VoIP穿越NAT和防火墻的方法
2007/08/28
一、NAT/ALG 方式
普通NAT是通過修改UDP或TCP報文頭部地址信息實現(xiàn)地址的轉(zhuǎn)換,但對于VOIP應(yīng)用��,在TCP/UDP凈載中也需帶地址信息��,ALG方式是指在私網(wǎng)中的VOIP終端在凈載中填寫的是其私網(wǎng)地址�����,此地址信息在通過NAT時被修改為NAT上對外的地址����。
語音和視頻協(xié)議(H323、SIP���、MGCP/H248)的識別和對NAT/Firewall的控制���,同時每增加一種新的應(yīng)用都將需要對 NAT/Firewall進行升級。
在安全要求上還需要作一些折衷�����,因為ALG 不能識別加密后的報文內(nèi)容�,所以必須保證報文采用明文傳送,這使得報文在公網(wǎng)中傳送時有很大的安全隱患��。
NAT/ALG是支持VOIP NAT穿透的一種最簡單的方式��,但由于網(wǎng)絡(luò)實際情況是已部署了大量的不支持此種特性的NAT/FW設(shè)備����,因此,實際應(yīng)用中����,很難采用這種方式。
二、MIDCOM 方式
與NAT/ALG不同的是���,MIDCOM的基本框架是采用可信的第三方(MIDCOM Agent)對Middlebox (NAT/FW)進行控制,VOIP協(xié)議的識別不由Middlebox完成�,而是由外部的MIDCOM Agent完成,因此VOIP使用的協(xié)議對Middlebox是透明的 .
由于識別應(yīng)用協(xié)議的功能從Middlebox移到外部的MIDCOM Agent上��,根據(jù)MIDCOM 的構(gòu)�,在不需要更改Middlebox基本特性的基礎(chǔ)上,通過對MIDCOM Agent的升級就可以支持更多的新業(yè)務(wù)����,這是相對NAT/ALG方式的一個很大的優(yōu)勢。
在VOIP實際應(yīng)用中�����,Middlebox功能可駐留在NAT/Firewall���,通過軟交換設(shè)備(即MIDCOM Agent)對IP語音和視頻協(xié)議(H323��、SIP��、MGCP/H248)的識別和對NAT/Firewall的控制��,來完成VOIP應(yīng)用穿越 NAT/Firewall .在安全性上��,MIDCOM方式可支持控制報文的加密�,可支持媒體流的加密,因此安全性比較高���。
如果在軟交換設(shè)備上實現(xiàn)對SIP/H323/MGCP/H248協(xié)議的識別�,就只需在軟交換和NAT/FW設(shè)備上增加MIDCOM協(xié)議即可���,而且以后新的應(yīng)用業(yè)務(wù)識別隨著軟交換的支持而支持���,此方案是一種比較有前途的解決方案,但要求現(xiàn)有的NAT/FW設(shè)備需升級支持MIDCOM協(xié)議�����,從這一點上來說��,對已大量布署的NAT/FW設(shè)備來說����,也是很困難的,同NAT/ALG方式有相同的問題�����。
三、STUN 方式
解決穿透NAT問題的另一思路是����,私網(wǎng)中的VOIP終端通過某種機制預(yù)先得到出口NAT上的對外地址,然后在凈載中所填寫的地址信息直接填寫出口NAT上的對外地址�����,而不是私網(wǎng)內(nèi)終端的私有IP地址��,這樣凈載中的內(nèi)容在經(jīng)過NAT時就無需被修改了�����,只需按普通NAT流程轉(zhuǎn)換報文頭的IP地址即可��,凈載中的 IP地址信息和報文頭地址信息是一致的��。STUN協(xié)議就是基于此思路來解決應(yīng)用層地址的轉(zhuǎn)換問題�����。
STUN的全稱是Simple Traversal of UDP Through Network Address Translators�����,即UDP對NAT的簡單穿越方式�����。 應(yīng)用程序(即STUN CLIENT)向NAT外的STUN SERVER通過UDP發(fā)送請求STUN 消息�,STUN SERVER收到請求消息,產(chǎn)生響應(yīng)消息�,響應(yīng)消息中攜帶請求消息的源端口,即STUN CLIENT在NAT上對應(yīng)的外部端口��。然后響應(yīng)消息通過NAT發(fā)送給STUN CLIENT�,STUN CLIENT通過響應(yīng)消息體中的內(nèi)容得知其NAT上的外部地址,并將其填入以后呼叫協(xié)議的UDP負載中�����,告知對端�����,本端的RTP接收地址和端口號為NAT 外部的地址和端口號��。由于通過STUN協(xié)議已在NAT上預(yù)先建立媒體流的NAT映射表項��,故媒體流可順利穿越NAT.
STUN協(xié)議最大的優(yōu)點是無需現(xiàn)有NAT/FW設(shè)備做任何改動。由于實際應(yīng)用中����,已有大量的NAT/FW,并且這些NAT/FW并不支持VoIP的應(yīng)用��,如果用MIDCOM或NAT/ALG方式來解決此問題���,需要替換現(xiàn)有的NAT/FW�����,這是不太容易的。而采用STUN方式無需改動NAT/FW�����,這是其最大優(yōu)勢��,同時STUN方式可在多個NAT串聯(lián)的網(wǎng)絡(luò)環(huán)境中使用��,但MIDCOM方式則無法實現(xiàn)對多級NAT的有效控制�。
STUN的局限性在于需要VOIP終端支持STUN CLIENT的功能,同時STUN并不適合支持TCP連接的穿越����,因此不支持H323.另外STUN方式不支持對防火墻的穿越�,不支持對稱NAT (Symmetric NAT)類型(在安全性要求較高的企業(yè)網(wǎng)中��,出口NAT通常是這種類型)穿越���。
四����、TURN方式
TURN方式解決NAT問題的思路與STUN相似��,也是私網(wǎng)中的VOIP終端通過某種機制預(yù)先得公網(wǎng)上的服務(wù)地址(STUN方式得到的地址為出口NAT上外部地址���,TURN方式得到地址為TURN Server上的公網(wǎng)地址)��,然后在報文凈載中所要求的地址信息就直接填寫該公網(wǎng)地址�����。
TURN的全稱為Traversal Using Relay NAT�����,即通過Relay方式穿越NAT.TURN應(yīng)用模型通過分配TURN Server的地址和端口作為私網(wǎng)中VOIP終端對外的接受地址和端口����,即私網(wǎng)終端發(fā)出的報文都要經(jīng)過TURN Server進行Relay轉(zhuǎn)發(fā),這種方式除了具有STUN方式的優(yōu)點外����,還解決了STUN應(yīng)用無法穿透對稱NAT(Symmetric NAT)以及類似的Firewall設(shè)備的缺陷,同時TURN支持基于TCP的應(yīng)用�����,如H323協(xié)議����。此外TURN Server控制分配地址和端口,能分配RTP/RTCP地址對(RTCP端口號為RTP端口號加1)作為私網(wǎng)終端用戶的接受地址����,避免了STUN方式中出口NAT對RTP/RTCP地址端口號的任意分配�����,使得客戶端無法收到對端發(fā)來的RTCP報文(對端發(fā)RTCP報文時�����,目的端口號缺省按RTP端口號加 1發(fā)送)。
TURN的局限性在于需要VOIP終端支持TURN Client����,這一點同STUN一樣對網(wǎng)絡(luò)終端有要求。此外���,所有報文都必須經(jīng)過TURN Server轉(zhuǎn)發(fā)�����,增大了包的延遲和丟包的可能性�。
中國通信網(wǎng)(www.c114.net)
相關(guān)鏈接: