有关NAT穿越以及可信设备通信系统的背景资料.docxVIP

NAT穿越以及可信设备跨域通信系统介绍 NAT穿越（NAT traversal）涉及TCP/IP网络中的一个常见问题，即在处于使用了NAT设备的私有TCP/IP网络中的 HYPERLINK /view/23880.htm \t _blank 主机之间建立连接的问题。 概述 会遇到这个问题的通常是那些客户端网络交互应用程序的开发人员，尤其是在对等网络和VoIP领域中。IPsec VPN客户普遍使用NAT-T来达到使ESP包通过NAT的目的。 尽管有许多穿越NAT的技术，但没有一项是完美的，这是因为NAT的行为是非标准化的。这些技术中的大多数都要求有 一个公共服务器，而且这个服务器 使用的是一个众所周知的、从全球任何地方都能访问得到的IP地址。一些方法仅在建立连接时需要使用这个服务器，而其它的方法则通过这个服务器中继所有的数 据——这就引入了 HYPERLINK /view/10821.htm \t _blank 带宽开销的问题。 NAT穿越方法 NAT/ALG 方式 普通NAT是通过修改UDP或TCP HYPERLINK /view/175122.htm \t _blank 报文头部地址信息实现地址的转换，但对于VOIP应用，在TCP/UDP净载中也需带地址信息，ALG方式是指在私网中的VOIP HYPERLINK /view/105503.htm \t _blank 终端在净载中填写的是其私网地址，此地址信息在通过NAT时被修改为NAT上对外的地址。 语音和视频协议（H323、SIP、MGCP/H248）的识别和对NAT/Firewall的控制，同时每增加一种新的应用都将需要对 NAT/Firewall进行升级。 在安全要求上还需要作一些折衷，因为ALG 不能识别加密后的 HYPERLINK /view/175122.htm \t _blank 报文内容，所以必须保证报文采用明文传送，这使得报文在公网中传送时有很大的安全隐患。 NAT/ALG是支持VOIP NAT穿透的一种最简单的方式，但由于网络实际情况是已部署了大量的不支持此种特性的NAT/FW设备，因此，实际应用中，很难采用这种方式。 MIDCOM 方式 与NAT/ALG不同的是，MIDCOM的基本框架是采用可信的第三方（MIDCOM Agent）对Middlebox （NAT/FW）进行控制， HYPERLINK /view/838859.htm \t _blank VOIP协议的识别不由Middlebox完成，而是由外部的MIDCOM Agent完成，因此VOIP使用的协议对Middlebox是透明的 . 由于识别应用协议的功能从Middlebox移到外部的MIDCOM Agent上，根据MIDCOM 的构，在不需要更改Middlebox基本特性的基础上，通过对MIDCOM Agent的升级就可以支持更多的新业务，这是相对NAT/ALG方式的一个很大的优势。 在VOIP实际应用中，Middlebox功能可驻留在NAT/Firewall，通过 HYPERLINK /view/65164.htm \t _blank 软交换设备（即MIDCOM　Agent）对IP语音和视频协议（H323、SIP、MGCP/H248）的识别和对NAT/Firewall的控制，来完成VOIP应用穿越 NAT/Firewall .在安全性上，MIDCOM方式可支持控制 HYPERLINK /view/175122.htm \t _blank 报文的加密，可支持媒体流的加密，因此安全性比较高。 如果在 HYPERLINK /view/65164.htm \t _blank 软交换设备上实现对SIP/H323/MGCP/H248协议的识别，就只需在软交换和NAT/FW设备上增加MIDCOM协议即可，而且以后新的应用业务识别随着 HYPERLINK /view/65164.htm \t _blank 软交换的支持而支持，此方案是一种比较有前途的解决方案，但要求现有的NAT/FW设备需升级支持MIDCOM协议，从这一点上来说，对已大量部署的NAT/FW设备来说，也是很困难的，同NAT/ALG方式有相同的问题。 STUN 方式 解决穿透NAT问题的另一思路是，私网中的VOIP HYPERLINK /view/105503.htm \t _blank 终端通过某种机制预先得到出口NAT上的对外地址，然后在净载中所填写的地址信息直接填写出口NAT上的对外地址，而不是私网内 HYPERLINK /view/105503.htm \t _blank 终端的私有IP地址，这样净载中的内容在经过NAT时就无需被修改了，只需按普通NAT流程转换