多媒体通信中多种NAT穿越技术分析和相关国际标准动态的探讨多媒体通信中多种NAT穿越技术分析和相关国际标准动态的探讨.doc

多媒体通信中多种NAT/Firewall穿越技术分析和相关国际标准动态的探讨 ?NAT/Firewall穿越是多媒体通信中普遍存在的一个问题，对于通信有很大的影响。该问题是为了保证正常通信进行所必须解决的问题。本文对于目前存在的多种NAT/Firewall穿越技术进行了论述和分析，重点介绍基于穿越代理的穿越解决方案，和其中的一些典型技术。同时，因为NAT/Firewall穿越问题涉及多种技术方案，因此国际标准领域目前也在加速进行相关的标准化工作，期望能够形成少数几种被业界共同遵循的标准。本文对于相关的国际标准动态也进行了描述和探讨。 一、多媒体通信中的NAT/Firewall穿越问题的普遍性 众所周知，因为IPv4的地址不足，私有地址的采用是必然的，因此就引入了NAT，从安全角度，也有对于Firewall的需要。在实际中两者紧密结合，往往实现在一个物理设备上，因此在提到穿越的时候，都是两者并称的。当然，NAT/Firewall的存在，还有其他原因，比如实现企业网内部拓扑和地址隐藏（Address and topology hidding）。目前的视频、VoIP在很大程度上是为企业网用户服务的，这些业务的用户也主要集中在企业网中。视讯目前作为一种高端业务，其资费还是较高的，通常提供给企业；VoIP可以为企业节省大量通信费用。在发达国家，IPv4地址资源相对丰富，但是企业网内部还是采用私有地址的。因此可以说在多媒体通信中NAT/Firewall穿越问题是普遍存在的，并且这个问题并不会因为采用IPv6就自动消除。 人们非常关注多媒体通信的NAT/Firewall穿越问题，除了该问题普遍存在，还因为有如下原因。 （1） 多媒体通信涉及的协议相当多样和复杂，H.323，SIP，H.248，T.120和其他关于数据应用的事实标准（如Webex、Data Connection等）。对于每种具体协议，可能都需要不同的穿越机制来支持。 （2） 多媒体通信协议，如H.323和SIP等都是应用层协议，普通的NAT如果只能做IP层的地址翻译，无法对IP payload中涉及到的IP地址和端口进行相应的翻译，因此会造成通信失败。 （3） Firewall有多种类型，为了保证安全，对于来自公网和私网的进出信令流和媒体流都有很多约束和限制。如果不能正确规避这些约束条件，则可能无法进行正常的通信。最典型的情况是通信涉及位于多个私网上的终端，而这些私网通过公网相互连接。 二、多媒体通信中的NAT/Firewall穿越相关的一些概念介绍 1．NAT和NAPT NAT（Network Address Translation），网络地址翻译。就是这样一个过程，通过网络地址翻译设备（Network Address Translator）在两个地址域（Realm如公网和私网）之间进行地址的翻译和映射。NAPT（Network Address/Port Translation），在地址翻译的基础上，还需要进行端口的映射。不同的应用协议（如HTTP、RTP等），采用不同的TCP或者UDP端口。在很多情况下，映射不但是地址映射也是端口的映射。 2．NAT的种类 （1）静态NAT 采用静态的地址/端口映射，即公网地址和私网地址之间存在一对一的映射关系。 （2）动态NAT 采用动态的地址/端口映射，这种情况下NAT是可以配置的，根据使用需求和会话流来启发式地决定这种动态映射关系。一个动态映射关系将随着最后一个使用该绑定关系的会话结束而被释放，从而使得全局公网地址能够循环使用，提高资源的利用率。 （3）完全锥形NAT 这是一种形象的说法，来自IETF的定义。完全锥形NAT把所有来自同一个内部私网地址/端口的请求，都映射到同一个外部公网地址/端口。并且，任何外部主机可以通过向映射得到的该外部地址发送数据包，从而发送数据包到该内部主机。 （4）受限锥形NAT 受限锥形NAT把所有来自同一个内部私网地址/端口的请求，都映射到同一个外部公网地址/端口。并且，只有当该内部主机曾经向某个外部主机发送过数据包时，这个外部主机才能向该内部主机发送数据包，即通信只能首先由私网上的终端发起。 （5）端口受限锥形NAT 类似于受限锥形NAT，但是限制更加严格。只有当内部主机曾经向某个外部主机地址上的某个特定端口发送过数据包，这个外部主机地址上的特定端口才能向该内部主机发送数据包，即通信只能首先由私网上的终端发起。 （6）对称NAT 这种NAT的限制是最严格的。所有来自于同一个内部地址/端口并且要发送到某个特定目的地址/端口的请求将被映射到同一个外部地址/端口。如果同一个内部主机从同一端口上发送了一个数据包，只是目的地址/端口不同，那么映射关系也将是不同的。并