隨著IP網(wǎng)絡(luò)的普及,私有網(wǎng)絡(luò)(簡(jiǎn)稱(chēng)私網(wǎng))的數(shù)量和規(guī)模也越來(lái)越大。由于IPv4地址緊張和網(wǎng)絡(luò)安全等問(wèn)題,私網(wǎng)上普遍放置了NAT、防火墻設(shè)備,因此,H.323協(xié)議的NAT、防火墻穿越問(wèn)題成為開(kāi)展視訊業(yè)務(wù)首需解決的問(wèn)題之一。其關(guān)鍵在于目前大部分NAT設(shè)備都不支持H.323協(xié)議的穿越,即使部分NAT設(shè)備支持H.323穿越,但又不能做到多個(gè)私網(wǎng)終端共用一個(gè)公網(wǎng)IP地址,從而失去了使用NAT的意義。如果NAT設(shè)備在進(jìn)行NAT轉(zhuǎn)換的同時(shí)能支持H.323協(xié)議,就可以在節(jié)約公網(wǎng)IP地址的同時(shí)解決NAT、防火墻穿越問(wèn)題。
現(xiàn)階段業(yè)界普遍采用以下幾種方式來(lái)解決私網(wǎng)穿越。
支持H.323的防火墻NAT設(shè)備
現(xiàn)在大量的用戶(hù)網(wǎng)絡(luò)采用的是動(dòng)態(tài)NAT或者是NAPT方式,在這種組網(wǎng)情況下,對(duì)于普通NAT,在實(shí)際的視頻通信中由于動(dòng)態(tài)NAT方式進(jìn)行了地址和端口的轉(zhuǎn)換。無(wú)論是私網(wǎng)終端呼叫公網(wǎng)終端,還是公網(wǎng)終端呼叫私網(wǎng)終端,都存在如下兩個(gè)問(wèn)題。
(1)當(dāng)私網(wǎng)終端呼叫公網(wǎng)終端時(shí),雖然私網(wǎng)終端可以從GK處獲取公網(wǎng)終端的IP地址,但在接收視音頻RTP碼流時(shí),由于受H.323協(xié)議的限制,其各自的RTP接口和發(fā)送端口不同,如圖1所示。這樣,公網(wǎng)終端可以接收私網(wǎng)終端向公網(wǎng)終端(公網(wǎng)IP)發(fā)送的RTP碼流,但公網(wǎng)終端向私網(wǎng)終端(其N(xiāo)AT映射的公網(wǎng)地址)發(fā)送的RTP碼流,在經(jīng)過(guò)NAT設(shè)備時(shí),并不會(huì)進(jìn)行IP地址的轉(zhuǎn)換,導(dǎo)致碼流不能通過(guò)NAT設(shè)備,出現(xiàn)單通的情況。
圖1 普通NAT設(shè)備的公、私網(wǎng)通信
(2)當(dāng)公網(wǎng)終端呼叫私網(wǎng)終端時(shí),由于呼叫的地址直接是私網(wǎng)終端映射的公網(wǎng)地址,NAT設(shè)備不支持H.323協(xié)議轉(zhuǎn)換,因此呼叫就不能建立。
根據(jù)上面的分析,可以得到這樣的結(jié)論:如果兩個(gè)終端分別在防火墻內(nèi)外,而防火墻只作普通NAT,則私網(wǎng)呼叫公網(wǎng)能夠呼通,但是是單通,外部的碼流不能進(jìn)入到內(nèi)部;公網(wǎng)呼叫私網(wǎng)肯定不通。
針對(duì)上述情況,現(xiàn)在部分NAT設(shè)備開(kāi)始支持H.323協(xié)議。這些設(shè)備工作在三層以上協(xié)議,對(duì)H.323協(xié)議的IP碼流直接進(jìn)行協(xié)議轉(zhuǎn)換,使企業(yè)內(nèi)部的終端可以無(wú)障礙地與外部終端互通。
對(duì)于已經(jīng)有防火墻的客戶(hù),可直接在防火墻內(nèi)部掛接一個(gè)支持H.323協(xié)議的NAT設(shè)備,由該設(shè)備完成H.323 NAT的轉(zhuǎn)換后,轉(zhuǎn)發(fā)給防火墻,而非H.323應(yīng)用的碼流直接通過(guò)防火墻實(shí)現(xiàn)NAT功能。這樣既可以使用戶(hù)原有安全策略、上網(wǎng)方式保持不變,又不用更改用戶(hù)原有私網(wǎng),適合大中型企業(yè)和公司。該方案組網(wǎng)示意圖如圖2所示。
圖2 支持H.323協(xié)議的NAT設(shè)備組網(wǎng)示意圖
優(yōu)點(diǎn):(1)能最大限度節(jié)約公網(wǎng)IP地址,為用戶(hù)節(jié)省運(yùn)行費(fèi)用;對(duì)視訊用戶(hù)透明,使用方便。可以徹底解決所有私網(wǎng)互通的問(wèn)題。(2)能夠兼容所有標(biāo)準(zhǔn)的H.323終端設(shè)備。(3)對(duì)原有的網(wǎng)絡(luò)結(jié)構(gòu)的影響比較小。
缺點(diǎn):需購(gòu)買(mǎi)額外的網(wǎng)絡(luò)設(shè)備,在網(wǎng)絡(luò)出口增加支持H.323協(xié)議的NAT設(shè)備的多業(yè)務(wù)網(wǎng)關(guān)。
使用SNP協(xié)議(支持普通NAT下的私網(wǎng)與公網(wǎng)終端互通)
基本工作原理為:公、私網(wǎng)之間的終端先按協(xié)議要求正常通信,當(dāng)私網(wǎng)內(nèi)終端在呼叫建立后一段時(shí)間內(nèi)沒(méi)有收到對(duì)端RTP碼流,則通過(guò)私有協(xié)議向網(wǎng)絡(luò)請(qǐng)求私有通信過(guò)程,由網(wǎng)絡(luò)設(shè)備進(jìn)行處理,私網(wǎng)終端發(fā)送對(duì)應(yīng)碼流端口及令牌信息給公網(wǎng)終端,并在防火墻上打通通道,從而建立公網(wǎng)到私網(wǎng)之間的媒體流通信過(guò)程。此方案主要是通過(guò)低成本的解決方案解決低價(jià)值私網(wǎng)內(nèi)部用戶(hù)接入問(wèn)題,其接入示意圖如圖3所示。
圖3 SNP方案示意圖
采用SNP方案可以用比較低的成本實(shí)現(xiàn)公、私網(wǎng)的穿越。但是不借助支持H.323協(xié)議的防火墻設(shè)備,不能解決兩個(gè)私網(wǎng)之間的互通。此方案適合個(gè)人和中小企業(yè)用戶(hù)。
優(yōu)點(diǎn):無(wú)需用戶(hù)購(gòu)買(mǎi)額外的網(wǎng)絡(luò)設(shè)備,為用戶(hù)節(jié)省費(fèi)用;無(wú)需改動(dòng)網(wǎng)絡(luò)拓?fù)洹?
