信息产业部电信研究院通信标准所 何宝宏 李键芳
为了解决网络安全问题和地址资源匮乏等问题,大量企业和驻地网采用了私有编址(RFC1918),并通过NAT/防火墙来控制与公共网络的通信。NAT/防火墙能够完成私有编址与公网编址的相互转化,并设置相应的包过滤规则,让不满足条件的IP包不能够穿透NAT/防火墙。NAT/防火墙对HTTP等端口固定的一般应用协议,只需要转换IP/TCP/UDP头,即可很好地实现穿透,但对于H.323/SIP/H.248/MGCP应用来说,是在控制信息中动态地协商媒体流端口,信令协议里面的IP地址也是私有的,而私有IP地址在公网上是不能路由的,动态分配的端口为在NAT/防火墙上配置固定的包过滤策略带来了困难。
随着基于SIP/H.323的语音和视讯业务的蓬勃发展,加上中国IP地址又极其短缺,因此这一问题在中国非常突出和重要,解决问题也就很迫切。由于在国际上此问题并不是很重要,所以国际标准化组织对此问题的研究和标准化工作进展迟缓,成果很少。
为此,中国通信标准化协会IP与多媒体工作委员会业务与应用工作组于2003开始对此课题的研究和标准化工作。2003年11月,在成都第一次举行了为期两天的“SIP/H.323穿越NAT”研讨会,会议的主要议题是,讨论如何解决中国所面临的在大量部署基于SIP/H.323的话音、视讯,以及基于软交换的下一代网络(NGN)业务时,所面临的穿越NAT/防火墙的问题。在成都会议所取得额成果的基础上,2004年3月又在北京举行了第二次会议,会议的主要议题是研究并确定不同的穿越方案(机制)应该遵守的一般性要求。深圳天僖,北京万林科,ZTE、化为、上海BELL,中国普天、成都迈普、广东北电、中国电信广东研究院、BISC公司以及电信研究院等都以正式文稿的形式提出了宝贵的意见或建议,多家厂商提出了口头建议或参与了讨论。下面是两次会议后所取得的一些研究成果的简单介绍。
一、NAT在网络中的位置
在讨论穿越要求和技术方案之前,首先必须明确的就是NAT在网络中的位置,即所谓的部署场景问题。
目前,国内外尚无NAT的标准可以依据,而不同的NAT实现方式会对穿越机制产生重要影响,某一种特定的穿越方案可能仅适用于某一类或几类NAT的穿越。从不同的角度NAT可以分为不同的类型,如可分为静态NAT、动态NAT和NAPT,或者分为Full Cone型NAT、部分Cone型NAT、对称型NAT。不同NAT的实现技术对穿越方案的可能影响有待研究。
二、穿越技术
目前的典型穿越技术可以归纳为5类,各自均具有不同的优点和缺点。
1.ALG方式
ALG(Application Level Gateway)方式是最早出现的NAT穿越解决方案。ALG是在传统的NAT上进行协议扩展,使之具备感知SIP、H.323、H.324和MGCP等呼叫控制协议的能力,从而完成呼叫控制协议的解析和地址翻译功能。
ALG方式是最简单一种NAT穿越方案,然而其缺点也非常明显。(1)可扩展性不强,即每增加一种应用都需要对ALG设备进行升级;(2)增加了NAT设备的负担,影响地址穿越的效率和性能;(3)已部署的大量NAT的升级改造工作非常困难。因此,尽管ALG方式在某些应用环境获得了一部分应用,但随着技术的发展,ALG方式已逐渐被其他更优的方式所取代。
2.MIDCOM
MIDCOM技术是为了解决ALG和代理技术所共有的可扩展性不强而出现的一种NAT穿越解决方案。MIDCOM技术是采用可信的第三方(MIDCOM Agent)对Middlebox(NAT)进行控制,由MIDCOM Agent控制Middlebox打开和关闭媒体端口。总的来说,MIDCOM技术是一种理想的NAT穿越解决方案,它将IP语音和视频业务识别的智能从Middlebox转移到外部的MIDCOM Agent上,应用协议对Middlebox来说是透明的。
通常,MIDCOM Agent的功能可以集成在呼叫控制服务器(如SIP服务器、GK或软交换设备)之中,而Middlebox功能集成在NAT之中,MIDCOM Agent和Middlebox之间接口采用MIDCOM协议完成互通。MIDCOM技术的优势在于可扩展性强,新增应用只需对MIDCOM Agent进行扩展,而不会导致MIDBOX重新升级。然而,MIDCOM技术的实施需要对服务器和现有的NAT需要同时进行MIDCOM协议的升级扩展,因此该方案的实施不可避免带来了现有设备升级的困难。同时,MIDCOM协议尚处于不断完善的阶段,设备制造商提供的产品种类有限,因而现阶段MIDCOM方式的实际应用并不多见。但可以预见的是,随着MIDCOM协议的不断成熟和发展,该方式将获得越来越多的应用前景。
3.代理技术
代理技术是为缓解ALG方式所带来的现有NAT升级困难而出现的,也是目前比较流行的一种NAT穿越解决方。它是采用代理设备为私网内SIP、H.323、MGCP和H.248用户的语音和多媒体呼叫业务提供信令通道和媒体通道的地址转换功能。代理方式在网络中部署的位置也比较灵活,既可以应用于私网内部、也可以应用于公网和私网边缘或公网。由于采用专用的IP语音和视频业务的代理设备,代理方式无需对现有的传统NAT进行协议扩展,所以不会影响数据业务的NAT穿越。同时,代理技术在实现NAT穿越时对终端的特殊要求也比较少,因此代理方式正逐步成为当前实现NAT穿越的主要方式。然而,代理技术有着与ALG方式相同的局限性,即每增加一种新的应用需要对代理设备进行协议扩展。此外,代理设备需同时对信令和媒体进行中继转发,除工作效率和转发速度受影响之外,还不可避免地增加了语音包和视频包的时延和丢包可能性。
4.隧道机制
隧道机制逻辑上由隧道客户端和隧道服务器两部分构成。隧道客户端和隧道服务器通过隧道协议建立一条隧道,实现信令和媒体流透明穿越NAT。隧道客户端无需识别H.323、SIP、MGCP或H.248等呼叫信令协议,信令识别功能由隧道服务器来完成,并由隧道服务器转发至公网中的服务器。通常,隧道客户端位于私网内部,隧道服务器位于公网。隧道机制的特点是不需对现有NAT设备作任何扩展,仅需要NAT设备通过策略配置打开几个知名端口,从而降低打开过多端口所带来的安全隐患。此外,隧道穿越机制很容易实现多级NAT的穿越问题。
5.协议扩展
协议扩展是针对各个信令协议的特点,在信令消息中增加新的消息参数或者对原有的呼叫流程进行改进,使之可以适应于私网到公网地址的穿越。该方案的优点是无需对现有NAT设备进行改动,缺点是现有的终端和软交换设备、网守和SIP服务器等控制设备需要同时进行扩展。因此,在协议扩展时应重点考虑协议的向下兼容问题,以保证与未扩展的终端的完整互通性。
三、总 结
目前,国内对语音和视讯业务穿越NAT的研究都还刚处于起步阶段,我们的研究成果已基本明确NAT穿越时的“基本技术要求”,包括通用的技术要求和针对不同类型的穿越机制的要求等。IP与多媒体工作委员会计划2004年上半年结束完成“基本技术要求”,形成正式的标准草案,提出针对不同机制的“技术要求”的讨论稿。
----《中国多媒体视讯》
|