私網(wǎng)穿越技術(shù)在軟交換體系中的應(yīng)用
防火墻通過查詢自己維護(hù)的連接列表,就可以把這條信令消息正確的發(fā)送給終端B了。呼叫接續(xù)流程的其它信令消息,轉(zhuǎn)接方式與INVITE類似。
4. 用NAT/FW Proxy實(shí)現(xiàn)媒體流的代理連接
以圖5中終端A呼叫終端C為例,當(dāng)A發(fā)出INVITE消息并到達(dá)NAT/FW Proxy后,NAT/FW Proxy會為A分配兩個(gè)RTP代理端口,一個(gè)是呼出代理端口,記為A1,另一個(gè)是呼入代理端口,記為A2。NAT/FW Proxy使用A2的端口信息替換原INVITE消息中SDP包中對RTP端口的描述,并發(fā)給軟交換。當(dāng)軟交換發(fā)回終端C的SDP信息時(shí),NAT/FW Proxy記錄終端C的實(shí)際RTP端口,并用A1的端口信息進(jìn)行替換,發(fā)給終端A。當(dāng)呼叫建立后,終端A一旦開始發(fā)送RTP包,就會在私網(wǎng)設(shè)備上建立一個(gè)臨時(shí)的RTP“窗口”,只要媒體流不斷在發(fā)送(在沒有話音時(shí)終端也應(yīng)該發(fā)送舒適噪聲的RTP包),這個(gè)“窗口”就一直打開。由于設(shè)備A得到的對端RTP端口實(shí)際是NAT/FW Proxy上的呼出代理端口A1,因此RTP包會發(fā)向NAT/FW Proxy,NAT/FW Proxy將RTP包再發(fā)給終端C真正的RTP端口。同樣,終端C得到的A的RTP端口實(shí)際是NAT/FW Proxy上的代理端口A2,所以RTP包會發(fā)向A2,然后由NAT/FW Proxy通過私網(wǎng)設(shè)備上的臨時(shí)RTP“窗口”將RTP包轉(zhuǎn)發(fā)給終端A。
當(dāng)兩個(gè)設(shè)備分別在兩個(gè)防火墻內(nèi),且都注冊到一個(gè)NAT/FW Proxy上時(shí),如圖5中終端A呼叫終端B的情況,由于NAT/FW Proxy可以知道兩個(gè)設(shè)備都是注冊在自己上面的,因此并不需要為每個(gè)終端都分配兩個(gè)代理端口,而只用分配一對端口。如A1和B1,其中A1既作為終端A的呼出端口,也做為終端B的呼入端口,而B1既做為終端B的呼出端口,也做為終端A的呼入端口。如果終端A和終端B還是處于同一個(gè)私網(wǎng)網(wǎng)關(guān)設(shè)備之下,NAT/FW Proxy完全可以不為它們分配任何代理端口,而是讓它們在私網(wǎng)內(nèi)部直接建立RTP流的連接。
5. 其它問題的考慮
以上對于使用NAT/FW Proxy來實(shí)現(xiàn)私網(wǎng)穿越的方法的描述,都是基于使用SIP協(xié)議的終端,但實(shí)際上這種方法并不僅限于SIP終端,當(dāng)終端使用H.248,MGCP等協(xié)議時(shí),只要有對應(yīng)的NAT/FW Proxy支持,也同樣可以實(shí)現(xiàn)私網(wǎng)穿越。
從構(gòu)架上看,需要進(jìn)行私網(wǎng)穿越代理的設(shè)備非常多,一臺NAT/FW Proxy無法處理時(shí),完全可以部署多個(gè)NAT/FW Proxy,并讓這些設(shè)備注冊到不同的NAT/FW Proxy上。如配置一臺NAT/FW Proxy處理SIP終端的私網(wǎng)穿越,配置兩臺NAT/FW Proxy來處理MGCP終端的私網(wǎng)穿越等。
四、在軟交換體系中的擴(kuò)展應(yīng)用
使用NAT/FW Proxy的構(gòu)架,除了能夠?qū)崿F(xiàn)私網(wǎng)穿越的功能外,只要稍加擴(kuò)展,還可以為軟交換體系帶來其他一些意外收獲。
1.可以保護(hù)軟交換設(shè)備免遭攻擊
在正常的配置情況下,軟交換設(shè)備的地址對于所有用戶都是可見的,這時(shí)如果有人惡意的對軟交換發(fā)起某些攻擊,比如DoS攻擊,是比較難以防范的。但是如果要求所有終端都注冊到NAT/FW Proxy設(shè)備上,通過NAT/FW Proxy的代理與軟交換發(fā)生聯(lián)系,那么軟交換地址對外就完全是不可見的了,并且由于NAT/FW Proxy設(shè)備的成本相對低廉,可以配置多個(gè),即使遭到攻擊,只要讓終端上更換一個(gè)NAT/FW Proxy進(jìn)行注冊就可以了。
2.防止通信欺詐行為
一般情況下,一旦軟交換為雙方建立起呼叫,那么雙方終端的地址、端口、媒體能力等就完全向?qū)Ψ酵该骰?,這時(shí)如果有人使用一些支持點(diǎn)對點(diǎn)連接的終端,繞過軟交換而直接向?qū)Ψ桨l(fā)起連接,則軟交換就無法進(jìn)行計(jì)費(fèi),也就會出現(xiàn)通信欺詐行為了。如果按照1中所述,把所有終端都注冊到NAT/FW Proxy上,那么終端只能通過NAT/FW Proxy上的代理端口進(jìn)行交互,終端之間透明的只有對方的號碼,這樣可以在很大程度上避免欺詐行為的發(fā)生。
3.可以使媒體流授控
假設(shè)所有終端都注冊在NAT/FW Proxy上,則終端之間的媒體流也都要經(jīng)過NAT/FW Proxy進(jìn)行轉(zhuǎn)接,如果增強(qiáng)NAT/FW Proxy的功能,就完全有可能解決在軟交換體系中媒體流不授控的問題,如可以實(shí)現(xiàn)按流量計(jì)費(fèi),可以控制用戶帶寬防止未授權(quán)的媒體流連接(比如視頻媒體流),可以獲得媒體流的QoS信息,甚至可以滿足國家安全部門對敏感通話監(jiān)聽的要求。
但是,要實(shí)現(xiàn)如上的這些好處,也是要付出代價(jià)的,那就是整個(gè)軟交換網(wǎng)絡(luò)的媒體流都要匯聚到各個(gè)NAT/FW Proxy所在的位置,大大增加了這部分網(wǎng)絡(luò)的負(fù)擔(dān),同時(shí)在一定程度上也減弱了軟交換由于控制與承載分離而帶來的許多靈活性。
五、結(jié)束語
本文介紹了一種通過設(shè)置特殊的代理服務(wù)器,來解決軟交換網(wǎng)絡(luò)中私網(wǎng)穿越問題的方法,現(xiàn)在這種方法已經(jīng)開始被應(yīng)用。相信隨著軟交換網(wǎng)絡(luò)的規(guī)模不斷擴(kuò)大,這種私網(wǎng)穿越的方法會被越來越多的應(yīng)用到軟交換網(wǎng)絡(luò)當(dāng)中去。本文引用地址:http://m.butianyuan.cn/article/157043.htm
評論