普通NAT是通過(guò)修改UDP或TCP報(bào)文頭部地址信息實(shí)現(xiàn)地址的轉(zhuǎn)換,但對(duì)于VoIP應(yīng)用�����,在TCP/UDP凈載中也需帶地址信息����,ALG方式是指在私網(wǎng)中的VOIP終端在凈載中填寫的是其私網(wǎng)地址,此地址信息在通過(guò)NAT時(shí)被修改為NAT上對(duì)外的地址���。
此時(shí)當(dāng)然要求ALG功能駐留在NAT/Firewall設(shè)備中����,要求這些設(shè)備本身具備應(yīng)用識(shí)別的智能�。支持IP語(yǔ)音和視頻協(xié)議(H323、SIP��、MGCP/H248)的識(shí)別和對(duì)NAT/Firewall的控制�,同時(shí)每增加一種新的應(yīng)用都將需要對(duì)NAT/Firewall進(jìn)行升級(jí)。
在安全要求上還需要作一些折衷���,因?yàn)锳LG不能識(shí)別加密后的報(bào)文內(nèi)容��,所以必須保證報(bào)文采用明文傳送�����,這使得報(bào)文在公網(wǎng)中傳送時(shí)有很大的安全隱患��。NAT/ALG是支持VOIPNAT穿透的一種最簡(jiǎn)單的方式�,但由于網(wǎng)絡(luò)實(shí)際情況是已部署了大量的不支持此種特性的NAT/FW設(shè)備,因此���,實(shí)際應(yīng)用中��,很難采用這種方式�����。
MIDCOM方式
與NAT/ALG不同的是��,MIDCOM的基本框架是采用可信的第三方(MIDCOMAgent)對(duì)Middlebox(NAT/FW)進(jìn)行控制���,VOIP協(xié)議的識(shí)別不由Middlebox完成,而是由外部的MID COM Agent完成��,因此VOIP使用的協(xié)議對(duì)Middlebox是透明的.
由于識(shí)別應(yīng)用協(xié)議的功能從Middlebox移到外部的MIDCOMAgent上��,根據(jù)MIDCOM的構(gòu)���,在不需要更改Middlebox基本特性的基礎(chǔ)上�,通過(guò)對(duì)MIDCOMAgent的升級(jí)就可以支持更多的新業(yè)務(wù)��,這是相對(duì)NAT/ALG方式的一個(gè)很大的優(yōu)勢(shì)���。
在VOIP實(shí)際應(yīng)用中�����,Middlebox功能可駐留在NAT/Firewall,通過(guò)軟交換設(shè)備(即MIDCOMAgent)對(duì)IP語(yǔ)音和視頻協(xié)議(H323�����、SIP�、MGCP/H248)的識(shí)別和對(duì)NAT/Firewall的控制����,來(lái)完成VOIP應(yīng)用穿越NAT/Firewall.在安全性上,MIDCOM方式可支持控制報(bào)文的加密�,可支持媒體流的加密,因此安全性比較高����。
如果在軟交換設(shè)備上實(shí)現(xiàn)對(duì)SIP/H323/MGCP/H248協(xié)議的識(shí)別,就只需在軟交換和NAT/FW設(shè)備上增加MIDCOM協(xié)議即可��,而且以后新的應(yīng)用業(yè)務(wù)識(shí)別隨著軟交換的支持而支持,此方案是一種比較有前途的解決方案���,但要求現(xiàn)有的NAT/FW設(shè)備需升級(jí)支持MIDCOM協(xié)議�����,從這一點(diǎn)上來(lái)說(shuō)����,對(duì)已大量布署的NAT/FW設(shè)備來(lái)說(shuō)��,也是很困難的�,同NAT/ALG方式有相同的問(wèn)題。
STUN方式
解決穿透NAT問(wèn)題的另一思路是�����,私網(wǎng)中的VOIP終端通過(guò)某種機(jī)制預(yù)先得到出口NAT上的對(duì)外地址��,然后在凈載中所填寫的地址信息直接填寫出口NAT上的對(duì)外地址�,而不是私網(wǎng)內(nèi)終端的私有IP地址,這樣凈載中的內(nèi)容在經(jīng)過(guò)NAT時(shí)就無(wú)需被修改了�����,只需按普通NAT流程轉(zhuǎn)換報(bào)文頭的IP地址即可,凈載中的IP地址信息和報(bào)文頭地址信息是一致的�����。STUN協(xié)議就是基于此思路來(lái)解決應(yīng)用層地址的轉(zhuǎn)換問(wèn)題����。
STUN的全稱是SimpleTraversalofUDPThroughNetworkAddressTranslators,即UDP對(duì)NAT的簡(jiǎn)單穿越方式��。應(yīng)用程序(即STUNCLIENT)向NAT外的STUNSERVER通過(guò)UDP發(fā)送請(qǐng)求STUN消息�����,STUNSERVER收到請(qǐng)求消息���,產(chǎn)生響應(yīng)消息�����,響應(yīng)消息中攜帶請(qǐng)求消息的源端口����,即STUNCLIENT在NAT上對(duì)應(yīng)的外部端口����。
然后響應(yīng)消息通過(guò)NAT發(fā)送給STUNCLIENT,STUNCLIENT通過(guò)響應(yīng)消息體中的內(nèi)容得知其NAT上的外部地址�����,并將其填入以后呼叫協(xié)議的UDP負(fù)載中�,告知對(duì)端����,本端的RTP接收地址和端口號(hào)為NAT外部的地址和端口號(hào)。由于通過(guò)STUN協(xié)議已在NAT上預(yù)先建立媒體流的NAT映射表項(xiàng)�����,故媒體流可順利穿越NAT.
STUN協(xié)議最大的優(yōu)點(diǎn)是無(wú)需現(xiàn)有NAT/FW設(shè)備做任何改動(dòng)����。由于實(shí)際應(yīng)用中,已有大量的NAT/FW,并且這些NAT/FW并不支持VoIP的應(yīng)用����,如果用MIDCOM或NAT/ALG方式來(lái)解決此問(wèn)題,需要替換現(xiàn)有的NAT/FW,這是不太容易的���。
而采用STUN方式無(wú)需改動(dòng)NAT/FW,這是其最大優(yōu)勢(shì)�,同時(shí)STUN方式可在多個(gè)NAT串聯(lián)的網(wǎng)絡(luò)環(huán)境中使用,但MIDCOM方式則無(wú)法實(shí)現(xiàn)對(duì)多級(jí)NAT的有效控制��。
STUN的局限性在于需要VOIP終端支持STUNCLIENT的功能�����,同時(shí)STUN并不適合支持TCP連接的穿越�����,因此不支持H323.另外STUN方式不支持對(duì)防火墻的穿越�,不支持對(duì)稱NAT(SymmetricNAT)類型(在安全性要求較高的企業(yè)網(wǎng)中����,出口NAT通常是這種類型)穿越。
TURN方式
TURN方式解決NAT問(wèn)題的思路與STUN相似��,也是私網(wǎng)中的VOIP終端通過(guò)某種機(jī)制預(yù)先得公網(wǎng)上的服務(wù)地址(STUN方式得到的地址為出口NAT上外部地址�,TURN方式得到地址為TURNServer上的公網(wǎng)地址),然后在報(bào)文凈載中所要求的地址信息就直接填寫該公網(wǎng)地址�。
