穿越防火墙技术要求简介

 

一、问题描述

网络地址翻译和防火墙 （NAT/FW）的存在，阻断了包括H.323在内的多种多媒体通信协议，因为NAT设备仅仅完成消息的IP头的地址/端口的翻译，使消息的IP头和消息净荷中的地址/端口信息不一致，导致消息接收方无法正确对该消息做出响应，通信双方的媒体流通道无法正常建立。

H.323多媒体通信中传输层端口动态分配并通过H.245消息相互协商，但网络中的防火墙设备无法预先得知该端口号信息，从而会阻止媒体流通过它。另外，防火墙设备在没有内网发出相应消息时也会阻止来自于外网的消息，导致多媒体通信失败。

二、穿越场景

根据GK（网守）的所有者来分类，H.323多媒体系统可以分为运营商系统和企业网系统两种。

1．运营商H.323多媒体系统

在运营商H.323多媒体系统中，通常为了节约IPv4地址而将终端（客户端）置于一级或者多级私网内，而GK/GW/MCU等网络侧设备（服务器端）部署在具有地址惟一性的公网内。客户端和服务器端设备之间不仅有NAT设备，还可能有防火墙，如图1所示。

某些情况下，为了保证GK/GW/MCU等设备的安全性，运营商也可能会将服务器端设备部署在有防火墙功能的NAT设备之后，即位于某个私网内，如图2所示。

针对运营商网络配置，H.fwreq规范中描述了7种可能的应用场景，即终端无论位于公网、单级私网还是多级私网不同级别的不同私网中，彼此之间均可以通信。而且，所有的终端即可以作为主叫方也可以作为被叫方。

2．企业网H.323多媒体系统

在企业网的H.323多媒体系统中，GK通常由企业网所有者自己提供。企业网可能由多个与公网相连的一级或者多级私网所组成，如图3所示。在该网络中，企业GK（E-GK）和终端均位于企业网内。

在该网络场景中，位于企业网的H.323终端可能漫游到其他的网络中，比如漫游到公网上，则该终端发起的呼叫需要由企业网GK（E-GK）和运营商GK（S-GK）相配合共同完成呼叫的接续。基于该场景的NAT/FW穿越方案需可以解决上述情况下的H.323穿越问题。

H.fwreq中针对企业网自己提供GK的组网情况，描述了11种可能的应用场景，包括一个或多个E-GK位于企业网中的某个一级或多级私网中，再或多级私网的不同级别上；终端位于企业网的某个一级或者多级私网中，多级私网的不同级别或者位于公网中的所有组合情况。同时也定义了两种终端漫游到公网中的应用场景。

另外，某些企业网中没有自己的GK，通过租用运营商网络中的GK作为自己的虚拟GK（V-GK），如图4所示。针对于H.323的NAT/FW穿越解决方案也必须考虑这种条件下的穿越问题。

三、H.323多媒体NAT/FW穿越技术要求

H.fwreq中针对于H.323的多媒体系统的NAT/FW穿越解决方案，提出了如下的要求：

（1）穿越方案应考虑上述所有可能的场景，并可以支持多级NAT/FW的穿越。网络中的所有终端既可以作为主叫，也可以作为被叫。穿越方案中应考虑GK位于私网和公网的组网环境。所有的穿越机制都应该明确其适用范围，即需要说明可以实现在上面何种方式下的NAT的穿越。

（2）穿越方案的实现必须说明该机制对于现有的H.323终端和GK的影响，即是否需要升级（哪些）网络实体。

（3）穿越方案应该尽可能地考虑适用于各种工作模式的NAT设备。同时也应说明对于现有的传统NAT设备的影响，即是否需要升级现有的NAT设备。

（4）穿越方案应该能同时完成媒体流和信令流的穿越。使用协议扩展机制的穿越方案应基于现有的ITU-T H.323族来实现；如果终端位于同一个NAT之后，它们之间的媒体流可以在通过NAT设备或者仅在通信双方间建立。如果终端位于不同的地址域内，其媒体流必须通过相关的NAT设备。

（5）穿越方案应该考虑对NAT性能的影响，也需要考虑其对H.323多媒体系统的性能影响。

（6）穿越方案应不能降低现有H.323多媒体系统的网络安全；同时在可能的情况下，穿越方案应考虑提供某些安全措施。

（7）穿越方案的实施应尽量不影响H.323多媒体系统的网管系统的工作，也应尽量不能影响现有计费系统的工作。

（8）穿越方案应该尽量少的影响到网络可靠性。

（9）穿越方案的实施应考虑如何与目前网络中已有的穿越方案共存，同时也不可以影响业务提供者对于新业务的开展和实施。

（10）穿越方案应不影响移动H.323终端的漫游和正常通话。

http://www.chinavideo.com.cn/readfile.asp?fileid=46