网站大量收购独家精品文档,联系QQ:2885784924

IMS组网中的NAT防火墙穿越方案 Discussion of Traversing Network Address Translation and Firewall in IMS Network.pdfVIP

IMS组网中的NAT防火墙穿越方案 Discussion of Traversing Network Address Translation and Firewall in IMS Network.pdf

  1. 1、本文档共6页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
IMS组网中的NAT防火墙穿越方案 Discussion of Traversing Network Address Translation and Firewall in IMS Network

2009.5电信王猩蕉莶皇握蕉丝 IM S组网中的NAT/防火墙穿越方案 吴丽华肖子玉 (中国移动通信集团设计院有限公司 北京100080) 摘要 本文针对IMS组网中的NAT(网络地址转换器)/防火墙穿越问题,在对各种防火墙穿越方式进行比较的 方案进行了研究。 IMS SBCSIP 关键词 NAT/防火墙穿越NAT/NAPT 1概述 及状态检测,为了网络安全,防火墙在访f.G歹lJ表配置时, 除打开网内业务需要的知名端口外(如http的80端 由于IPV4地址的紧缺以及网络安全问题,多数口),其它端口一般都配置为拒绝。而对于基于SIP的 企业用户和用户驻地网内部都采用了私有IP地址通 IMS多媒体通信应用来说,是在控制信令中动态地协 过出II的NAT/NAPT(网络地址端口转换)接入商媒体流端口的,并维护多个UDP数据流实现媒体 公网。当一个内网的主机经过一个NAT和外部进行 流的发送和接受。动态分配的端13为在防火墙上配置 ALG TCP或者UDP连接的期间,NAPT分配一个公网固定的包过滤策略带来了困难,对于不支持SIP IP住址和端13,以便来自外部终端响应的数据包能(应用网关)的防火墙,无法获取这些动态端13信息, 被NAPT接收、解释,并转发给内网的主机。这是导致这些媒体报文无法通过。 由NAPT建立一个(私有IP地址,私有端13)和(公上述问题均会影响企业内部网和外部网之间IMS 网IP地址,公网端13)之间的端13绑定实现的,在业务通信的问题,因此,随着IMS业务的进一步发 展,尤其是在大型企业、行业等集团客户中应用时, 会话期间NAPT将为绑定的端13执行地址翻译。一 般的Intemet应用不受NAT的影响。SIP主要借鉴NAT/防火墙穿越问题便成为首先要解决的问题。 HTTP和SMTP,是一个基于文本的应用层协议,会 话建立的有关IP地址信息在数据包负载中传输的, 2 NAT/防火墙穿越方式比较 而NAT是对TCP/IP层以下进行处理的,无法解析 应用层的SIP协议,也就无法完成正常的SIP会话建 常见的几种NAT/防火墙穿越方式如下。 立过程。 2.1静态NAT 另一方面,为了提高内部网络的安全性,大多数 当在私网中的IMS终端数量很少时,对于私网中 企业在网络出13处设置了防火墙,对通过它们的IP包的每个终端,在防火墙NAT上作静态NAT,将私网 按照相关策略进行过滤,限定进入内部网络数据包的 地址与公网地址作一对一的映射,并针对这些地址配 类型和流量。具体地说,防火墙一般需要进行包过滤 置相应的端口开放策略,允许SIP信令流、媒体流通过。 .16. 万方数据 电信工程技术与标准化 2009.5 通过静态NAT的地址映射,私网内部的终端可和公网、 其它私网之间的终端进行自由互通。 层被用来提供安全的IP通信,但由于基于VPN技术 该方案存在的问题: 的IPSec层使用它自己的连接标识符而不是UDP或 需要申请大量的公有地址; 对防火墙的配置复杂,不仅需要在防火墙上对所 的机制对NAT尤其是NAPT是不可通过的。为了解 有私网终端的IP地址做静态的一对一的地址映射,还 决NAT穿越问题,最好选择由一个生产商提供的整 需要打开静态映射后的公网IP地址的全部通信端I:1, 合防火墙,NAPT和VPN功能的解决方案。 需要开放指定IP地址的所有动态端口,存在安 该方案存在的问题:虽然VPN方案是

您可能关注的文档

文档评论(0)

hello118 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档