应用案例详解(二)多媒体穿越服务器的应用.doc

多媒体穿越服务器的应用 目前，各行业、企业、集团用户为了网络安全都安置了防火墙，为了便于管理和应用，其局域网或专网都使用了私有IP地址。由于防火墙、NAT的原因，私有网络内的H.323终端不能和公有网络内或另一私网内的H.323终端进行VoIP、视频通信，限制了客户IP信息网的建设。 为了帮助客户解决VoIP穿越NAT、防火墙的问题，迈普公司自主开发了专有协议并研发了多媒体穿越服务器（以下简称MTS）产品，MTS通过和MyPower VG系列产品相配合可以解决VoIP穿越NAT、防火墙问题，其中NAT不做任何改动，而防火墙只需做少量修改。使用MTS可以使VoIP协议穿越多级NAT、防火墙，使私网内的H.323和公网或另一私网内的H.323终端进行语音通信，既解决了VoIP终端产品占用公网IP地址问题，又解决了语音媒体流穿越防火墙的安全问题。为客户提供低价、可靠、安全的VoIP接入服务，更便利的沟通手段，减少了通信成本。 MTS支持最大并发呼叫数：30；最大维持呼叫数：200；最大容纳用户数：1000；最大语音延迟：小于200毫秒。 1 隧道穿透技术的简介 1.1 基本原理 隧道穿透技术，它采用迈普公司的私有协议：迈普多媒体穿越协议（Maipu NAT/FireWall Protocol，MNTP），由两个重要组件构成：多媒体穿越服务器（MTS1000）和访问网络服务器AIP(Access Internet Proxy )。MTS是单独的设备，而AIP是目前集成在网关VG2000/VG800中的一个功能模块。隧道穿越技术最基本的原理类似HTTP的服务，都是基于私有网络先向Internet网络发起连接策略，之后在NAT上就有了AIP/MTS1000之间的地址映射关系，这样公共网络和私有网络就可以在这一条或者多条链接上通信。采用隧道穿透技术，所有的数据和信令通过AIP进行中继，并且通过已经建立的链接作为控制通道，产生新的子通道来中继信令，这样NAT上几乎不需要改动，防火墙也只需要打开很少的端口号，从而确保安全性。 1.2 MTS1000基本术语 1.2.1 主隧道 网关和MTS服务器之间的一条TCP链接。在主隧道中传送MTS系统的控制信息，并且提供子隧道生成和控制的机制。 1.2.2 子隧道 在主隧道上通过复用和解复用，产生和删除一条子隧道。一条子隧道和公共网络及私有网络TCP的两条TCP对应，链接公共网络的TCP和私有网络的TCP。完成呼叫信令的传输。 1.2.3 探测机制 处于私有网络的AIP客户端向处于公共网络的MTS服务器的一固定端口发送RTP或者RTCP数据的探测包，在通过NAT/FireWall后，服务器收到该数据，可以从探测包的IP头中取出NAT地址转换后的公共网络的地址。这样服务器就可以按这个地址往NAT发送数据，此时，RTP和RTCP数据就可以顺利的进入私有网络。 1.3 系统工作原理 图3－1 如图3－1，多媒穿越服务系统，M，N，T分别是三个知名端口，构成一个对私有网络和公共网络的透明传输体，呼叫的任意一方都不会感知到另一端是否在私有网络，对于公共网络的终端来说，MTS就像是一个网关。 1.3.1 MTS工作原理 MTS1000是整个系统的处理中心，AIP可以和MTS1000之间可以建立一条链接，即隧道。 MTS1000同样等待AIP的数据包的到来。另外M,N上还接受另外的数据探测包，并响应探测包，从而MTS1000通过这种探测机制可以知道RTP、RTCP的数据源地址和数据目的地址。 MTS1000不需要解析所有的信令和消息，在MTS1000的处理中只有TCP/UDP链接的概念，没有呼叫。 1.3.2 网关AIP工作原理 网关上AIP功能模块需要解析所有的信令和消息，它完成终端的注册和呼叫的链接。也就是说：AIP代理一个私有网络终端注册到internet上的网守上。不难看出，AIP 是私有网络间处理的中心，也是私有网络的全权代理中心，完成私有网络到公有网络的呼叫过程。 私有网络中的网关启动时主动向internet的MTS1000上的端口T建立一条信令TCP链接也就是主隧道。并且，以后，所有的子隧道都要在这条主隧道中建立。 网关上的AIP监听私有网络H323的终端的注册和呼叫。并把这些信令通过和MTS1000之间建立一系列子通道来完成呼叫。 网关上的AIP启动后，它就同时具有网关和网守的功能，此时私有网络的H323终端就可以注册到网关上，此时网关在把它的技术前缀通过隧道注册到公共网络上。此时私有网络的终端间通信可以通过AIP的网守功能完成。而私有网络和公共网络的通信通过AIP的呼叫代理功能完成。 而对于RTP/RTCP数据，是通过先发送探测包的方法，巧妙的让MTS1000知道数据是从什么地方发送到M,N上的