私網穿越技術在軟交換體系中的應用
加入技術交流群
防火墻通過查詢自己維護的連接列表,就可以把這條信令消息正確的發送給終端B了。呼叫接續流程的其它信令消息,轉接方式與INVITE類似。
4. 用NAT/FW Proxy實現媒體流的代理連接
以圖5中終端A呼叫終端C為例,當A發出INVITE消息并到達NAT/FW Proxy后,NAT/FW Proxy會為A分配兩個RTP代理端口,一個是呼出代理端口,記為A1,另一個是呼入代理端口,記為A2。NAT/FW Proxy使用A2的端口信息替換原INVITE消息中SDP包中對RTP端口的描述,并發給軟交換。當軟交換發回終端C的SDP信息時,NAT/FW Proxy記錄終端C的實際RTP端口,并用A1的端口信息進行替換,發給終端A。當呼叫建立后,終端A一旦開始發送RTP包,就會在私網設備上建立一個臨時的RTP“窗口”,只要媒體流不斷在發送(在沒有話音時終端也應該發送舒適噪聲的RTP包),這個“窗口”就一直打開。由于設備A得到的對端RTP端口實際是NAT/FW Proxy上的呼出代理端口A1,因此RTP包會發向NAT/FW Proxy,NAT/FW Proxy將RTP包再發給終端C真正的RTP端口。同樣,終端C得到的A的RTP端口實際是NAT/FW Proxy上的代理端口A2,所以RTP包會發向A2,然后由NAT/FW Proxy通過私網設備上的臨時RTP“窗口”將RTP包轉發給終端A。
當兩個設備分別在兩個防火墻內,且都注冊到一個NAT/FW Proxy上時,如圖5中終端A呼叫終端B的情況,由于NAT/FW Proxy可以知道兩個設備都是注冊在自己上面的,因此并不需要為每個終端都分配兩個代理端口,而只用分配一對端口。如A1和B1,其中A1既作為終端A的呼出端口,也做為終端B的呼入端口,而B1既做為終端B的呼出端口,也做為終端A的呼入端口。如果終端A和終端B還是處于同一個私網網關設備之下,NAT/FW Proxy完全可以不為它們分配任何代理端口,而是讓它們在私網內部直接建立RTP流的連接。
5. 其它問題的考慮
以上對于使用NAT/FW Proxy來實現私網穿越的方法的描述,都是基于使用SIP協議的終端,但實際上這種方法并不僅限于SIP終端,當終端使用H.248,MGCP等協議時,只要有對應的NAT/FW Proxy支持,也同樣可以實現私網穿越。
從構架上看,需要進行私網穿越代理的設備非常多,一臺NAT/FW Proxy無法處理時,完全可以部署多個NAT/FW Proxy,并讓這些設備注冊到不同的NAT/FW Proxy上。如配置一臺NAT/FW Proxy處理SIP終端的私網穿越,配置兩臺NAT/FW Proxy來處理MGCP終端的私網穿越等。
四、在軟交換體系中的擴展應用
使用NAT/FW Proxy的構架,除了能夠實現私網穿越的功能外,只要稍加擴展,還可以為軟交換體系帶來其他一些意外收獲。
1.可以保護軟交換設備免遭攻擊
在正常的配置情況下,軟交換設備的地址對于所有用戶都是可見的,這時如果有人惡意的對軟交換發起某些攻擊,比如DoS攻擊,是比較難以防范的。但是如果要求所有終端都注冊到NAT/FW Proxy設備上,通過NAT/FW Proxy的代理與軟交換發生聯系,那么軟交換地址對外就完全是不可見的了,并且由于NAT/FW Proxy設備的成本相對低廉,可以配置多個,即使遭到攻擊,只要讓終端上更換一個NAT/FW Proxy進行注冊就可以了。
2.防止通信欺詐行為
一般情況下,一旦軟交換為雙方建立起呼叫,那么雙方終端的地址、端口、媒體能力等就完全向對方透明化了,這時如果有人使用一些支持點對點連接的終端,繞過軟交換而直接向對方發起連接,則軟交換就無法進行計費,也就會出現通信欺詐行為了。如果按照1中所述,把所有終端都注冊到NAT/FW Proxy上,那么終端只能通過NAT/FW Proxy上的代理端口進行交互,終端之間透明的只有對方的號碼,這樣可以在很大程度上避免欺詐行為的發生。
3.可以使媒體流授控
假設所有終端都注冊在NAT/FW Proxy上,則終端之間的媒體流也都要經過NAT/FW Proxy進行轉接,如果增強NAT/FW Proxy的功能,就完全有可能解決在軟交換體系中媒體流不授控的問題,如可以實現按流量計費,可以控制用戶帶寬防止未授權的媒體流連接(比如視頻媒體流),可以獲得媒體流的QoS信息,甚至可以滿足國家安全部門對敏感通話監聽的要求。
但是,要實現如上的這些好處,也是要付出代價的,那就是整個軟交換網絡的媒體流都要匯聚到各個NAT/FW Proxy所在的位置,大大增加了這部分網絡的負擔,同時在一定程度上也減弱了軟交換由于控制與承載分離而帶來的許多靈活性。
五、結束語
本文介紹了一種通過設置特殊的代理服務器,來解決軟交換網絡中私網穿越問題的方法,現在這種方法已經開始被應用。相信隨著軟交換網絡的規模不斷擴大,這種私網穿越的方法會被越來越多的應用到軟交換網絡當中去。本文引用地址:http://www.104case.com/article/157043.htm
評論