H.323视频通信中私网穿越解决方案.docVIP

H.323视频通信中私网穿越解决方案 ?? ??? 随着IP网络的普及，私有网络（简称私网）的数量和规模也越来越大。由于IPv4地址紧张和网络安全等问题，私网上普遍放置了NAT、防火墙设备，因 此，H.323协议的NAT、防火墙穿越问题成为开展视讯业务首需解决的问题之一。其关键在于目前大部分NAT设备都不支持H.323协议的穿越，即使部 分NAT设备支持H.323穿越，但又不能做到多个私网终端共用一个公网IP地址，从而失去了使用NAT的意义。如果NAT设备在进行NAT转换的同时能 支持H.323协议，就可以在节约公网IP地址的同时解决NAT、防火墙穿越问题。 ??? 现阶段业界普遍采用以下几种方式来解决私网穿越。 ??? 支持H.323的防火墙NAT设备 ??? 现在大量的用户网络采用的是动态NAT或者是NAPT方式，在这种组网情况下，对于普通NAT，在实际的视频通信中由于动态NAT方式进行了地址和端口的转换。无论是私网终端呼叫公网终端，还是公网终端呼叫私网终端，都存在如下两个问题。 ??? （1）当私网终端呼叫公网终端时，虽然私网终端可以从GK处获取公网终端的IP地址，但在接收视音频RTP码流时，由于受H.323协议的限制，其各自的 RTP接口和发送端口不同，如图1所示。这样，公网终端可以接收私网终端向公网终端（公网IP）发送的RTP码流，但公网终端向私网终端（其NAT映射的 公网地址）发送的RTP码流，在经过NAT设备时，并不会进行IP地址的转换，导致码流不能通过NAT设备，出现单通的情况。 ??? 图1? 普通NAT设备的公、私网通信 ??? （2）当公网终端呼叫私网终端时，由于呼叫的地址直接是私网终端映射的公网地址，NAT设备不支持H.323协议转换，因此呼叫就不能建立。 ??? 根据上面的分析，可以得到这样的结论：如果两个终端分别在防火墙内外，而防火墙只作普通NAT，则私网呼叫公网能够呼通，但是是单通，外部的码流不能进入到内部；公网呼叫私网肯定不通。 ??? 针对上述情况，现在部分NAT设备开始支持H.323协议。这些设备工作在三层以上协议，对H.323协议的IP码流直接进行协议转换，使企业内部的终端可以无障碍地与外部终端互通。 ??? 对于已经有防火墙的客户，可直接在防火墙内部挂接一个支持H.323协议的NAT设备，由该设备完成H.323NAT的转换后，转发给防火墙，而非 H.323应用的码流直接通过防火墙实现NAT功能。这样既可以使用户原有安全策略、上网方式保持不变，又不用更改用户原有私网，适合大中型企业和公司。 该方案组网示意图如图2所示。 ??? 图2? 支持H.323协议的NAT设备组网示意图 ??? 优点：（1）能最大限度节约公网IP地址，为用户节省运行费用；对视讯用户透明，使用方便。可以彻底解决所有私网互通的问题。（2）能够兼容所有标准的H.323终端设备。（3）对原有的网络结构的影响比较小。 ??? 缺点：需购买额外的网络设备，在网络出口增加支持H.323协议的NAT设备的多业务网关。 ??? 使用SNP协议（支持普通NAT下的私网与公网终端互通） ??? 基本工作原理为：公、私网之间的终端先按协议要求正常通信，当私网内终端在呼叫建立后一段时间内没有收到对端RTP码流，则通过私有协议向网络请求私有通 信过程，由网络设备进行处理，私网终端发送对应码流端口及令牌信息给公网终端，并在防火墙上打通通道，从而建立公网到私网之间的媒体流通信过程。此方案主 要是通过低成本的解决方案解决低价值私网内部用户接入问题，其接入示意图如图3所示。 ??? 图3? SNP方案示意图 ??? 采用SNP方案可以用比较低的成本实现公、私网的穿越。但是不借助支持H.323协议的防火墙设备，不能解决两个私网之间的互通。此方案适合个人和中小企业用户。 ??? 优点：无需用户购买额外的网络设备，为用户节省费用；无需改动网络拓扑。 ??? 缺点：不能彻底实现私网和私网之间的互通。 ??? 汇接网关方案（支持普通NAT下私网之间的互通） ??? 为了彻底解决公、私网穿越的问题，可以采用8520宽带汇接平台设备（华为公司产品）。这个设备在网络位置上和MCU一致，一般放置在公网上，通过这个设备的桥接，实现私网之间、私网和公网之间的互通。采用此类设备后不再需要客户端添加额外的设备。 ??? 8520可以认为是SNP协议的一个桥接设备。当一个私网终端A呼叫另一个私网终端B时，GK发现B为私网终端，将8520的IP地址返回给终端A，终端 A通过SNP协议呼叫8520，同时8520接收到GK命令，向终端B发起呼叫，从而实现SNP协议的桥接。原理如图4所示。 ??? 图4? 8520汇接设备示意图 ??? 从图4可以看到，仅需要在运营商网络侧增加8520设