在本書(shū)的開(kāi)頭我們討論了傳統。越來(lái)越多的事物發(fā)生了改變,而越來(lái)越多的人希望事物保持原貌。它僅是科技演變的一個(gè)部分。我們的汽車(chē)仍然需要一個(gè)里程表;我們喜愛(ài)的網(wǎng)站的圖片看上去還是老式風(fēng)格的按鈕開(kāi)關(guān)。我們作為社會(huì )的一員,座右銘: "如果東西沒(méi)被損壞的話(huà),那就不要修補它!" 伴隨我們一生。同樣的道理也可以應用在一些看起來(lái)相對現代的事情上,例如"我們如何獲得網(wǎng)絡(luò )"。我們大部分人還是對如何通過(guò)我們的一些小創(chuàng )新發(fā)明來(lái)訪(fǎng)問(wèn)網(wǎng)絡(luò )這些細節毫不知情。在這個(gè)精彩的VOIP世界中,當我們面對令人擔心的NAT問(wèn)題(網(wǎng)絡(luò )地址轉換)來(lái)臨時(shí)之前,我們可以冒險嘗試一下這個(gè)離我們不遠的挑戰。
在這一章節,我們將討論:
·NAT 簡(jiǎn)要介紹,包括一個(gè)歷史簡(jiǎn)介
·四個(gè)NAT陷阱
·在FreeSWITCH 配置設置來(lái)幫助克服NAT
·排查技巧
NAT簡(jiǎn)要介紹
給一個(gè)根本不關(guān)心技術(shù)術(shù)語(yǔ)的人介紹NAT問(wèn)題,一個(gè)好的辦法就是采用一個(gè)類(lèi)似的方法來(lái)做介紹。想想一個(gè)巨大的報告大樓和和它的郵件收發(fā)室。一個(gè)在第十層工作的員工給你寄一個(gè)包裹,這個(gè)員工需要把包裹放到第一層的郵件收發(fā)室。這個(gè)包裹被投送到郵局,然后再轉寄到你的住處。 在包裹上標明的寄回地址實(shí)際上是整棟辦公大樓的地址,不是那個(gè)第十層的小辦公間的地址。現在你計劃把這個(gè)包裹再寄回去,你把這個(gè)包裹再投送到郵局,郵局再次把這個(gè)包裹投送到這個(gè)辦公大樓,在郵件收發(fā)室的員工必須找出這個(gè)包裹需要分發(fā)的具體辦公室地址,通過(guò)你的名字和在本大樓的辦公室號碼地址匹配查詢(xún),然后找到第十層的員工,最后把這個(gè)包裹發(fā)送到第十層的員工辦公室。這里,郵件收發(fā)室就像一個(gè)NAT路由器,因為郵件收發(fā)室代理了郵局和辦公大樓之間的郵件來(lái)往。辦公室就像一個(gè)內網(wǎng)地址,因為它們不能直接獲得或訪(fǎng)問(wèn)這些郵件。想象一下這樣的場(chǎng)景,如果這個(gè)辦公室投遞的信息非常散亂,沒(méi)有在包裹上標明辦公室名稱(chēng),當你寄回這個(gè)包裹時(shí),郵件收發(fā)室的員工根本沒(méi)有辦法知道是哪個(gè)辦公室寄出的包裹。這個(gè)就是一個(gè)NAT問(wèn)題,包裹可能會(huì )丟失,就像你的呼叫一樣。也許你可以收到這個(gè)包裹,同時(shí)也注意到包裹上沒(méi)有標明辦公室名稱(chēng)或號碼,但是因為你正在等待這個(gè)包裹,可能你清楚是哪一個(gè)辦公室寄出來(lái)的包裹,當你寄回到時(shí)候,你在包裹上做了一個(gè)辦公室的標注。這個(gè)功能就是你創(chuàng )建的ANTI-NAT 功能。
當談到網(wǎng)絡(luò )時(shí),NAT是一個(gè)技術(shù)話(huà)題,當整個(gè)內網(wǎng)(網(wǎng)絡(luò )不能直接訪(fǎng)問(wèn)外網(wǎng)) 連接到一個(gè)單獨的設備,這個(gè)設備可以訪(fǎng)問(wèn)外網(wǎng),并且有一個(gè)單獨的公網(wǎng)IP地址,通過(guò)這樣的方式對內網(wǎng)提供網(wǎng)絡(luò )連接。因為我們目前的IP地址資源非常緊張,因此主要的目的是降低對公網(wǎng)IP數量的要求。到現在我們寫(xiě)這本書(shū)的時(shí)候,已經(jīng)使用了四百萬(wàn)個(gè)IP地址。
