首頁 > 2006/12/08
近年來,基于IP技術的寬帶業(yè)務迅速得到普及,致使H.323多媒體通信系統(tǒng)不再僅限在專網(wǎng)用戶群中應用,而且在那些基于Internet辦公的企業(yè)用戶也越來越得到青睞。伴隨著H.323系統(tǒng)應用在Internet上的逐步普及,防火墻和NAT穿越這一老生常談的問題遇到了新的挑戰(zhàn),而且這一矛盾日益凸現(xiàn)出來。相對于國外寬帶接入環(huán)境,中國寬帶網(wǎng)絡環(huán)境又具有自身的特性,使得我國企業(yè)用戶的H.323系統(tǒng)應用同時還面臨著其它一些非技術性的障礙。技術上的和非技術上的障礙,導致視頻會議和VoIP應用在企業(yè)中發(fā)展速度遠遠低于人們的預期。突破這些阻礙,將在一定程度上促進視頻會議以及VoIP等IP應用進一步普及與發(fā)展。
你或許已經(jīng)了解到H.323協(xié)議在通信過程中,會為音視頻等多媒體數(shù)據(jù)動態(tài)分配端口并產(chǎn)生和維護多個UDP數(shù)據(jù)流。這與很多企業(yè)防火墻策略制定相矛盾,即與傳統(tǒng)防火墻的固定端口限制和禁止向內(nèi)發(fā)起連接的基本策略相沖突。
不僅與此,眾所周知,目前除了美國以外,全球都面臨著IPv4地址空間極度匱乏的境況。然而大面積搭建IPv6也不是能夠在短期內(nèi)可以實現(xiàn)的。人們?yōu)榱私鉀Q這一棘手問題,想了很多辦法,其中網(wǎng)址轉換(NAT)技術是解決這一問題的最好的方法之一。可是企業(yè)用戶在采用NAT技術之后,會導致企業(yè)使用的IP語音和視頻設備僅有私有IP地址。由于這些地址在公眾網(wǎng)上不可路由,使企業(yè)購買了視頻會議或者使VoIP設備,卻無法使用。
事實上,大多數(shù)機構都同時使用了防火墻和NAT,因此企業(yè)用戶采用的VoIP解決方案必須是完整的,即一個方案要同時解決上述兩個問題。
在傳統(tǒng)解決方案中,我們通常認為有如下幾種解決辦法,每種方法各有優(yōu)劣:
1.使用PSTN網(wǎng)關
使用網(wǎng)關把局域網(wǎng)上的IP語音和視頻轉換為公共電路交換網(wǎng)上的PSTN語音和視頻。使用這樣一個網(wǎng)關就不用關心網(wǎng)絡防火墻的穿透問題了,因為沒有數(shù)據(jù)包要通過防火墻和NAT設備。
但這樣的解決方案面臨設備復雜、連接麻煩、擴展困難、功能單一等多種問題,同時也失去了IP長途通信的廉價優(yōu)勢,因此很少真正在實際案例中使用。
2.雙網(wǎng)口MCU
使用具有兩個網(wǎng)絡端口的MCU,一個網(wǎng)口連接內(nèi)部網(wǎng)絡,另一個端口直接連接外部公網(wǎng)。 這個解決方案雖在部署上比較簡單,卻存在一個遺憾,即企業(yè)用戶在進行點對點的呼叫時也得需要使用MCU,失去了VoIP的便捷性。同時,該解決方案還存在一個致命死穴——在網(wǎng)絡拓樸結構中,MCU由于平行于防火墻設備,這將成為一個非常嚴重的安全隱患,一旦黑客攻擊了MCU,用戶內(nèi)部的網(wǎng)絡便完全透明。
3.H.323代理
H.323代理使一個呼叫過程看起來像兩個分離的呼叫過程:一個過程是從私有網(wǎng)上的終端到代理服務器,另一個過程是從代理服務器到公眾網(wǎng)上的終端。H.323代理通過對一個呼叫進行中轉解決了NAT問題。 H.323代理必須同時具備網(wǎng)守的代理功能和RTP/RTCP多媒體流的代理功能。
