NGN:穿越NAT/FW等私網(wǎng)的解決方案
2007/01/22
1 引言
目前NGN(軟交換)技術(shù)已逐步從試驗走向商用,在應用過(guò)程中遇到了很多實(shí)際問(wèn)題,特別是NGN用戶(hù)的接入問(wèn)題。NGN是一個(gè)基于分組網(wǎng)承載的網(wǎng)絡(luò ),用戶(hù)接入都是通過(guò)IP地址來(lái)尋址的。由于IP地址緊缺以及安全等各種原因,所以大量的企業(yè)網(wǎng)和駐地網(wǎng)都采用私有IP地址通過(guò)出口的NAT/FW接入公網(wǎng)。
NGN網(wǎng)絡(luò )最大的好處就是能為用戶(hù)提供豐富的業(yè)務(wù),特別是為企業(yè)用戶(hù)提供語(yǔ)音、數據、視頻融合的IP Centrex業(yè)務(wù),但是像H.323、SIP、MGCP、H.248等在IP上承載語(yǔ)音和視頻的協(xié)議的控制通道/媒體通道難以穿越傳統的NAT/FW設備與公網(wǎng)進(jìn)行互通,或者說(shuō)目前的NAT/FW大多只是支持HTTP的數據應用協(xié)議穿透,而無(wú)法支持這種會(huì )話(huà)型業(yè)務(wù)的控制與媒體的NAT/FW穿透,因此私網(wǎng)穿越問(wèn)題的解決顯得更加迫切,成為目前NGN網(wǎng)絡(luò )業(yè)務(wù)開(kāi)展的最大障礙。目前,解決這一問(wèn)題的主要方案有ALG、STUN、MidCom和Proxy等。
2 穿越技術(shù)介紹
2.1 ALG方案
NAT和NAPT只能對IP報文的頭部地址和TCP/UDP頭部的端口信息進(jìn)行轉換,對于報文的數據部分可能包含IP地址或端口信息的特殊協(xié)議(如H.323、SIP、MGCP等),則無(wú)法實(shí)現有效的轉換,這就可能導致問(wèn)題發(fā)生。例如,一個(gè)使用內部IP地址的FTP服務(wù)器可能在和外網(wǎng)主機建立會(huì )話(huà)的過(guò)程中需要將自己的IP地址發(fā)送給對方,而這個(gè)地址信息是放在IP報文的數據部分,NAT無(wú)法對它進(jìn)行轉換,當外網(wǎng)主機接收到這個(gè)私有地址并使用它,這時(shí)FTP服務(wù)器將表現為不可達。
解決這些特殊協(xié)議的NAT轉換問(wèn)題的一個(gè)方法就是在NAT實(shí)現中采用ALG(Application Level Gateway,應用級網(wǎng)關(guān))功能。ALG是能夠識別指定IP協(xié)議(如H.323、SIP或MGCP)的設備。它通過(guò)與NAT交互以建立狀態(tài),使用NAT的狀態(tài)信息來(lái)改變封裝在IP報文數據部分中的特定數據,并完成其他必需的工作以使應用協(xié)議可以跨越不同范圍運行。例如,一個(gè)“目的站點(diǎn)不可達”的ICMP報文,該報文數據部分包含了造成錯誤的數據報A的首部(注意,NAT在發(fā)送A之前進(jìn)行了地址轉換,所以源地址不是內部主機的真實(shí)地址)。如果開(kāi)啟了ICMP ALG功能,在NAT轉發(fā)ICMP報文之前,它將與NAT交互,打開(kāi)ICMP報文并轉換其數據部分的報文A首部的地址,使這些地址表現為內部主機的確切地址形式,并完成其他一些必需工作后,由NAT降這個(gè)ICMP報文轉發(fā)出去。
ALG可以是單獨的連接于外網(wǎng)和內網(wǎng)之間的設備,也可以是內置于NAT內的插件。
ALG是支持NCN應用最簡(jiǎn)單的方式,但由于目前網(wǎng)絡(luò )中已大量部署了不支持NCN業(yè)務(wù)應用的NAT/FW設備,因此不推薦采用這種方式,理由如下:
- 目前網(wǎng)上大量的NAT/FW設備因不具備ALG能力而需要更換或升級;
- NGN業(yè)務(wù)的ALG生產(chǎn)廠(chǎng)商少,沒(méi)有一套產(chǎn)品特性需求基線(xiàn);