缺點(diǎn):不能徹底實(shí)現(xiàn)私網(wǎng)和私網(wǎng)之間的互通。
匯接網(wǎng)關(guān)方案(支持普通NAT下私網(wǎng)之間的互通)
為了徹底解決公、私網(wǎng)穿越的問(wèn)題,可以采用8520寬帶匯接平臺(tái)設(shè)備(華為公司產(chǎn)品)。這個(gè)設(shè)備在網(wǎng)絡(luò)位置上和MCU一致,一般放置在公網(wǎng)上,通過(guò)這個(gè)設(shè)備的橋接,實(shí)現(xiàn)私網(wǎng)之間、私網(wǎng)和公網(wǎng)之間的互通。采用此類(lèi)設(shè)備后不再需要客戶(hù)端添加額外的設(shè)備。
8520可以認(rèn)為是SNP協(xié)議的一個(gè)橋接設(shè)備。當(dāng)一個(gè)私網(wǎng)終端A呼叫另一個(gè)私網(wǎng)終端B時(shí),GK發(fā)現(xiàn)B為私網(wǎng)終端,將8520的IP地址返回給終端A,終端A通過(guò)SNP協(xié)議呼叫8520,同時(shí)8520接收到GK命令,向終端B發(fā)起呼叫,從而實(shí)現(xiàn)SNP協(xié)議的橋接。原理如圖4所示。
圖4 8520匯接設(shè)備示意圖
從圖4可以看到,僅需要在運(yùn)營(yíng)商網(wǎng)絡(luò)側(cè)增加8520設(shè)備,用戶(hù)側(cè)無(wú)需增加任何網(wǎng)絡(luò)設(shè)備,即可在原有網(wǎng)絡(luò)上實(shí)現(xiàn)公私網(wǎng)之間的多媒體通信。經(jīng)過(guò)8520進(jìn)行橋接,可直接實(shí)現(xiàn)不同私網(wǎng)終端的互通。
由于H.323協(xié)議需要占用多個(gè)端口,在穿越公、私網(wǎng)時(shí),需要消耗防火墻(或其他NAT設(shè)備)的端口資源,因此,當(dāng)使用8520匯接設(shè)備后,可以開(kāi)啟非對(duì)稱(chēng)隧道技術(shù)及端口收斂功能,可實(shí)現(xiàn)對(duì)H.323協(xié)議端口的收斂,達(dá)到節(jié)約端口的目的,收斂前后防火墻需要打開(kāi)端口表。
同時(shí),使用8520匯接平臺(tái),可提供一種全新的防火墻穿越方案:受控的端口開(kāi)放。在防火墻上為固定的端口開(kāi)放到可信的IP地址,只需要開(kāi)放幾個(gè)端口到可信任的GK、8520、MCU地址即可,有效保障了網(wǎng)絡(luò)的安全。此方案適合建設(shè)大規(guī)模的視訊運(yùn)營(yíng)網(wǎng)絡(luò),面對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境時(shí)采用。
優(yōu)點(diǎn):(1)無(wú)需用戶(hù)購(gòu)買(mǎi)額外的網(wǎng)絡(luò)設(shè)備,為用戶(hù)節(jié)省費(fèi)用;無(wú)需改動(dòng)用戶(hù)網(wǎng)絡(luò)拓?fù)洌唬?)支持非對(duì)稱(chēng)隧道技術(shù)和端口收斂,只需對(duì)要求端口收斂的私網(wǎng)防火墻設(shè)備進(jìn)行隧道技術(shù)和端口收斂,打開(kāi)有限端口。
缺點(diǎn):需使用8520設(shè)備,同時(shí)要求每一個(gè)SwitchCentre必須至少配置一臺(tái)8520,以滿(mǎn)足全網(wǎng)所有用戶(hù)的私網(wǎng)互通需求;
以上討論了3種解決視訊業(yè)務(wù)中私網(wǎng)穿越問(wèn)題的方案,這些方案是不矛盾的,在運(yùn)營(yíng)網(wǎng)組網(wǎng)中,可以采用3種方案混合使用,來(lái)有效地解決私網(wǎng)穿越問(wèn)題。
