网络通信 频道

多媒体通讯中防火墙和NAT问题的解决(3)

5.虚拟专用网(VPN)

  VPN技术是当前在IP网络上提供安全通讯的的方法之一,在同一个VPN网内可以解决防火墙穿越问题;不久的未来,确保网络安全和QoS的VPRN技术将是IP网上进行多媒体通讯的最有潜力的解决方案。

  在VPN技术中,在UDP和TCP层下的IPSec层被用来提供安全的IP通讯,但由于基于VPN技术的IPSec层使用它自己的连接标识符而不是UDP或TCP端口,而且IPSec上面的层要被加密,这套自己的机制对NAT尤其是NAPT是不可通过的。为了解决NAT穿越问题,最好选择由一个生产商提供的整合防火墙,NAPT和VPN功能的解决方案。

  另外,虽然VPN方案是很安全的,但它仅仅允许位于同一个VPN内的设备进行通讯,而无法与位于公众网的终端用户进行通讯。

  6.隧道穿透方案

  一般企业网都不想升级或者改动他们的防火墙和NAT设备的配置,也不想让内外的交互通讯绕过这些设备,采用允许IP语音和视频穿越防火墙和NAT的隧道穿透方案也许是最合适的,目前提供此类解决方案的有美国的Ridgeway公司。

  隧道穿透解决方案由两个组件构成,Server软件和Client软件。Client放在防火墙内的私有网,它同时具有网守功能和代理功能,私有网内的终端注册到Client上,它和防火墙外的Server创建一个信令和控制通道,可以把所有的注册和呼叫控制信令转发到Server,也把音视频数据转发到Server,在转发时它把内部终端发送的和外部发往终端的数据包的地址和端口号替换为自己的。Server放在防火墙外的公众空间,可以位于服务提供商网络或者位于企业网的DMZ区域,Server扮演网守代理的角色,从Client收到的所有注册和呼叫信令都被Server转发到中心网守。 Server和Client之间的通讯主要通过两个固定的端口来传输数据,这两个端口是2776和2777端口,被IANA机构分配给Ridgeway的系统。

  当私网内Client启动时:

  1.它与Server上的2776端口建立一个固定连接用来传送控制和状态信息;
  2.它监听私网内H.323网守注册和请求信息;

  当一个终端启动时:

  1.终端通过Client/Server之间的连接发送注册信息到中心网守;
  2.Server分配给每一个注册的终端一个唯一的端口号(与Server的IP地址对应)。

  当一个终端呼叫防火墙外的另一个终端时,所有的数据包都通过Client路由到Server,返回的数据也从Server通过Client路由回到终端。当呼叫被建立后,Client确保所有必需的经过防火墙的音视频通道保持开放,这样音视频数据可以通过这些防火墙上开放的通道进行传输。

  使用这种方法IP地址信息被很好的屏蔽,因为所有的数据包通过Server来路由转发,每个终端好像看来在直接地和Server进行通信,而不是和别的终端,这保证了终端的IP地址在网络外不可得到。而且这种方法在大多数情况下不用对防火墙配置进行任何修改。对于那些防火墙设置限制打开向外的端口的情况,管理员可以创建简单的原则来允许从Client到Server上两个固定的端口2776和2777的向外的连接。

  这个方法不仅仅局限于企业应用,服务提供商可以把Server放在ISP网络的中枢向小企业和用户提供防火墙和NAT穿越服务。不管是企业用户还是服务提供商应用,呼叫终端变得如此简单,仅需下载一个Client软件装在PC上,而且不用关心在呼叫建立的路径上存在多少个防火墙或NAT设备。

  这个方法最大的缺点是所有经过防火墙的通讯都必须经由Server来进行中转,这会引起潜在的瓶颈,这个经由Client和Server的过程会增加少于5ms的延迟。但是这又是必须的,因为Server是防火墙唯一信任的设备。

  附术语表:

  DMZ (Demilitarized Zone)非保护区
  H.323 基于包交换网络的视频会议标准
  IANA (Internet Assigned Number Authority) 互联网编号分配机构    IPSec Internet 协议安全
  MidCom (Middlebox Communications)中间盒通讯
  NAPT (Network Address Port Translation)网络地址端口翻译
  NAT (Network Address Translation)网络地址翻译
  PSTN (Public Switched Telephone Network) 公众交换电话网
  QoS (Quality of Service) 服务质量
  SIP (Session Initiation Protocol) 会话发起协议
  VPN (Virtual Private Network)虚拟专用网
  VPRN (Virtual Private Routed Networks) 虚拟专用路由网

 

转载地址:http://www.voipchina.cn/technology/2004-03-24/36911.shtml

0
相关文章