私網(wǎng)穿越技術(shù)在軟交換體系中的應(yīng)用

作者：時(shí)間：2010-09-29 來(lái)源：網(wǎng)絡(luò)

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對(duì)面交流
  海量資料庫(kù)查詢(xún)

　　防火墻通過(guò)查詢(xún)自己維護(hù)的連接列表，就可以把這條信令消息正確的發(fā)送給終端B了。呼叫接續(xù)流程的其它信令消息，轉(zhuǎn)接方式與INVITE類(lèi)似。

　　4. 用NAT/FW Proxy實(shí)現(xiàn)媒體流的代理連接

　　以圖5中終端A呼叫終端C為例，當(dāng)A發(fā)出INVITE消息并到達(dá)NAT/FW Proxy后，NAT/FW Proxy會(huì)為A分配兩個(gè)RTP代理端口，一個(gè)是呼出代理端口，記為A1，另一個(gè)是呼入代理端口，記為A2。NAT/FW Proxy使用A2的端口信息替換原INVITE消息中SDP包中對(duì)RTP端口的描述，并發(fā)給軟交換。當(dāng)軟交換發(fā)回終端C的SDP信息時(shí)，NAT/FW Proxy記錄終端C的實(shí)際RTP端口，并用A1的端口信息進(jìn)行替換，發(fā)給終端A。當(dāng)呼叫建立后，終端A一旦開(kāi)始發(fā)送RTP包，就會(huì)在私網(wǎng)設(shè)備上建立一個(gè)臨時(shí)的RTP“窗口”，只要媒體流不斷在發(fā)送（在沒(méi)有話(huà)音時(shí)終端也應(yīng)該發(fā)送舒適噪聲的RTP包），這個(gè)“窗口”就一直打開(kāi)。由于設(shè)備A得到的對(duì)端RTP端口實(shí)際是NAT/FW Proxy上的呼出代理端口A1，因此RTP包會(huì)發(fā)向NAT/FW Proxy，NAT/FW Proxy將RTP包再發(fā)給終端C真正的RTP端口。同樣，終端C得到的A的RTP端口實(shí)際是NAT/FW Proxy上的代理端口A2，所以RTP包會(huì)發(fā)向A2，然后由NAT/FW Proxy通過(guò)私網(wǎng)設(shè)備上的臨時(shí)RTP“窗口”將RTP包轉(zhuǎn)發(fā)給終端A。

　　當(dāng)兩個(gè)設(shè)備分別在兩個(gè)防火墻內(nèi)，且都注冊(cè)到一個(gè)NAT/FW Proxy上時(shí)，如圖5中終端A呼叫終端B的情況，由于NAT/FW Proxy可以知道兩個(gè)設(shè)備都是注冊(cè)在自己上面的，因此并不需要為每個(gè)終端都分配兩個(gè)代理端口，而只用分配一對(duì)端口。如A1和B1，其中A1既作為終端A的呼出端口，也做為終端B的呼入端口，而B(niǎo)1既做為終端B的呼出端口，也做為終端A的呼入端口。如果終端A和終端B還是處于同一個(gè)私網(wǎng)網(wǎng)關(guān)設(shè)備之下，NAT/FW Proxy完全可以不為它們分配任何代理端口，而是讓它們?cè)谒骄W(wǎng)內(nèi)部直接建立RTP流的連接。

　　5. 其它問(wèn)題的考慮

　　以上對(duì)于使用NAT/FW Proxy來(lái)實(shí)現(xiàn)私網(wǎng)穿越的方法的描述，都是基于使用SIP協(xié)議的終端，但實(shí)際上這種方法并不僅限于SIP終端，當(dāng)終端使用H.248，MGCP等協(xié)議時(shí)，只要有對(duì)應(yīng)的NAT/FW Proxy支持，也同樣可以實(shí)現(xiàn)私網(wǎng)穿越。

