欢迎来到天天文库
浏览记录
ID:21949227
大小:212.50 KB
页数:6页
时间:2018-10-25
《voip穿越nat学习》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、VOIP穿越NAT学习笔记1、NAT简介1.1、NAT简介网络地址转换(NAT)主要用来完成局部地址与全局地址之间的转换。NAT解决了Internet地址耗竭问题,企业内部网只需少量的全局地址就可达到与internet的互连。1.2、NAT带来的问题NAT解决IPV4地址紧缺的问题同时也带来了一些问题,例如H323/SIP/MGCP/H248等协议在载荷中携带了源地址和端口信息,普通的NAT设备无法根据协议内容检查载荷,并进行转换处理。1.3、NAT端口映射方式分类本文主要介绍VOIP等协议如何进行VOIP穿越,VOIP穿
2、越NAT方式跟NAT端口映射方式关系很大,所以我们根据NAT的端口映射方式对NAT进行分类讨论:根据端口映射方式,NAT可分为如下4类,前3种NAT类型可统称为克隆类型。(1)全克隆(FullCone):NAT把所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口。任何一个外部主机均可通过该映射发送IP包到该内部主机。(2)限制性克隆(RestrictedCone):NAT把所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口。但是,只有当内部主机先给IP地址为X的外部主机发送IP包,该外部主机
3、才能向该内部主机发送IP包。(3)端口限制性克隆(PortRestrictedCone):端口限制性克隆与限制性克隆类似,只是多了端口号的限制,即只有内部主机先向IP地址为X,端口号为P的外部主机发送1个IP包,该外部主机才能把源端口号为P的IP包发送给该内部主机。(4)对称式NAT(SymmetricNAT):这种类型的NAT与上述3种类型的不同,在于当同一内部主机使用相同的端口与不同地址的外部主机进行通信时,NAT对该内部主机的映射会有所不同。对称式NAT不保证所有会话中的私有地址和公开IP之间绑定的一致性。相反,它为
4、每个新的会话分配一个新的端口号。二、为什么VOIP自身不能穿越NAT2.1、VOIP协议自身不支持穿越NAT我们知道VOIP协议中有H323、SIP等两大协议族。H323信令主要基于TCP完成的,SIP信令首选UDP来进行信令交互。在信令交互中,两种协议都在信息字段承载了下一步磋商的地址、端口等信息。而这些信息一般NAT设备是无法检查和进行转换的,所以造成了VOIP无法穿越NAT进行通信。例如:图一、NAT中的VOIP3、目前VOIP穿越NAT的几种办法3.1、NAT/ALG方式(应用层网关)NAT是通过修改IP包头和UD
5、P或TCP报文头部地址信息实现地址的转换,但对于VOIP应用,在TCP/UDP净载中还带有重要的地址信息,ALG方式是指在私网中的VOIP终端在净载中填写的是其私网地址,此地址信息在通过NAT时被修改为NAT上对外的地址。此时当然要求ALG功能驻留在NAT/Firewall设备中,要求这些设备本身具备应用识别的智能。支持IP语音和视频协议(H323、SIP、MGCP/H248)的识别和对NAT/Firewall的控制,同时每增加一种新的应用都将需要对NAT/Firewall进行升级。在安全要求上还需要作一些折衷,因为ALG
6、不能识别加密后的报文内容,所以必须保证报文采用明文传送,这使得报文在公网中传送时有很大的安全隐患。NAT/ALG是支持VOIPNAT穿透的一种最简单的方式,但由于网络实际情况是已部署了大量的不支持此种特性的NAT/FW设备,因此,实际应用中,很难采用这种方式。图二、ALG应用层网关NAT穿越3.2、MIDCOM方式与NAT/ALG不同的是,MIDCOM的基本框架是采用可信的第三方(MIDCOMAgent)对Middlebox(NAT/FW)进行控制,VOIP协议的识别不由Middlebox完成,而是由外部的MIDCOMAg
7、ent完成,因此VOIP使用的协议对Middlebox是透明的.由于识别应用协议的功能从Middlebox移到外部的MIDCOMAgent上,根据MIDCOM的构,在不需要更改Middlebox基本特性的基础上,通过对MIDCOMAgent的升级就可以支持更多的新业务,这是相对NAT/ALG方式的一个很大的优势。在VOIP实际应用中,Middlebox功能可驻留在NAT/Firewall,通过软交换设备(即MIDCOMAgent)对IP语音和视频协议(H323、SIP、MGCP/H248)的识别和对NAT/Firewall
8、的控制,来完成VOIP应用穿越NAT/Firewall.在安全性上,MIDCOM方式可支持控制报文的加密,可支持媒体流的加密,因此安全性比较高。如果在软交换设备上实现对SIP/H323/MGCP/H248协议的识别,就只需在软交换和NAT/FW设备上增加MIDCOM协议即可,而且以后新的应用业务识别随着
此文档下载收益归作者所有