這種方案的最大問題是沒有解決防火墻的問題。
4.應用層網(wǎng)關
企業(yè)可以采用應用層網(wǎng)關(Application layer gateways),以解決防火墻和NAT穿透問題。應用層網(wǎng)關是具有指定IP協(xié)議(象H.323和SIP協(xié)議)識別功能的防火墻,也被叫做ALG Firewall。它可以對流入設備內(nèi)的數(shù)據(jù)包進行深入分析,換種說法就是,它不僅可以識別三層(路由層)數(shù)據(jù),還可以對應用層數(shù)據(jù)進行識別,通過分析數(shù)據(jù)通信內(nèi)容,從而可以動態(tài)控制防火墻端口,以內(nèi)容決定端口開放與否。
這種解決方案的缺點就是加重了防火墻的處理任務,降低了網(wǎng)絡傳輸?shù)男剩锌赡艹蔀榫W(wǎng)絡傳輸潛在瓶頸。
5.虛擬專用網(wǎng)(VPN)
目前很多防火墻生產(chǎn)商提供防火墻產(chǎn)品,通常同時具備NAT和VPN功能。VPN功能可以使用戶的所有分支機構和總部之間的通信如同在同一局域網(wǎng)之中一樣。從通信上來講,這種方案可以滿足視頻會議和VoIP的所有功能。
但作為企業(yè)網(wǎng)管人員的你需要注意是由于H.323本身要維護多條動態(tài)連接,因此對防火墻的負載能力是否能夠滿足這種應用需要進行深入分析。一分錢一分貨,功能的增加勢必增加設備生產(chǎn)成本,從而引起用戶設備擁有成本的上升。
6.隧道穿透方案
隧道穿透解決方案由兩個組件構成,Server和Client。Client放在防火墻內(nèi)的私有網(wǎng),私有網(wǎng)內(nèi)的終端注冊到Client上,它和防火墻外的Server創(chuàng)建一個由內(nèi)向外的信令和控制通道,可以把所有的注冊和呼叫控制信令以及音視頻數(shù)據(jù)轉發(fā)到Server。同時,防火墻向內(nèi)網(wǎng)的通信,被模擬成由內(nèi)向外通信的反饋信息,從而順利穿越防火墻和NAT。Server處于公網(wǎng)上,扮演網(wǎng)守代理的角色,從Client收到的所有注冊和呼叫信令都被Server轉發(fā)到中心網(wǎng)守。
這個方法的缺點是所有經(jīng)過防火墻的通訊都必須經(jīng)由Server來進行中轉,這會引起潛在的瓶頸,同時用戶必須為視頻會議系統(tǒng)額外添加代理設備。
以上幾種解決辦法都是從技術上解決防火墻和NAT問題,但目前我國的用戶在實際使用中,還會遇到一些非技術性的問題。一個是我國的寬帶網(wǎng)絡服務商同時扮演著電信服務商的角色。在Internet上的音視頻通信業(yè)務會對其原有的長途業(yè)務帶來沖擊,因此很多寬帶網(wǎng)絡服務商會在自己網(wǎng)絡設備上進行設置,從而屏蔽基于國際標準的音視頻通信協(xié)議,包括H.323和SIP協(xié)議。也就是說,即便我們的企業(yè)用戶搭建的視頻會議和VoIP系統(tǒng)成功的解決了防火墻和NAT問題,也可能由于電信服務商的封鎖而無法使用。
在上述的解決方案中,VPN和隧道穿越技術會將通信內(nèi)容進行重新的封裝,因此這兩種方案可以在解決防火墻和NAT問題的同時,避免被電信服務商查封的問題。但這兩種方案均是邏輯的星形連接,因此所有的通信必須經(jīng)過中心的轉接,因此必須付出貸款的代價。
voip中國