- NAT/FW設備廠(chǎng)商一般不是IP業(yè)務(wù)領(lǐng)域的專(zhuān)業(yè)廠(chǎng)商,難以支持業(yè)務(wù)的變化(如SIP的擴展多種多樣);
- 用戶(hù)普遍希望運營(yíng)商在不改變已有網(wǎng)絡(luò )設備(NAT)的情況下就可以提供新的IP業(yè)務(wù),用戶(hù)不愿意重新購買(mǎi)NAT/FW設備,更無(wú)法判斷各種ALG的可行性。
2.2 MidCom方案
MidCom(Middlebox Communications)方案是通過(guò)在第三方實(shí)體和FW/NAT之間建立中間盒來(lái)通信,使FW/NAT設備變?yōu)榭煽氐囊环N新的概念。MidCom包括MidCom Agent和Middlebox,Agent通過(guò)MidCom協(xié)議通知Middlebox建立相應的NAT映射表項。
一般情況下,Middlebox集成在NAT或FW設備中,Agent可在軟交換、代理服務(wù)器或終端上實(shí)現。
由于應用業(yè)務(wù)識別的智能從Middlebox移到外部的MidCom Agent上,因此,根據MidCom的架構,在不需要更改Middlebox基本特性的基礎上,通過(guò)對MidCom Agent的升級就可以支持更多的新業(yè)務(wù)。這是相對于NAT/ALG方式的一個(gè)很大的優(yōu)勢。
從安全性考慮,MidCom方式支持控制報文和媒體流的加密,因此安全性比較高。
2.3 協(xié)議修改
由于目前的多媒體應用協(xié)議無(wú)法穿越NAT/FW,因此可以考慮通過(guò)修改協(xié)議以適應NAT/FW。
對于H.323,SIP,MGCP,H.248等協(xié)議,為支持NAT/FW穿越而做的修改尚未形成標準,還在起步研究階段,因此本文不做詳細探討。
2.4 STUN方案
STUN(Simple Traversal of UDP Through NATs)是由IETF研制的一種UDP流協(xié)議穿透NAT的協(xié)議。位于內部網(wǎng)絡(luò )的STUN client(NAT內)通過(guò)UDP發(fā)送請求STUN消息給外部網(wǎng)絡(luò )的STUN Server(NAT外),STUN Server收到請求消息后產(chǎn)生響應消息(響應消息中攜帶請求消息的源端口,即STUN Client在NAT上對應的外部端口),響應消息通過(guò)NAT發(fā)送給STUN Client,STUN Client通過(guò)響應消息體中的內容得知其在NAT上對應的外部地址,然后將該地址填入以后的呼叫協(xié)議的UDP負載中,并且告知對端,本端的RTP接收地址和端口號為NAT外的地址和端口號。由于通過(guò)STUN協(xié)議已在NAT上預先建立媒體流的NAT映射表項,因此媒體流可順利穿越NAT。
需要注意的是,終端設備需要集成STUN Client功能,STUN Server可以集成在相應的應用所屬的部件上(如在NGN應用中可以集成到SoftSwtich上)或者是由獨立的設備提供。
STUN協(xié)議最大的優(yōu)點(diǎn)是無(wú)需現有NAT/FW設備做任何改動(dòng)。目前,網(wǎng)絡(luò )中已有大量的NAT/FW,而且這些NAT/FW并不支持VoIP應用。如果采用MidCom或NAT/ALG方式,則需要替換現有的NAT/FW,實(shí)施起來(lái)難度較大,且MidCom方式無(wú)法實(shí)現對多級NAT的有效控制。如果采用STUN方式,不但無(wú)需改動(dòng)NAT/FW,而且能夠很好地適應多個(gè)NAT串聯(lián)的網(wǎng)絡(luò )環(huán)境。
但STUN也有以下幾個(gè)方面的局限性:
- 需要應用程序支持STUN Client的功能,即NGN的網(wǎng)絡(luò )終端需具備STUN Client功能;
- STUN不支持TCP連接的穿越,也就表示不支持H.323協(xié)議;
- STUN方案不支持NGN業(yè)務(wù)對FW的穿越,不能穿越對稱(chēng)NAT(Symmetric NAT)類(lèi)型(在安全性要求較高的企業(yè)網(wǎng)中,出口NAT通常就是采用這種類(lèi)型)。
