扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
近年来,基于IP技术的宽带业务迅速得到普及,致使H.323多媒体通信系统不再仅限在专网用户群中应用,而且在那些基于Internet办公的企业用户也越来越得到青睐。伴随着H.323系统应用在Internet上的逐步普及,防火墙和NAT穿越这一老生常谈的问题遇到了新的挑战,而且这一矛盾日益凸现出来。
相对于国外宽带接入环境,中国宽带网络环境又具有自身的特性,使得我国企业用户的H.323系统应用同时还面临着其它一些非技术性的障碍。技术上的和非技术上的障碍,导致视频会议和VoIP应用在企业中发展速度远远低于人们的预期。突破这些阻碍,将在一定程度上促进视频会议以及VoIP等IP应用进一步普及与发展。
你或许已经了解到H.323协议在通信过程中,会为音视频等多媒体数据动态分配端口并产生和维护多个UDP数据流。这与很多企业防火墙策略制定相矛盾,即与传统防火墙的固定端口限制和禁止向内发起连接的基本策略相冲突。
不仅与此,众所周知,目前除了美国以外,全球都面临着IPv4地址空间极度匮乏的境况。然而大面积搭建IPv6也不是能够在短期内可以实现的。人们为了解决这一棘手问题,想了很多办法,其中网址转换(NAT)技术是解决这一问题的最好的方法之一。可是企业用户在采用NAT技术之后,会导致企业使用的IP语音和视频设备仅有私有IP地址。由于这些地址在公众网上不可路由,使企业购买了视频会议或者使VoIP设备,却无法使用。
事实上,大多数机构都同时使用了防火墙和NAT,因此企业用户采用的VoIP解决方案必须是完整的,即一个方案要同时解决上述两个问题。
在传统解决方案中,我们通常认为有如下几种解决办法,每种方法各有优劣:
1.使用PSTN网关
使用网关把局域网上的IP语音和视频转换为公共电路交换网上的PSTN语音和视频。使用这样一个网关就不用关心网络防火墙的穿透问题了,因为没有数据包要通过防火墙和NAT设备。
但这样的解决方案面临设备复杂、连接麻烦、扩展困难、功能单一等多种问题,同时也失去了IP长途通信的廉价优势,因此很少真正在实际案例中使用。
2.双网口MCU
使用具有两个网络端口的MCU,一个网口连接内部网络,另一个端口直接连接外部公网。 这个解决方案虽在部署上比较简单,却存在一个遗憾,即企业用户在进行点对点的呼叫时也得需要使用MCU,失去了VoIP的便捷性。同时,该解决方案还存在一个致命死穴——在网络拓朴结构中,MCU由于平行于防火墙设备,这将成为一个非常严重的安全隐患,一旦黑客攻击了MCU,用户内部的网络便完全透明。
3.H.323代理
H.323代理使一个呼叫过程看起来像两个分离的呼叫过程:一个过程是从私有网上的终端到代理服务器,另一个过程是从代理服务器到公众网上的终端。H.323代理通过对一个呼叫进行中转解决了NAT问题。 H.323代理必须同时具备网守的代理功能和RTP/RTCP多媒体流的代理功能。
这种方案的最大问题是没有解决防火墙的问题。
4.应用层网关
企业可以采用应用层网关(Application layer gateways),以解决防火墙和NAT穿透问题。应用层网关是具有指定IP协议(象H.323和SIP协议)识别功能的防火墙,也被叫做ALG Firewall。它可以对流入设备内的数据包进行深入分析,换种说法就是,它不仅可以识别三层(路由层)数据,还可以对应用层数据进行识别,通过分析数据通信内容,从而可以动态控制防火墙端口,以内容决定端口开放与否。
这种解决方案的缺点就是加重了防火墙的处理任务,降低了网络传输的效率,有可能成为网络传输潜在瓶颈。
5.虚拟专用网(VPN)
目前很多防火墙生产商提供防火墙产品,通常同时具备NAT和VPN功能。VPN功能可以使用户的所有分支机构和总部之间的通信如同在同一局域网之中一样。从通信上来讲,这种方案可以满足视频会议和VoIP的所有功能。
但作为企业网管人员的你需要注意是由于H.323本身要维护多条动态连接,因此对防火墙的负载能力是否能够满足这种应用需要进行深入分析。一分钱一分货,功能的增加势必增加设备生产成本,从而引起用户设备拥有成本的上升。
6.隧道穿透方案
隧道穿透解决方案由两个组件构成,Server和Client。Client放在防火墙内的私有网,私有网内的终端注册到Client上,它和防火墙外的Server创建一个由内向外的信令和控制通道,可以把所有的注册和呼叫控制信令以及音视频数据转发到Server。同时,防火墙向内网的通信,被模拟成由内向外通信的反馈信息,从而顺利穿越防火墙和NAT。Server处于公网上,扮演网守代理的角色,从Client收到的所有注册和呼叫信令都被Server转发到中心网守。
这个方法的缺点是所有经过防火墙的通讯都必须经由Server来进行中转,这会引起潜在的瓶颈,同时用户必须为视频会议系统额外添加代理设备。
以上几种解决办法都是从技术上解决防火墙和NAT问题,但目前我国的用户在实际使用中,还会遇到一些非技术性的问题。一个是我国的宽带网络服务商同时扮演着电信服务商的角色。在Internet上的音视频通信业务会对其原有的长途业务带来冲击,因此很多宽带网络服务商会在自己网络设备上进行设置,从而屏蔽基于国际标准的音视频通信协议,包括H.323和SIP协议。也就是说,即便我们的企业用户搭建的视频会议和VoIP系统成功的解决了防火墙和NAT问题,也可能由于电信服务商的封锁而无法使用。
在上述的解决方案中,VPN和隧道穿越技术会将通信内容进行重新的封装,因此这两种方案可以在解决防火墙和NAT问题的同时,避免被电信服务商查封的问题。但这两种方案均是逻辑的星形连接,因此所有的通信必须经过中心的转接,因此必须付出贷款的代价。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。