会话控制器实现VoIP防火墙/ NAT穿越

会话控制器及其实现防火墙/NAT穿越  

会话控制器

会话控制器是一种新的网络设备，它为各种IP网络提供单一的接口以完成端到端的VoIP通信。会话控制器是一个完整的网络管理解决方案，它能在一个单一的平台上为VoIP服务提供商提供智能路由、网络保护和网络边界控制等功能。会话控制器有先进的跨网络传输管理能力，传统上阻碍SIP网络和H.323网络通过IP互连的围绕网络安全、信令互通和防火墙/NAT穿越等多种问题均可得以克服。  

目前，生产会话控制器的厂商主要有：Nextone，MERA Systems，Newport Networks，Acme Packet等。全球已有30多个国家的250多家服务提供商使用MVTS会话控制器。

会话控制器能够：

_ 解决防火墙/NAT穿越问题，使得位于防火墙后的用户可以使用公共SIP服务。例如：安全的接听呼入的SIP语音呼叫；

_ 按会话的不同修改和加强QoS标记（ToS 比特，DiffServ代码）以提供SLAs（服务级别协议）；

_ 通过隐藏内部网络地址来保护服务提供商的网络，并防止拒绝服务攻击（DoS）；

_ 收集用于产生费用详细记录（Charge Detail Records）的有用信息。

会话控制器能够让服务提供商管理两个相关联的通信平面：

_ 控制平面——打开、关闭选定类型的媒体连接，决定用户策略，为相应连接提供相关服务，如会议桥；  

_ 媒体平面——在特定的连接上提供可靠的端到端的媒体流传输。 会话控制器实现VoIP防火墙/NAT穿越  会话控制器完成信令代理和媒体代理的功能，从而解决防火墙/NAT穿越问题。

                         

                                图4 会话控制器实现防火墙/NAT穿越  

如图4所示，会话控制器中的信令代理（SignallingProxy）相当于用户代理（User Agent）和呼叫代理（Call Agent）间的信令传输点。媒体代理（MediaProxy）在信令代理的控制下，为用户代理间的RTP和RTCP媒体流提供传输服务。信令代理和媒体代理间使用Megaco/H.248协议交换信息。当防火墙内的用户代理向会话控制器发送SIP信令信息时，NAT将内网地址转换为公网地址，再发往会话控制器的信令代理。当信令代理收到用户代理发送过来的REGISTER信息时，会话控制器为此终端分配一个地址和端口并修改REGISTER信息作为源地址发往呼叫代理。若使用UDP传输协议，终端设备会周期性地发注册信息到会话控制器，使防火墙/NAT对通过的信息流始终保持一个确定的端口（NAT一般将60秒内不活动的端口冲刷掉）。为了减轻呼叫代理的负担，会话控制器的信令代理收到相同的注册信息时不再向呼叫代理转发（或每一小时向呼叫代理转发一次注册信息）。

呼叫建立过程为：当会话控制器的信令代理收到来自内网的用户代理'X'发起的INVITE信息时，信令代理与媒体代理交换信息，获得为此次呼叫动态分配的用于传输媒体流的地址信息，然后修改源IP地址和SDP域，使得信令代理作为返回信令的地址，媒体代理地址作为媒体流的发送地址。之后，INVITE信息被转发给呼叫代理。在呼叫代理看来，INVITE信息来自于会话控制器。当接收终端'Y'返回ACK信息时，会话控制器修改ACK信息，以便让发起端发送媒体流到会话控制器为此次呼叫分配的地址。会话控制器从媒体流中读取源IP地址和端口号以便媒体代理完成双方间的媒体流转发，从而完成此次呼叫的建立。

当INVITE信息来自于公共网络时，会话控制器的信令代理对SIP信息进行类似的修改，以保证能够正确建立呼叫。由于媒体会话总是首先从防火墙内发往会话控制器媒体代理上的端口，媒体代理可从中读取出发送端的地址和端口以便将两终端间的媒体流正确转发。同时会话控制器拒绝非法的媒体流进入，提高了网络的安全性。  

由于所有的信令信息和媒体流都经过会话控制器，服务提供商可以对会话进行控制，并记录费用信息等内容。

结语

会话控制器是对防火墙/NAT穿越问题完善的解决方案，它对原有防火墙/NAT无需做任何改变，同时还可以用于协助Voip穿越远端防火墙/NAT设备。会话控制器简化了VoIP网络的互连，能更有效地进行路由选择，管理跨IP网络的实时会话业务并控制网络边缘。

当服务提供商计划向电信伙伴和企业客户提供基于IP的实时服务时，会话控制器是完成这项任务的最好选择。会话控制器让各种IP网络能自由连接，使得服务提供商和用户均能从中受益。随着VoIP和其它实时的、基于分组的服务的市场需求的强烈，服务提供商们正处于电信基础架构的变革之中。会话控制器可部属于服务提供商网络的核心和边缘，正逐步成为VoIP网络的核心设备。