2.5 Proxy方案
Proxy方案是指通過(guò)對私網(wǎng)內用戶(hù)呼叫的信令和媒體同時(shí)做Relay來(lái)實(shí)現出口NAT/FW的穿越。對于NGN網(wǎng)絡(luò )的私網(wǎng)穿越問(wèn)題,目前業(yè)界已基本傾向Proxy方式,并且在Proxy方案中還增加了網(wǎng)絡(luò )安全、防止終端漫游等特性。
Proxy設備是在原來(lái)網(wǎng)絡(luò )結構的基礎上,采用網(wǎng)絡(luò )疊加方式,部署在IP網(wǎng)絡(luò )的邊緣或匯聚層,是會(huì )話(huà)信令和媒體的聚合點(diǎn)。信令Proxy與媒體Proxy可以在一個(gè)設備上實(shí)現,也可以分離實(shí)現,當在同一個(gè)設備上實(shí)現時(shí)稱(chēng)為Full Proxy。NGN終端通過(guò)Proxy設備連接到軟交換上。
在網(wǎng)絡(luò )中,信令Proxy和媒體Proxy各自擔負著(zhù)不同的工作。
(1)信令Proxy:Proxy設備對NCN用戶(hù)而言,可看作是軟交換系統,即用戶(hù)的注冊和呼叫消息都會(huì )發(fā)給Proxy設備,Proxy設備經(jīng)過(guò)信令處理后再轉發(fā)給軟交換系統。同時(shí),Proxy設備對軟交換系統又可看作是用戶(hù),軟交換系統首先將呼叫被叫的請求發(fā)給Proxy設備,Proxy設備經(jīng)過(guò)信令處理后再轉發(fā)給真正的被叫用戶(hù)。Proxy設備通過(guò)對信令進(jìn)行處理和分析,得到本次會(huì )話(huà)的地址變換狀況、帶寬需求等信息,并根據當前網(wǎng)絡(luò )資源占用情況等信息來(lái)決定媒體流是否通過(guò)Full Proxy設備網(wǎng)關(guān),從而起到網(wǎng)絡(luò )保護、防止帶寬盜用等作用。
(2)媒體Proxy:Proxy設備是媒體流的必經(jīng)之處,所有域內用戶(hù)與外界互通的媒體流都經(jīng)過(guò)Proxy設備進(jìn)行處理和轉發(fā)。Proxy設備網(wǎng)關(guān)首先檢查報文的合法性,并根據信令處理結果來(lái)制定媒體流轉發(fā)策略(如FW、QoS和地址轉換策略),通過(guò)指定內網(wǎng)/外網(wǎng)用戶(hù)RTP流的接收地址和端口這種方式來(lái)確保無(wú)論采用何種組網(wǎng)方案,媒體流都能得到正確轉發(fā)和嚴格的QoS保證、安全控制。
Full Proxy方式由于不用對運營(yíng)商和客戶(hù)端的現有網(wǎng)絡(luò )設備進(jìn)行任何會(huì )話(huà)型業(yè)務(wù)用戶(hù)改造,具有很強的適應性,組網(wǎng)靈活,可滿(mǎn)足NGN初期多樣化的組網(wǎng)和用戶(hù)接入。除了解決NAT問(wèn)題外,功能還可以大大擴展,同時(shí)可在接入層實(shí)現對會(huì )話(huà)業(yè)務(wù)QoS和安全的處理,可以發(fā)展成為NGN網(wǎng)絡(luò )的用戶(hù)接入平臺。
網(wǎng)絡(luò )通訊服務(wù)網(wǎng)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
临沭县|
武穴市|
五峰|
衡阳县|
澄迈县|
丹巴县|
阳原县|
体育|
九台市|
休宁县|
德化县|
大名县|
九寨沟县|
深水埗区|
海南省|
南京市|
祥云县|
将乐县|
白玉县|
新闻|
绥宁县|
湘潭市|
潜江市|
谢通门县|
兴隆县|
关岭|
威信县|
岗巴县|
泾源县|
久治县|
遂平县|
嵊州市|
砀山县|
高清|
武威市|
工布江达县|
兰溪市|
达孜县|
吕梁市|
八宿县|
宜丰县|
http://444
http://444
http://444
http://444
http://444
http://444