VOIP穿越NAT学习.docVIP

VOIP穿越NAT学习笔记 1、NAT简介 1.1、NAT简介 网络地址转换（NAT） 主要用来完成局部地址与全局地址之间的转换。NAT 解决了 Internet 地址耗竭问题，企业内部网只需少量的全局地址就可达到与 internet的互连。 1.2、NAT带来的问题 NAT解决IPV4地址紧缺的问题同时也带来了一些问题，例如H323/SIP/MGCP/H248等协议在载荷中携带了源地址和端口信息，普通的NAT设备无法根据协议内容检查载荷，并进行转换处理。 1.3、NAT端口映射方式分类 本文主要介绍VOIP等协议如何进行VOIP穿越，VOIP穿越NAT方式跟NAT端口映射方式关系很大，所以我们根据NAT的端口映射方式对NAT进行分类讨论： 根据端口映射方式,NAT可分为如下4类,前3种NAT类型可统称为克隆类型。 (1)全克隆( Full Cone) : NAT把所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口。任何一个外部主机均可通过该映射发送IP包到该内部主机。 (2)限制性克隆(Restricted Cone) : NAT把所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口。但是,只有当内部主机先给IP地址为X的外部主机发送IP包,该外部主机才能向该内部主机发送IP包。 (3)端口限制性克隆( Port Restricted Cone) :端口限制性克隆与限制性克隆类似,只是多了端口号的限制,即只有内部主机先向IP地址为X,端口号为P的外部主机发送1个IP包,该外部主机才能把源端口号为P的IP包发送给该内部主机。 (4)对称式NAT ( Symmetric NAT) :这种类型的NAT与上述3种类型的不同,在于当同一内部主机使用相同的端口与不同地址的外部主机进行通信时, NAT对该内部主机的映射会有所不同。对称式NAT不保证所有会话中的私有地址和公开IP之间绑定的一致性。相反,它为每个新的会话分配一个新的端口号。 二、为什么VOIP自身不能穿越NAT 2.1、VOIP协议自身不支持穿越NAT 我们知道VOIP协议中有H323、SIP等两大协议族。H323信令主要基于TCP完成的，SIP信令首选UDP来进行信令交互。在信令交互中，两种协议都在信息字段承载了下一步磋商的地址、端口等信息。而这些信息一般NAT设备是无法检查和进行转换的，所以造成了VOIP无法穿越NAT进行通信。例如： 图一、NAT中的VOIP 3、目前VOIP穿越NAT的几种办法 3.1、NAT/ALG 方式（应用层网关） NAT是通过修改IP包头和UDP或TCP报文头部地址信息实现地址的转换，但对于VOIP应用，在TCP/UDP净载中还带有重要的地址信息，ALG方式是指在私网中的VOIP终端在净载中填写的是其私网地址，此地址信息在通过NAT时被修改为NAT上对外的地址。 此时当然要求ALG功能驻留在NAT/Firewall设备中，要求这些设备本身具备应用识别的智能。支持IP 语音和视频协议（H323、SIP、MGCP/H248）的识别和对NAT/Firewall的控制，同时每增加一种新的应用都将需要对 NAT/Firewall进行升级。 在安全要求上还需要作一些折衷，因为ALG 不能识别加密后的报文内容，所以必须保证报文采用明文传送，这使得报文在公网中传送时有很大的安全隐患。 NAT/ALG是支持VOIP NAT穿透的一种最简单的方式，但由于网络实际情况是已部署了大量的不支持此种特性的NAT/FW设备，因此，实际应用中，很难采用这种方式。 图二、 ALG应用层网关NAT穿越 3.2、MIDCOM 方式 与NAT/ALG不同的是，MIDCOM的基本框架是采用可信的第三方（MIDCOM Agent）对Middlebox （NAT/FW）进行控制，VOIP协议的识别不由Middlebox完成，而是由外部的MIDCOM Agent完成，因此VOIP使用的协议对Middlebox是透明的 . 由于识别应用协议的功能从Middlebox移到外部的MIDCOM Agent上，根据MIDCOM 的构，在不需要更改Middlebox基本特性的基础上，通过对MIDCOM Agent的升级就可以支持更多的新业务，这是相对NAT/ALG方式的一个很大的优势。 在VOIP实际应用中，Middlebox功能可驻留在NAT/Firewall，通过软交换设备（即MIDCOM Agent）对IP语音和视频协议（H323、SIP、MGCP/H248）的识别和对NAT/Firewall的控制，来完成VOIP应