会话控制器实现VoIP防火墙/ NAT穿越
时间:08-30
来源:互联网
点击:
概述
自上世纪90年代以来,电信业务朝着数字化和宽带化方向发展,随着数据业务、多媒体业务在网络中主导地位的逐步确立,NGN(下一代网络)正朝着全IP的方向发展,IP将成为语音、数据、信令的统一载体。尽管目前数据业务已经占据了约一半的网络带宽,但70%-80%的电信业务收入却仍然来自语音业务。Voip技术成为新的电信公司进军电信市场的利器,因此近年来VoIP技术正以前所未有的速度发展。预计到2010年,大多数拨号电话业务可望实现IP化。
由于IP 地址紧缺以及网络安全等原因,大量的企业网和用户驻地网基本上都采用了私有IP 地址通过出口的防火墙(Firewall)/NAT(Network Address Translators网络地址转换)接入公网,而目前在IP 网上承载语音和视频的协议,如H.323,SIP,MGCP等,由于其本身的特点所决定,在私网用户接入应用中,这些协议的信令通道/媒体通道难以穿越传统的防火墙/NAT设备与公网进行互通,原因在于,复杂的H.323、SIP、MGCP协议动态分配端口并产生和维护多个UDP数据流。服务提供商若想大规模部署VoIP网络,必须解决防火墙/NAT穿越问题。
防火墙和NAT
防火墙
防火墙是一类防范措施的总称,它使得内部网络与其它外部网络互相隔离,通过限制网络互访来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
防火墙的功能有:
1. 过滤掉不安全服务和非法用户;
2. 控制对特殊站点的访问;
3. 提供监视Internet安全和预警的方便端点。
防火墙总是被配置成过滤掉所有不请自到的网络通信,可以分为两大类:包过滤防火墙和应用级防火墙。
NAT
网络地址转换(NAT)置于两网间的边界,其功能是将外网公开的IP 地址与内网私有的IP地址相映射,这样,受保护的内网可使用私有IP地址,而这些地址是不用于公网的。从外网来的含公网地址信息的数据包先到达NAT ,NAT 使用预先设定的规则(例如源地址、源端口、目的地址、目的端口、协议)来修改数据包,然后再转发给内网接收点。对于流出内网的数据包也须经过同样的转换处理。NAT的作用如图1所示。
图1 网络地址转换NAT将内网地址转换为公网地址
VoIP穿越防火墙/ NAT存在的问题
VoIP穿越防火墙存在的问题
防火墙检查从外部进来的每个数据包的IP地址和目的端口号,它经常如此设置:如果防火墙内的终端A向防火墙外的终端Y主动发出请求,防火墙会让外部终端Y的数据包通过,而且仅当数据包的目的地址和端口号与防火墙内发起请求的终端A的地址和端口号相同;如果终端Z向防火墙内的终端B发送连接请求,呼叫信息就会被防火墙拦截而无法到达。如图2所示。
Voip穿越NAT存在的问题
NAT像PABX(专用自动交换分机)类似的方式工作。PABX用户可以使用几个可用的公共电话线(等同于公共IP地址)中的一个进行呼叫,使用的线路(端口号)被自动的选择,并且对用户是不可见的。接收输入呼叫更困难一些,呼入用户必须首先被接入到一个服务员(自动的或人工的)以被连接到正确的分机号。然而在VoIP网络中,事情却没有这么简单。
图3 NAT破坏了端到端的媒体流
如图3所示,当私有地址为192.168.0.45:5060的终端向外发起呼叫时,信令信息通过带有NAT功能的防火墙后地址被转换为202.113.2.50:5000。当呼叫建立后,终端使用地址192.168.0.45:8000发送媒体流,这个地址是通过SIP信令信息告诉对方的。然而,媒体流经过带有NAT功能的防火墙后,地址被转换为202.113.2.50:8000,而被呼叫方仍向地址192.168.0.45:8000发送媒体信息。由于此地址是不可路由的,路由器会丢弃此信息,呼叫显示已连接,但无法完成媒体信息的传送。
自上世纪90年代以来,电信业务朝着数字化和宽带化方向发展,随着数据业务、多媒体业务在网络中主导地位的逐步确立,NGN(下一代网络)正朝着全IP的方向发展,IP将成为语音、数据、信令的统一载体。尽管目前数据业务已经占据了约一半的网络带宽,但70%-80%的电信业务收入却仍然来自语音业务。Voip技术成为新的电信公司进军电信市场的利器,因此近年来VoIP技术正以前所未有的速度发展。预计到2010年,大多数拨号电话业务可望实现IP化。