把所有的內網(wǎng)設備都放置在NAT背后可以保護用戶(hù)計算機設備和其他的設備不受攻擊因為這些設備對于外網(wǎng)來(lái)說(shuō)是不可見(jiàn)的。專(zhuān)家認為這不是最終的解決安全方案,因為仍然有一些方法可以威脅到NAT背后的設備安全,但是這種方法可以作為一個(gè)額外的保護,并且當配合其他的安全措施時(shí),可以提高我們的對內網(wǎng)安全的保護。另外,用戶(hù)將在第十三章VoIP安全中了解更多細節。
了解NAT的演變
自從網(wǎng)絡(luò )技術(shù)普及以后,IPv4 地址的需求一直在增加。當需求增加時(shí),地址池中的地址資源已經(jīng)耗盡,出現了IPv4 地址的短缺。目前最受歡迎的解決地址短缺的兩個(gè)主要解決辦法是- NAT和IPv6。
NAT 已經(jīng)變成了一種非常受歡迎的方法,通過(guò)采用公網(wǎng)IP地址子集,利用他們來(lái)覆蓋一個(gè)網(wǎng)內地大量設備,通過(guò)分配不同的內網(wǎng)地址來(lái)支持這些設備。NAT開(kāi)始使用是在二十世紀90年代左右,當時(shí)是為了解決IP 地址的短缺問(wèn)題直到現在IPv6已經(jīng)開(kāi)始使用,因為這種方式比較受歡迎,人們還是繼續使用這種方式。與此同時(shí),系統管理員還要被迫接受NAT的一些傳統架構,并且因為它的流行我們還要接受這種方式來(lái)支持我們的軟件和其他設備。
新標準IPv6可以解決IP地址短缺的問(wèn)題,它添加了很多公網(wǎng)IP地址,我們有上萬(wàn)億的IP地址,這些地址可以覆蓋地球表面的每一個(gè)平方英寸的地方。我們可以設定一個(gè)IP地址段為我們目前所知道的整個(gè)網(wǎng)絡(luò )世界,對每一個(gè)在這個(gè)星球的生命,即使這樣設置地址資源也不會(huì )對整個(gè)IPv6 地址池有任何不利的影響。IPv6 規范在1998年發(fā)布,使用的勢頭真正慢慢開(kāi)始增長(cháng)。IPv6相對于已經(jīng)從二十世紀70年代開(kāi)始廣泛使用的IPv4,它目前還落后于IPv4。很有可能,即使我們全部采用了IPv6,NAT問(wèn)題的仍然會(huì )伴隨我們很長(cháng)一段時(shí)間。
(也許如果用戶(hù)一直考慮這個(gè)問(wèn)題,FreeSWITCH已經(jīng)支持了在IPv6 網(wǎng)絡(luò )環(huán)境下的SIP和RTP。更多關(guān)于這個(gè)話(huà)題的討論,請訪(fǎng)問(wèn):http://wiki.freeswitch.org.)
對于IP通信世界中的用戶(hù),NAT是一個(gè)盡人皆知的不雅的詞匯(至少經(jīng)常在一些語(yǔ)言交流中會(huì )伴隨出現不雅的用詞)。因為當用戶(hù)遇到NAT問(wèn)題時(shí),常常被搞的抓耳撓腮。用戶(hù)已經(jīng)對IP網(wǎng)絡(luò )環(huán)境有了一定的了解,并且用戶(hù)可以輕松找到各種介紹關(guān)于NAT的文檔,我們盡量省略了IP網(wǎng)絡(luò )的細節。用戶(hù)現在需要做到事情就是對NAT陷阱有足夠的了解,這樣可以為用戶(hù)即使大量的時(shí)間,否則你可能真的要用頭撞墻或讓你愁的拽自己的頭發(fā)了。本章的目標是對用戶(hù)講述如何通過(guò)使用FreeSWITCH的ANTI-NAT功能來(lái)成功地航行于NAT的危險水域。祝你好運!我們所有的人都在支持你!
