随着IP网络的普及,私有网络(简称私网)的数量和规模也越来越大。由于IPv4地址紧张和网络安全等问题,私网上普遍放置了NAT、防火墙设备,因此,H.323协议的NAT、防火墙穿越问题成为开展视讯业务首需解决的问题之一。其关键在于目前大部分NAT设备都不支持H.323协议的穿越,即使部分NAT设备支持H.323穿越,但又不能做到多个私网终端共用一个公网IP地址,从而失去了使用NAT的意义。如果NAT设备在进行NAT转换的同时能支持H.323协议,就可以在节约公网IP地址的同时解决NAT、防火墙穿越问题。
现阶段业界普遍采用以下几种方式来解决私网穿越。
支持H.323的防火墙NAT设备
现在大量的用户网络采用的是动态NAT或者是NAPT方式,在这种组网情况下,对于普通NAT,在实际的视频通信中由于动态NAT方式进行了地址和端口的转换。无论是私网终端呼叫公网终端,还是公网终端呼叫私网终端,都存在如下两个问题。
(1)当私网终端呼叫公网终端时,虽然私网终端可以从GK处获取公网终端的IP地址,但在接收视音频RTP码流时,由于受H.323协议的限制,其各自的RTP接口和发送端口不同,如图1所示。这样,公网终端可以接收私网终端向公网终端(公网IP)发送的RTP码流,但公网终端向私网终端(其NAT映射的公网地址)发送的RTP码流,在经过NAT设备时,并不会进行IP地址的转换,导致码流不能通过NAT设备,出现单通的情况。
图1 普通NAT设备的公、私网通信
(2)当公网终端呼叫私网终端时,由于呼叫的地址直接是私网终端映射的公网地址,NAT设备不支持H.323协议转换,因此呼叫就不能建立。
根据上面的分析,可以得到这样的结论:如果两个终端分别在防火墙内外,而防火墙只作普通NAT,则私网呼叫公网能够呼通,但是是单通,外部的码流不能进入到内部;公网呼叫私网肯定不通。
针对上述情况,现在部分NAT设备开始支持H.323协议。这些设备工作在三层以上协议,对H.323协议的IP码流直接进行协议转换,使企业内部的终端可以无障碍地与外部终端互通。
对于已经有防火墙的客户,可直接在防火墙内部挂接一个支持H.323协议的NAT设备,由该设备完成H.323 NAT的转换后,转发给防火墙,而非H.323应用的码流直接通过防火墙实现NAT功能。这样既可以使用户原有安全策略、上网方式保持不变,又不用更改用户原有私网,适合大中型企业和公司。该方案组网示意图如图2所示。
图2 支持H.323协议的NAT设备组网示意图
优点:(1)能最大限度节约公网IP地址,为用户节省运行费用;对视讯用户透明,使用方便。可以彻底解决所有私网互通的问题。(2)能够兼容所有标准的H.323终端设备。(3)对原有的网络结构的影响比较小。
缺点:需购买额外的网络设备,在网络出口增加支持H.323协议的NAT设备的多业务网关。
使用SNP协议(支持普通NAT下的私网与公网终端互通)
基本工作原理为:公、私网之间的终端先按协议要求正常通信,当私网内终端在呼叫建立后一段时间内没有收到对端RTP码流,则通过私有协议向网络请求私有通信过程,由网络设备进行处理,私网终端发送对应码流端口及令牌信息给公网终端,并在防火墙上打通通道,从而建立公网到私网之间的媒体流通信过程。此方案主要是通过低成本的解决方案解决低价值私网内部用户接入问题,其接入示意图如图3所示。
图3 SNP方案示意图
采用SNP方案可以用比较低的成本实现公、私网的穿越。但是不借助支持H.323协议的防火墙设备,不能解决两个私网之间的互通。此方案适合个人和中小企业用户。
优点:无需用户购买额外的网络设备,为用户节省费用;无需改动网络拓扑。
缺点:不能彻底实现私网和私网之间的互通。
汇接网关方案(支持普通NAT下私网之间的互通)
为了彻底解决公、私网穿越的问题,可以采用8520宽带汇接平台设备(华为公司产品)。这个设备在网络位置上和MCU一致,一般放置在公网上,通过这个设备的桥接,实现私网之间、私网和公网之间的互通。采用此类设备后不再需要客户端添加额外的设备。
8520可以认为是SNP协议的一个桥接设备。当一个私网终端A呼叫另一个私网终端B时,GK发现B为私网终端,将8520的IP地址返回给终端A,终端A通过SNP协议呼叫8520,同时8520接收到GK命令,向终端B发起呼叫,从而实现SNP协议的桥接。原理如图4所示。
图4 8520汇接设备示意图
从图4可以看到,仅需要在运营商网络侧增加8520设备,用户侧无需增加任何网络设备,即可在原有网络上实现公私网之间的多媒体通信。经过8520进行桥接,可直接实现不同私网终端的互通。
由于H.323协议需要占用多个端口,在穿越公、私网时,需要消耗防火墙(或其他NAT设备)的端口资源,因此,当使用8520汇接设备后,可以开启非对称隧道技术及端口收敛功能,可实现对H.323协议端口的收敛,达到节约端口的目的,收敛前后防火墙需要打开端口表。
同时,使用8520汇接平台,可提供一种全新的防火墙穿越方案:受控的端口开放。在防火墙上为固定的端口开放到可信的IP地址,只需要开放几个端口到可信任的GK、8520、MCU地址即可,有效保障了网络的安全。此方案适合建设大规模的视讯运营网络,面对复杂的网络环境时采用。
优点:(1)无需用户购买额外的网络设备,为用户节省费用;无需改动用户网络拓扑;(2)支持非对称隧道技术和端口收敛,只需对要求端口收敛的私网防火墙设备进行隧道技术和端口收敛,打开有限端口。
缺点:需使用8520设备,同时要求每一个SwitchCentre必须至少配置一台8520,以满足全网所有用户的私网互通需求;
以上讨论了3种解决视讯业务中私网穿越问题的方案,这些方案是不矛盾的,在运营网组网中,可以采用3种方案混合使用,来有效地解决私网穿越问题。
