会话控制器实现VoIP防火墙/NAT穿越
会话控制器实现VoIP防火墙/ NAT穿越
VoIP Traversal of Firewall and NAT using Session Controller
天津大学电子信息工程学院 王新乐 沈保锁 韩实
2005年4月28日收到修改稿。王新乐:硕士生,研究方向为下一代网路、数字电视。
摘要:VoIP技术的出现大大降低了电信语音业务的运营成本,但VoIP穿越防火墙/NAT等问题一直阻碍着VoIP的大规模应用。本文着重介绍了会话控制器的功能及其在解决防火墙/NAT穿越问题中的应用。
关键词:VoIP;防火墙;网络地址转换;会话控制器
概述
自上世纪90年代以来,电信业务朝着数字化和宽带化方向发展,随着数据业务、多媒体业务在网络中主导地位的逐步确立,NGN(下一代网络)正朝着全IP的方向发展,IP将成为语音、数据、信令的统一载体。尽管目前数据业务已经占据了约一半的网络带宽,但70%-80%的电信业务收入却仍然来自语音业务。VoIP技术成为新的电信公司进军电信市场的利器,因此近年来VoIP技术正以前所未有的速度发展。预计到2010年,大多数拨号电话业务可望实现IP化。
由于IP 地址紧缺以及网络安全等原因,大量的企业网和用户驻地网基本上都采用了私有IP 地址通过出口的防火墙(Firewall)/NAT(Network Address Translators网络地址转换)接入公网,而目前在IP 网上承载语音和视频的协议,如H.323,SIP,MGCP等,由于其本身的特点所决定,在私网用户接入应用中,这些协议的信令通道/媒体通道难以穿越传统的防火墙/NAT设备与公网进行互通,原因在于,复杂的H.323、SIP、MGCP协议动态分配端口并产生和维护多个UDP数据流。服务提供商若想大规模部署VoIP网络,必须解决防火墙/NAT穿越问题。
防火墙和NAT
防火墙
防火墙是一类防范措施的总称,它使得内部网络与其它外部网络互相隔离,通过限制网络互访来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
防火墙的功能有:
1. 过滤掉不安全服务和非法用户;
2. 控制对特殊站点的访问;
3. 提供监视Internet安全和预警的方便端点。
防火墙总是被配置成过滤掉所有不请自到的网络通信,可以分为两大类:包过滤防火墙和应用级防火墙。
NAT
网络地址转换(NAT)置于两网间的边界,其功能是将外网公开的IP 地址与内网私有的IP地址相映射,这样,受保护的内网可使用私有IP地址,而这些地址是不用于公网的。从外网来的含公网地址信息的数据包先到达NAT ,NAT 使用预先设定的规则(例如源地址、源端口、目的地址、目的端口、协议)来修改数据包,然后再转发给内网接收点。对于流出内网的数据包也须经过同样的转换处理。NAT的作用如图1所示。
>图1 网络地址转换NAT将内网地址转换为公网地址
VoIP穿越防火墙/ NAT存在的问题
VoIP穿越防火墙存在的问题
防火墙检查从外部进来的每个数据包的IP地址和目的端口号,它经常如此设置:如果防火墙内的终端A向防火墙外的终端Y主动发出请求,防火墙会让外部终端Y的数据包通过,而且仅当数据包的目的地址和端口号与防火墙内发起请求的终端A的地址和端口号相同;如果终端Z向防火墙内的终端B发送连接请求,呼叫信息就会被防火墙拦截而无法到达。如图2所示。