　　從構(gòu)架上看，需要進(jìn)行私網(wǎng)穿越代理的設(shè)備非常多，一臺(tái)NAT/FW Proxy無(wú)法處理時(shí)，完全可以部署多個(gè)NAT/FW Proxy，并讓這些設(shè)備注冊(cè)到不同的NAT/FW Proxy上。如配置一臺(tái)NAT/FW Proxy處理SIP終端的私網(wǎng)穿越，配置兩臺(tái)NAT/FW Proxy來(lái)處理MGCP終端的私網(wǎng)穿越等。

四、在軟交換體系中的擴(kuò)展應(yīng)用

　　使用NAT/FW Proxy的構(gòu)架，除了能夠?qū)崿F(xiàn)私網(wǎng)穿越的功能外，只要稍加擴(kuò)展，還可以為軟交換體系帶來(lái)其他一些意外收獲。

　　1.可以保護(hù)軟交換設(shè)備免遭攻擊

　　在正常的配置情況下，軟交換設(shè)備的地址對(duì)于所有用戶(hù)都是可見(jiàn)的，這時(shí)如果有人惡意的對(duì)軟交換發(fā)起某些攻擊，比如DoS攻擊，是比較難以防范的。但是如果要求所有終端都注冊(cè)到NAT/FW Proxy設(shè)備上，通過(guò)NAT/FW Proxy的代理與軟交換發(fā)生聯(lián)系，那么軟交換地址對(duì)外就完全是不可見(jiàn)的了，并且由于NAT/FW Proxy設(shè)備的成本相對(duì)低廉，可以配置多個(gè)，即使遭到攻擊，只要讓終端上更換一個(gè)NAT/FW Proxy進(jìn)行注冊(cè)就可以了。

　　2.防止通信欺詐行為

　　一般情況下，一旦軟交換為雙方建立起呼叫，那么雙方終端的地址、端口、媒體能力等就完全向?qū)Ψ酵该骰?，這時(shí)如果有人使用一些支持點(diǎn)對(duì)點(diǎn)連接的終端，繞過(guò)軟交換而直接向?qū)Ψ桨l(fā)起連接，則軟交換就無(wú)法進(jìn)行計(jì)費(fèi)，也就會(huì)出現(xiàn)通信欺詐行為了。如果按照1中所述，把所有終端都注冊(cè)到NAT/FW Proxy上，那么終端只能通過(guò)NAT/FW Proxy上的代理端口進(jìn)行交互，終端之間透明的只有對(duì)方的號(hào)碼，這樣可以在很大程度上避免欺詐行為的發(fā)生。

　　3.可以使媒體流授控

　　假設(shè)所有終端都注冊(cè)在NAT/FW Proxy上，則終端之間的媒體流也都要經(jīng)過(guò)NAT/FW Proxy進(jìn)行轉(zhuǎn)接，如果增強(qiáng)NAT/FW Proxy的功能，就完全有可能解決在軟交換體系中媒體流不授控的問(wèn)題，如可以實(shí)現(xiàn)按流量計(jì)費(fèi)，可以控制用戶(hù)帶寬防止未授權(quán)的媒體流連接（比如視頻媒體流），可以獲得媒體流的QoS信息，甚至可以滿(mǎn)足國(guó)家安全部門(mén)對(duì)敏感通話(huà)監(jiān)聽(tīng)的要求。

　　但是，要實(shí)現(xiàn)如上的這些好處，也是要付出代價(jià)的，那就是整個(gè)軟交換網(wǎng)絡(luò)的媒體流都要匯聚到各個(gè)NAT/FW Proxy所在的位置，大大增加了這部分網(wǎng)絡(luò)的負(fù)擔(dān)，同時(shí)在一定程度上也減弱了軟交換由于控制與承載分離而帶來(lái)的許多靈活性。

五、結(jié)束語(yǔ)

　　本文介紹了一種通過(guò)設(shè)置特殊的代理服務(wù)器，來(lái)解決軟交換網(wǎng)絡(luò)中私網(wǎng)穿越問(wèn)題的方法，現(xiàn)在這種方法已經(jīng)開(kāi)始被應(yīng)用。相信隨著軟交換網(wǎng)絡(luò)的規(guī)模不斷擴(kuò)大，這種私網(wǎng)穿越的方法會(huì)被越來(lái)越多的應(yīng)用到軟交換網(wǎng)絡(luò)當(dāng)中去。