，立即返回确认消息给p2p连接请求包解析出来的IP地址与端口，此确认消息能够顺利到底客户程序（192.168.0.234:7890），到此网关已经穿透，P2P已经建立。

图8 限制锥形NAT的穿透

第三种：NAT1为限制锥形NAT，NAT2为对称NAT。如图8限制锥形NAT的穿透所示。

在步骤3和步骤6与NAT2为限制锥形NAT有些差异，其余步骤流程一致。

步骤3：客户程序（192.168.2.168:2786）发送p2p连接请求给网关（112.93.116.102:6834），由于NAT2为对称网络，此时会重新生成一个端口用于对网关（112.93.116.102:6834）通信。新生成的端口没有办法能够准确的知道。只能进行猜测。

步骤6：发送数据给网关（157.123.80.165:猜测端口）。

在这里提供一种思路来提高测猜的准确度，把服务程序使用两个端口（之前9800，新加一个9801），由于网关NAT分配端口是顺序的，在步骤4发送请求给服务程序（9801端口），因为步骤3与步骤4相隔时间短，步骤3在网关（157.123.80.165）所生成的新端口比步骤4的端口小。从而来提高猜测的准确度。

 相信已经对穿透的具体步骤有明确的概念，怎么准确的判断当前NAT的类型？

NAT分类

其实在网络地址映射概念已经有介绍分类，在这里使用更加计算机化语言描述。

第一种，检测当前客户程序的网关是否为完全锥形NAT，如图9检测完全锥形NAT所示

图9 检测完全锥形NAT

首先检测Udp的可用性，客户程序（192.168.0.234:7890）使用一个300ms定时器发送Udp请求数据包给服务器A。等待服务器A返回确认数据。如果多次发送请求并未得到服务器的确认数据，则认为Udp不能信息，则推出整个检测过程。如果收到确认数据，同样使用定时器再发送另一种请求数据要求服务器B发送数据给网关（112.93.116.102:6834），如果收到服务器B的数据，则认为是完全锥形网络。如果没有收到则进行限制锥形NAT。

第二种，检测限制锥形网络，如图10所示。

图10 检测限制锥形NAT

客户程序（192.168.0.234:7890）定时发送数据包给服务程序A，并要求服务程序从另一个端口发送数据包给网关（112.93.116.102:6834）。若客户程序（192.168.0.234:7890）收到回应，则该NAT为限制锥形NAT。若多次操作没有回应，则进行对称NAT检测。

第三种，检测当前客户程序的网关是否为对称NAT，如图9所示

客户程序（192.168.0.234:7890）给服务器A（13.44.178.98:9800）与服务器B（157.78.13.156:23456）发送数据包，对比两个服务器收到客户程序的（）IP地址与端口是否一致。如果不一致则是对称网络。如果一致则该网络为端口限制锥形NAT。