VoIP穿越NAT和防火墻的方法
2007/08/28
一、NAT/ALG 方式
普通NAT是通過(guò)修改UDP或TCP報文頭部地址信息實(shí)現地址的轉換,但對于VOIP應用,在TCP/UDP凈載中也需帶地址信息,ALG方式是指在私網(wǎng)中的VOIP終端在凈載中填寫(xiě)的是其私網(wǎng)地址,此地址信息在通過(guò)NAT時(shí)被修改為NAT上對外的地址。
語(yǔ)音和視頻協(xié)議(H323、SIP、MGCP/H248)的識別和對NAT/Firewall的控制,同時(shí)每增加一種新的應用都將需要對 NAT/Firewall進(jìn)行升級。
在安全要求上還需要作一些折衷,因為ALG 不能識別加密后的報文內容,所以必須保證報文采用明文傳送,這使得報文在公網(wǎng)中傳送時(shí)有很大的安全隱患。
NAT/ALG是支持VOIP NAT穿透的一種最簡(jiǎn)單的方式,但由于網(wǎng)絡(luò )實(shí)際情況是已部署了大量的不支持此種特性的NAT/FW設備,因此,實(shí)際應用中,很難采用這種方式。
二、MIDCOM 方式
與NAT/ALG不同的是,MIDCOM的基本框架是采用可信的第三方(MIDCOM Agent)對Middlebox (NAT/FW)進(jìn)行控制,VOIP協(xié)議的識別不由Middlebox完成,而是由外部的MIDCOM Agent完成,因此VOIP使用的協(xié)議對Middlebox是透明的 .
由于識別應用協(xié)議的功能從Middlebox移到外部的MIDCOM Agent上,根據MIDCOM 的構,在不需要更改Middlebox基本特性的基礎上,通過(guò)對MIDCOM Agent的升級就可以支持更多的新業(yè)務(wù),這是相對NAT/ALG方式的一個(gè)很大的優(yōu)勢。
在VOIP實(shí)際應用中,Middlebox功能可駐留在NAT/Firewall,通過(guò)軟交換設備(即MIDCOM Agent)對IP語(yǔ)音和視頻協(xié)議(H323、SIP、MGCP/H248)的識別和對NAT/Firewall的控制,來(lái)完成VOIP應用穿越 NAT/Firewall .在安全性上,MIDCOM方式可支持控制報文的加密,可支持媒體流的加密,因此安全性比較高。
如果在軟交換設備上實(shí)現對SIP/H323/MGCP/H248協(xié)議的識別,就只需在軟交換和NAT/FW設備上增加MIDCOM協(xié)議即可,而且以后新的應用業(yè)務(wù)識別隨著(zhù)軟交換的支持而支持,此方案是一種比較有前途的解決方案,但要求現有的NAT/FW設備需升級支持MIDCOM協(xié)議,從這一點(diǎn)上來(lái)說(shuō),對已大量布署的NAT/FW設備來(lái)說(shuō),也是很困難的,同NAT/ALG方式有相同的問(wèn)題。
三、STUN 方式
解決穿透NAT問(wèn)題的另一思路是,私網(wǎng)中的VOIP終端通過(guò)某種機制預先得到出口NAT上的對外地址,然后在凈載中所填寫(xiě)的地址信息直接填寫(xiě)出口NAT上的對外地址,而不是私網(wǎng)內終端的私有IP地址,這樣凈載中的內容在經(jīng)過(guò)NAT時(shí)就無(wú)需被修改了,只需按普通NAT流程轉換報文頭的IP地址即可,凈載中的 IP地址信息和報文頭地址信息是一致的。STUN協(xié)議就是基于此思路來(lái)解決應用層地址的轉換問(wèn)題。
STUN的全稱(chēng)是Simple Traversal of UDP Through Network Address Translators,即UDP對NAT的簡(jiǎn)單穿越方式。 應用程序(即STUN CLIENT)向NAT外的STUN SERVER通過(guò)UDP發(fā)送請求STUN 消息,STUN SERVER收到請求消息,產(chǎn)生響應消息,響應消息中攜帶請求消息的源端口,即STUN CLIENT在NAT上對應的外部端口。然后響應消息通過(guò)NAT發(fā)送給STUN CLIENT,STUN CLIENT通過(guò)響應消息體中的內容得知其N(xiāo)AT上的外部地址,并將其填入以后呼叫協(xié)議的UDP負載中,告知對端,本端的RTP接收地址和端口號為NAT 外部的地址和端口號。由于通過(guò)STUN協(xié)議已在NAT上預先建立媒體流的NAT映射表項,故媒體流可順利穿越NAT.
