WebRTC 起源于 P2P 的建连方式,没有端口复用的设计,所以 SFU 通常为每个连接分配一个独立端口。在 ICE Lite 场景下(排除使用 TURN 中转的方式) 每个连接分配独立端口并不是一个必须的要求。
下图为 WebRTC 连接过程中服务端分配端口的流程:
SFU 内部维护一个 PortManager 负责根据 Transport 分配/回收 端口,SFU 根据端口区分连接。
每个连接使用独立端口的缺点如下:
- 每个 IP 理论只能分配 65536 个端口,限制了单 IP 可以接受的连接数量;
- 服务端开放端口过多,容易被扫描/攻击,增加运维难度;
- 客户端网络受限情况下,防火墙通常只能定向开通少数端口;
综上,如果在 SFU mandatory 模式,每个连接独立端口不是必须选项的场景下,SFU 通过单端口提供服务可以克服以上缺点。下文将介绍 SFU 单端口的实现方式。
0x01 实现方式根据 WebRTC 的协议栈,如果 SFU 使用 ICE Lite 协议,服务端收到的第一个请求一定是 Stun binding,这个请求中会携带 answer 中的 ice-ufrag/ice-passwd 用来验证连接的合法性,这时 SFU 可以通过 ice-ufrag 和 ip:port 与 Offer-Answer 阶段建立的连接进行匹配,匹配成功后所有 src ip:port 相同的数据都认为是该连接的数据。
操作流程如下:
① 应支持客户端 IP:Port 发生变化的场景,因为 Stun binding 会周期发送,所以 SFU 在收到 ice-ufrag/ip:port 与已记录组合发生变化时应立即更新记录。
参考文档- WebRTC网关服务器单端口方案实现
