引:随着宽带接入的日益普及,宽带路由器逐渐成为许多拥有多台电脑的家庭用户的必备之选。它通常提供单WAN口与多LAN口,集成路由、NAT、状态检测防火墙等功能,在家庭网络中充当网关角色。具备无线功能的宽带路由器还整合了很实用的无线接入模块,成为数字家庭重要的硬件组成部分。
我的网络为什么慢了?
宽带路由器通过NAT解决了多台电脑需要同时上网的问题,也带来了一些新问题,下载速度与连接成功率的下降就是其中最严重的一个。造成这种情况的原因是路由器开启NAT后截断了由外而内的主动连接,而应用软件又未能对这种情况作出响应。对于越来越多的进行不间断下载的家庭用户来说,这是绝不能接受的。
举个简单的例子说明一下宽带路由器是如何阻断连接的。内网用户进行BT下载时,客户端先从tracker服务器上获得其他peer的信息,然后开启一些本地端口,请求其他peer连接这些端口传送数据;同时也请求其他peer开启端口,主动发起连接下载数据。对于后者,只要对方开启的端口可被访问,就可以顺利下载数据;对于前者,宽带路由器收到其他peer的连接请求,发现NAT表项中没有对应关系,就将传送来的数据包丢掉。所以对于内网用户来说,只能主动发起连接。这除了会大大降低下载速度外,还会被某些P2P客户端设置为低优先级节点,被限制甚至阻断下载。
有什么办法可以解决这个问题?
只要在宽带路由器的端口映射表中添加对应信息,就可以解决无法自外而内访问的问题。一般的宽带路由器可以通过静态端口映射、DMZ、UPNP三个功能模块达到这一效果,但原理与实现机制却截然不同。
静态端口映射是解决这个问题的最古老的方法,通过预先定义一些端口转换规则实现由外而内的NAT穿透,几乎所有的宽带路由器都支持该功能。这种方法可以很好地实现内网中服务的对外发布,但对必须由客户端主动发起连接的应用无能为力(例如P2P、IM、VoIP等),而且当应用较多时配置、修改都存在难度。目前该功能基本只用来映射常见服务的端口。
华硕WL530g-v2无线宽带路由器设置界面:静态端口映射
DMZ(Demilitarized Zone)即俗称的非军事区,是传统网络结构中介于信任与非信任区域间的一个特别区域,通常用来放置Web、FTP、Mail等必须公开但又不包含机密信息的服务器。即使DMZ中服务器受到攻击,也不会对信任区域中的主机与机密信息造成影响。在宽带路由器中,DMZ功能特指将一台处于内网的电脑完全映射到公网,与传统概念有很大不同。设置DMZ对应关系后,宽带路由器会将来自公网的所有访问请求直接传送给对应主机,做到完全意义上的通透,不需要任何额外设置。如果网络内部有一台足够安全的Server专门用来进行各类下载任务,不妨在宽带路由器中设为DMZ对应主机。需要注意的是,某些设计比较特别的应用对NAT兼容性很不好,只有在DMZ模式下才能正常工作。
华硕WL530g-v2无线宽带路由器设置界面:DMZ设置
UPNP(Universal Plug and Play)的中文直译是通用即插即用,比较形象地描绘出这个技术的核心内容:像PNP(即插即用)一样提供免人工干预的自动配置能力,设备范围则扩大至本地网络。UPNP构建于IP、组播、HTTP、XML等通用协议之上,不隶属于任何操作系统或应用程序,也不受设备类型限制。任何支持UPNP协议的设备加入到网络当中,都会向其他设备“宣告”自己的存在,以及可以提供的服务。它同样也可以“感知”到其他设备的存在,并获取对方提供的服务及工作状态。
华硕WL530g-v2无线宽带路由器设置界面:UPNP设置
宽带路由器支持UPNP协议主要是为了实现NAT Traversal(NAT穿越)这一功能。如果宽带路由器与主机的操作系统和应用程序都支持UPNP,就可以在无人为干预的情况下自行协调,预先添加端口转换规则,使主动式网络应用也可以实现NAT穿越。选取公网端口是一个随机过程,不存在任何必然规则,所以不同主机的不同应用可以在同一对外IP中共存。UPNP提供的这种NAT穿越解决方案,非常适合当前网络应用的需要。
Windows XP内置SSDP服务,使主机具备进行UPNP交互的能力
以在Windows XP下使用Live Messenger进行视频聊天为例,系统提供了对UPNP协议的支持,可以发现并获取宽带路由器的WAN口IP地址,了解创建端口映射时需要调用的操作;Live Messenger通过API与宽带路由器协调视频、音频功能开启的内网端口与公网端口的映射关系。远端主机收到来自公网的请求后,向源地址、端口发起数据连接。由于在宽带路由器中事先存在相应的端口映射,请求被发送至主机相应端口,连接得以正常建立。
这些解决方法彼此间会有冲突么?
对于现在市售的大多数宽带路由器产品来说,静态端口映射、DMZ与UPNP都是可以同时开启的。通常情况下,DMZ对应主机的并发连接数不会太大,宽带路由器有充足的公网端口可以分配给其它主机。如果在UPNP、静态端口映射或普通NAT映射关系建立后收到对DMZ主机同样端口的访问请求,宽带路由器会为这个请求再建立一条端口映射关系,从而保证DMZ对应主机端口面向公网的无条件映射。
无论哪种方式都要通过路由器内部的端口映射表体现出来
对比一下可以看到,DMZ与UPNP在功能上各有侧重,互补性很强。DMZ功能完全由宽带路由器实现,只能映射到一台主机,由外而内,主机完全被动,难免存在安全隐患;基于UPNP的NAT穿越是主动的,宽带路由器可以同时为多台主机服务,但建立端口映射关系需要多方联动,尤其需要应用程序的支持。
常见的宽带路由器产品对这些功能支持的好么?
我们找来几台宽带路由器和PC,搭建了一个简单环境,考察UPNP的整体实现。常见的网络应用软件对UPNP支持很好,一般都有专门的选项,并在界面显著位置标明UPNP状态,显然已经意识到它的重要。我们最常用的操作系统,Windows XP与Windows Vista,也对UPNP提供了比较完善的支持。问题关键在于宽带路由器,不同厂商对UPNP的理解不同、实现机制不同,造成产品支持UPNP的完善程度也有很大差异。在本文撰写过程中,我们连续考察了4款宽带路由器,只有一款对UPNP支持较好。另外3款中,有一款完全不支持UPNP功能,两款对UPNP支持不完善,只实现了部分功能,造成很多应用程序无法识别并开启UPNP模块。
Windows XP可以直接获取华硕WL530g-v2通过UPNP交互创建的端口映射规则
因为涉及到与客户端的交互,UPNP的实现较DMZ与静态端口映射复杂了许多,相对也更加消耗资源。在真实BT下载环境中,UPNP模式下客户端并发连接数达到三百多时,宽带路由器就开始变得不稳定,甚至重启;而在DMZ模式下,客户端并发连接数自然稳定在一千两百多,虽然转发速度极慢,但设备也没出现任何不稳定的情况。
到底哪种方式适合我?
实际需求决定了选择哪种方式。如果在内部网络中有一台主机专门作为下载使用(这种情况在家庭中很常见),不妨将它设置为DMZ主机。宽带路由器的UPNP功能是一定要开启的,这可以解决存在于很多应用中的NAT瓶颈。如果内部网络中还有其他提供传统服务的主机,可以在宽带路由器中设置相应的端口映射规则。通过合理调配,你的网络应用一定会重新提速,带来完美的应用体验。 |