STUN協(xié)議最大的優(yōu)點(diǎn)是無(wú)需現有NAT/FW設備做任何改動(dòng)。由于實(shí)際應用中,已有大量的NAT/FW,并且這些NAT/FW并不支持VoIP的應用,如果用MIDCOM或NAT/ALG方式來(lái)解決此問(wèn)題,需要替換現有的NAT/FW,這是不太容易的。而采用STUN方式無(wú)需改動(dòng)NAT/FW,這是其最大優(yōu)勢,同時(shí)STUN方式可在多個(gè)NAT串聯(lián)的網(wǎng)絡(luò )環(huán)境中使用,但MIDCOM方式則無(wú)法實(shí)現對多級NAT的有效控制。
STUN的局限性在于需要VOIP終端支持STUN CLIENT的功能,同時(shí)STUN并不適合支持TCP連接的穿越,因此不支持H323.另外STUN方式不支持對防火墻的穿越,不支持對稱(chēng)NAT (Symmetric NAT)類(lèi)型(在安全性要求較高的企業(yè)網(wǎng)中,出口NAT通常是這種類(lèi)型)穿越。
四、TURN方式
TURN方式解決NAT問(wèn)題的思路與STUN相似,也是私網(wǎng)中的VOIP終端通過(guò)某種機制預先得公網(wǎng)上的服務(wù)地址(STUN方式得到的地址為出口NAT上外部地址,TURN方式得到地址為T(mén)URN Server上的公網(wǎng)地址),然后在報文凈載中所要求的地址信息就直接填寫(xiě)該公網(wǎng)地址。
TURN的全稱(chēng)為T(mén)raversal Using Relay NAT,即通過(guò)Relay方式穿越NAT.TURN應用模型通過(guò)分配TURN Server的地址和端口作為私網(wǎng)中VOIP終端對外的接受地址和端口,即私網(wǎng)終端發(fā)出的報文都要經(jīng)過(guò)TURN Server進(jìn)行Relay轉發(fā),這種方式除了具有STUN方式的優(yōu)點(diǎn)外,還解決了STUN應用無(wú)法穿透對稱(chēng)NAT(Symmetric NAT)以及類(lèi)似的Firewall設備的缺陷,同時(shí)TURN支持基于TCP的應用,如H323協(xié)議。此外TURN Server控制分配地址和端口,能分配RTP/RTCP地址對(RTCP端口號為RTP端口號加1)作為私網(wǎng)終端用戶(hù)的接受地址,避免了STUN方式中出口NAT對RTP/RTCP地址端口號的任意分配,使得客戶(hù)端無(wú)法收到對端發(fā)來(lái)的RTCP報文(對端發(fā)RTCP報文時(shí),目的端口號缺省按RTP端口號加 1發(fā)送)。
TURN的局限性在于需要VOIP終端支持TURN Client,這一點(diǎn)同STUN一樣對網(wǎng)絡(luò )終端有要求。此外,所有報文都必須經(jīng)過(guò)TURN Server轉發(fā),增大了包的延遲和丟包的可能性。
中國通信網(wǎng)(www.c114.net)
相關(guān)鏈接:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
黄石市|
合川市|
静安区|
丽江市|
秦皇岛市|
建德市|
柞水县|
万山特区|
惠州市|
汨罗市|
汕头市|
临夏市|
泊头市|
体育|
新疆|
南岸区|
彭山县|
墨竹工卡县|
自治县|
延边|
米脂县|
江津市|
临城县|
金堂县|
同江市|
阿克陶县|
隆德县|
长岭县|
洛隆县|
澄迈县|
清河县|
怀化市|
吉木乃县|
舟山市|
白城市|
滁州市|
洛扎县|
阿克陶县|
东明县|
怀来县|
房山区|
http://444
http://444
http://444
http://444
http://444
http://444