穿越防火牆技術要求簡介

 

一、問題描述

網路地址翻譯和防火牆 （NAT/FW）的存在，阻斷了包括H.323在內的多種多媒體通訊協定，因為NAT裝置僅僅完成訊息的IP頭的地址/連接埠的翻譯，使訊息的IP頭和訊息淨荷中的地址/連接埠資訊不一致，導致訊息接收方無法正確對該訊息做出響應，通訊雙方的媒體流通道無法正常建立。

H.323多媒體通訊中傳輸層連接埠動態分配並通過H.245訊息相互協商，但網路中的防火牆裝置無法預先得知該連接埠號碼資訊，從而會阻止媒體流通過它。另外，防火牆裝置在沒有內網發出相應訊息時也會阻止來自於外網的訊息，導致多媒體通訊失敗。

二、穿越情境

根據GK（網守）的所有者來分類，H.323多媒體系統可以分為電訊廠商系統和企業網系統兩種。

1．電訊廠商H.323多媒體系統

在電訊廠商H.323多媒體系統中，通常為了節約IPv4地址而將終端（用戶端）置於一級或者多級私網內，而GK/GW/MCU等網路側裝置（伺服器端）部署在具有地址惟一性的公網內。用戶端和伺服器端裝置之間不僅有NAT裝置，還可能有防火牆，如圖1所示。

某些情況下，為了保證GK/GW/MCU等裝置的安全性，電訊廠商也可能會將伺服器端裝置部署在有防火牆功能的NAT裝置之後，即位於某個私網內，如圖2所示。

針對電訊廠商網路設定，H.fwreq規範中描述了7種可能的應用情境，即終端無論位於公網、單級私網還是多級私網不同層級的不同私網中，彼此之間均可以通訊。而且，所有的終端即可以作為主叫方也可以作為被叫方。

2．企業網H.323多媒體系統

在企業網的H.323多媒體系統中，GK通常由企業網所有者自己提供。企業網可能由多個與公網相連的一級或者多級私網所組成，如圖3所示。在該網路中，企業GK（E-GK）和終端均位於企業網內。

在該網路情境中，位於企業網的H.323終端可能漫遊到其他的網路中，比如漫遊到公網上，則該終端發起的呼叫需要由企業網GK（E-GK）和電訊廠商GK（S-GK）相配合共同完成呼叫的接續。基於該情境的NAT/FW穿越方案需可以解決上述情況下的H.323穿越問題。

H.fwreq中針對企業網自己提供GK的組網情況，描述了11種可能的應用情境，包括一個或多個E-GK位於企業網中的某個一級或多級私網中，再或多級私網的不同層級上；終端位於企業網的某個一級或者多級私網中，多級私網的不同層級或者位於公網中的所有組合情況。同時也定義了兩種終端漫遊到公網中的應用情境。

另外，某些企業網中沒有自己的GK，通過租用電訊廠商網路中的GK作為自己的虛擬GK（V-GK），如圖4所示。針對於H.323的NAT/FW穿越解決方案也必須考慮這種條件下的穿越問題。

三、H.323多媒體NAT/FW穿越技術要求

H.fwreq中針對於H.323的多媒體系統的NAT/FW穿越解決方案，提出了如下的要求：

（1）穿越方案應考慮上述所有可能的情境，並可以支援多級NAT/FW的穿越。網路中的所有終端既可以作為主叫，也可以作為被叫。穿越方案中應考慮GK位於私網和公網的組網環境。所有的穿越機制都應該明確其適用範圍，即需要說明可以實現在上面何種方式下的NAT的穿越。

（2）穿越方案的實現必須說明該機制對於現有的H.323終端和GK的影響，即是否需要升級（哪些）網路實體。

（3）穿越方案應該儘可能地考慮適用於各種工作模式的NAT裝置。同時也應說明對於現有的傳統NAT裝置的影響，即是否需要升級現有的NAT裝置。

（4）穿越方案應該能同時完成媒體流和信令流的穿越。使用協議擴充機制的穿越方案應基於現有的ITU-T H.323族來實現；如果終端位於同一個NAT之後，它們之間的媒體流可以在通過NAT裝置或者僅在通訊雙方間建立。如果終端位於不同的地址域內，其媒體流必須通過相關的NAT裝置。

（5）穿越方案應該考慮對NAT效能的影響，也需要考慮其對H.323多媒體系統的效能影響。

（6）穿越方案應不能降低現有H.323多媒體系統的網路安全；同時在可能的情況下，穿越方案應考慮提供某些安全措施。

（7）穿越方案的實施應盡量不影響H.323多媒體系統的網管系統的工作，也應盡量不能影響現有計費系統的工作。

（8）穿越方案應該盡量少的影響到網路可靠性。

（9）穿越方案的實施應考慮如何與目前網路中已有的穿越方案共存，同時也不可以影響業務提供者對於新業務的開展和實施。

（10）穿越方案應不影響移動H.323終端的漫遊和正常通話。

http://www.chinavideo.com.cn/readfile.asp?fileid=46