由于IP 地址紧缺以及网络安全等原因,大量的企业网和用户驻地网基本上都采用了私有IP 地址通过出口的防火墙(Firewall)/NAT(Network Address Translators网络地址转换)接入公网,而目前在IP 网上承载语音和视频的协议,如H.323,SIP,MGCP等,由于其本身的特点所决定,在私网用户接入应用中,这些协议的信令通道/媒体通道难以穿越传统的防火墙/NAT设备与公网进行互通,原因在于,复杂的H.323、SIP、MGCP协议动态分配端口并产生和维护多个UDP数据流。服务提供商若想大规模部署VoIP网络,必须解决防火墙/NAT穿越问题。
防火墙和NAT
防火墙
防火墙是一类防范措施的总称,它使得内部网络与其它外部网络互相隔离,通过限制网络互访来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
防火墙的功能有:
1. 过滤掉不安全服务和非法用户;
2. 控制对特殊站点的访问;
3. 提供监视Internet安全和预警的方便端点。
防火墙总是被配置成过滤掉所有不请自到的网络通信,可以分为两大类:包过滤防火墙和应用级防火墙。
NAT
网络地址转换(NAT)置于两网间的边界,其功能是将外网公开的IP 地址与内网私有的IP地址相映射,这样,受保护的内网可使用私有IP地址,而这些地址是不用于公网的。从外网来的含公网地址信息的数据包先到达NAT ,NAT 使用预先设定的规则(例如源地址、源端口、目的地址、目的端口、协议)来修改数据包,然后再转发给内网接收点。对于流出内网的数据包也须经过同样的转换处理。NAT的作用如图1所示。
图1 网络地址转换NAT将内网地址转换为公网地址
VoIP穿越防火墙/ NAT存在的问题
VoIP穿越防火墙存在的问题
防火墙检查从外部进来的每个数据包的IP地址和目的端口号,它经常如此设置:如果防火墙内的终端A向防火墙外的终端Y主动发出请求,防火墙会让外部终端Y的数据包通过,而且仅当数据包的目的地址和端口号与防火墙内发起请求的终端A的地址和端口号相同;如果终端Z向防火墙内的终端B发送连接请求,呼叫信息就会被防火墙拦截而无法到达。如图2所示。
图2 防火墙问题
像传统电信一样,基于SIP的通信,也必须能够接受来自各个地域的呼叫,也就是必须支持真正的公共服务。SIP在初始会话时通常要用到TCP或UDP作为传输协议,同时采用任意分配的动态随机端口,而目前的防火墙一般仅允许事先打开特定的协议和端口,并不支持动态分配媒体流的隧道机制。这也就是说网络管理者为了允许SIP媒体流通过防火墙将不得不打开防火墙上所有的端口,这样一来,防火墙也就失去了存在的意义。由于网络安全的原因,很少企业会让他们的网络防火墙如此开放。
Voip穿越NAT存在的问题
NAT像PABX(专用自动交换分机)类似的方式工作。PABX用户可以使用几个可用的公共电话线(等同于公共IP地址)中的一个进行呼叫,使用的线路(端口号)被自动的选择,并且对用户是不可见的。接收输入呼叫更困难一些,呼入用户必须首先被接入到一个服务员(自动的或人工的)以被连接到正确的分机号。然而在VoIP网络中,事情却没有这么简单。
图3 NAT破坏了端到端的媒体流
如图3所示,当私有地址为192.168.0.45:5060的终端向外发起呼叫时,信令信息通过带有NAT功能的防火墙后地址被转换为202.113.2.50:5000。当呼叫建立后,终端使用地址192.168.0.45:8000发送媒体流,这个地址是通过SIP信令信息告诉对方的。然而,媒体流经过带有NAT功能的防火墙后,地址被转换为202.113.2.50:8000,而被呼叫方仍向地址192.168.0.45:8000发送媒体信息。由于此地址是不可路由的,路由器会丢弃此信息,呼叫显示已连接,但无法完成媒体信息的传送。
- 曹淑敏:Wimax与3G互为补充但面临四个挑战(08-23)
- WiMAX的“青春期综合症”(08-23)
- 无线自组织网络测试平台设计与实现(08-18)
- WiMAX技术优势如何成就市场(08-23)
- WiMAX标准新进展——IEEE批准移动WiMAX标准(08-28)
- 超宽带通信技术及其应用(08-18)