處理NAT問(wèn)題的關(guān)鍵是因為設備(電話(huà))一般都在NAT背后,并且VOIP網(wǎng)絡(luò )對于公共網(wǎng)絡(luò )來(lái)說(shuō)是不可見(jiàn)的,所以當用戶(hù)呼叫這個(gè)設備時(shí),非常困難連接到這個(gè)相應的設備。另外一個(gè)比較嚴重的問(wèn)題是一些協(xié)議,例如SIP,當部署在NAT環(huán)境中時(shí),協(xié)議可能被破壞。如果用戶(hù)覺(jué)得整個(gè)事情讓你徹底迷惑時(shí),放松一下,事實(shí)上,我們已經(jīng)為用戶(hù)簡(jiǎn)化了NAT的設置。現在貌似看起來(lái)讓人發(fā)瘋,但是以前的環(huán)境可能更加糟糕。
老實(shí)說(shuō),FreeSWITCH 開(kāi)發(fā)人員最初對NAT 其他的立場(chǎng)是, "不是我們的問(wèn)題!"在理想世界下,每個(gè)在NAT防火墻背后的設備都應該非常了解它們的環(huán)境,并且可以成功解決自己的問(wèn)題。不幸的是,我們沒(méi)有生活在那個(gè)理想的世界(當然,如果我們生活在一個(gè)理想的世界,我們都沒(méi)有工作,因為沒(méi)有任何問(wèn)題需要我們解決)。所以,我們決定, "好吧,我們試試!" 我們從用戶(hù)中學(xué)習,他們使用的各種各樣的設備來(lái)配合FreeSWITCH工作,但是這些設備完全沒(méi)有任何辦法來(lái)應對NAT問(wèn)題。不久,我們開(kāi)始了這個(gè)意義深遠的任務(wù),盡管這些設備本身還有很多缺陷,我們還是希望通過(guò)開(kāi)發(fā)一種技術(shù)來(lái)支持這些設備。
NAT是一個(gè)非常難纏的對手,軟弱的人是沒(méi)有機會(huì )應對的。
NAT的四個(gè)陷阱
有四個(gè)基本的NAT陷阱,我們每個(gè)人都需要學(xué)習。了解了這些陷阱,用戶(hù)學(xué)習到了處理NAT場(chǎng)景的技巧,就不會(huì )面對太多的疑問(wèn):
·NAT 可以在那些用戶(hù)自己都不知道的地方。不一定非要涉及到網(wǎng)絡(luò )(Internet)。
·任何兩種解決NAT的技術(shù)在一起使用,會(huì )導致互相之間沖突。
·一些設備使用SIP ALG (Application Layer Gateway) 來(lái)戰勝NAT問(wèn)題。
·NAT糾正技術(shù)可以錯誤地定位一個(gè)環(huán)境,可能使得環(huán)境變得更加糟糕。
盡量熟悉這些陷阱。我們會(huì )經(jīng)常討論這些問(wèn)題,這些問(wèn)題會(huì )貫穿整個(gè)章節。讓我們現在詳細討論一下這些細節:
NAT 可以在任何用戶(hù)不知道的地方。不一定涉及網(wǎng)絡(luò )。
如果用戶(hù)正在使用家庭網(wǎng)絡(luò )服務(wù),或商業(yè)級的服務(wù),他們可能使用NAT來(lái)管理他們的客戶(hù),把客戶(hù)端服務(wù)設置在一個(gè)分離的網(wǎng)絡(luò )環(huán)境中,然后在進(jìn)行一個(gè)網(wǎng)絡(luò )地址轉換,轉換到其他的網(wǎng)絡(luò )分段。在用戶(hù)設備和目的地之間這樣的情況不僅僅發(fā)生一次可能多次發(fā)生用戶(hù)不能控制這樣的事情發(fā)生。對很多使用VOIP的用戶(hù)來(lái)說(shuō),這樣的情況會(huì )引起很多問(wèn)題。大部分的VoIP 協(xié)議僅支持基本的NAT處理功能而且經(jīng)常出現問(wèn)題。這就是很多家庭用戶(hù)從家里面使用VOIP時(shí)首先面對的問(wèn)題。NAT可以出現在一個(gè)內網(wǎng)地址訪(fǎng)問(wèn)多個(gè)其他內網(wǎng)地址無(wú)需連接外網(wǎng)網(wǎng)絡(luò )服務(wù)的環(huán)境中。對于NAT,訪(fǎng)問(wèn)網(wǎng)絡(luò )是最普遍的使用方法,但是可以在內部網(wǎng)絡(luò )中劃分一個(gè)獨立的網(wǎng)絡(luò )來(lái)獲得網(wǎng)絡(luò )訪(fǎng)問(wèn)。如果用戶(hù)詢(xún)問(wèn)鄰居VOIP專(zhuān)家在線(xiàn)問(wèn)題,他可能判斷是一個(gè)NAT問(wèn)題,不一定是因為你使用沒(méi)有訪(fǎng)問(wèn)網(wǎng)絡(luò ),或可能用戶(hù)自己也不清楚是否存在NAT問(wèn)題。
未完待續······
