基于GRE隧道的SIP穿越NAT的研究.doc

基于GRE隧道的SIP穿越NAT的研究 郑志勇 （徐州生物工程高等职业学校，江苏 徐州 221006） ? ??? 摘? 要? 目前广泛部署的NAT使得SIP穿越NAT变得越来越困难。本文提出了运用GRE隧道技术解决SIP穿越NAT的方案。通过在私网内架设GRE客户端和在防火墙/NAT之外（公网）架设GRE服务器，所有SIP信息及媒体流都通过GRE客户端和服务器端进行转发，从而避免了因为NAT的存在，导致SIP信息流无法穿越防火墙/NAT的问题。 ??? 关键词? GRE；SIP；NAT ?  1? 引言 ??? NAT的部署对SIP应用产生了不利的影响，使得标准的协议不能在存有NAT的网络中使用。为了解决这个问题，业界发布了多个用于帮助实现穿越的建议同时，众多的设备厂商也开始开发和生产帮助穿越的新产品。目前，已经广泛使用的几种主流的穿越方案包括STUN、TURN、ALG、隧道以及Media proxy等。然而，目前提供的这些解决方案都或多或少的存在一些自身的缺陷，这些缺陷主要体现在穿越能力、系统容量、安装成本等方面。 ??? 本文综合分析了SIP及NAT的通信原理，提出了通过GRE隧道技术来实现SIP穿越NAT，从而避免针对不同类型的NAT需要不同技术来解决的问题。 2? SIP及NAT描述 ??? SIP（Session Initiation Protocol）称为会话初始化协议，是由互联网工程任务组（IETF，Internet Engineering Task Force）于 1999 年提出的一个基于 IP 网络，特别适用于 Internet 网络环境中实现实时通信应用的一种信令协议。会话是指用户间的数据交换。在基于 SIP 协议的应用中，每一个会话可以使用各种不同的数据，如普通文本、经过数字化处理的音频、视频数据等，应用具有很大的灵活性。 ??? SIP 作为一个应用层的多媒体会话协议，可以用来创建、修改和终止一个或多个参加者参与的会话进程。这些会话包括 Internet 多媒体会议、Internet 电话、远程教学及远程医疗等。参加会话的成员可以通过组播方式、单播联网方式或者两者结合的方式进行通信。 ??? 网络地址转换（Network Address Translator，NAT）[3]是IETF为了解决IPv4地址紧缺而提出的一种解决方案。它位于公网和专用局域网间的网关中.NAT可以使同一局域网的多个内部地址共享单个的外部地址；同时又可隐藏局域网中的内部地址，从而提供一定???安全保障。现有的NAT主要分为四种类型。 2.1? Full Cone NAT ??? 同一内部地址和端口发往外部的所有数据包，不管目的地址是多少，在NAT上都映射为同一个外部地址和端口；同时，任何外部主机发往NAT的该外部地址和端口的数据包将通过NAT被转发到相应的内部地址和端口。 2.2? Restricted Cone NAT ??? 与Full Cone类似，同一内部地址和端口发往外部的所有数据包，在NAT上都映射为同一个外部地址和端口，但不同的是只有收到内网主机数据包的外部主机发的数据包才允许通过NAT被转发到相应的内网主机。 2.3 ?Port Restricted Cone NAT ??? 与Restricted Cone类似，但比它更严格，只有接收到内网主机数据包的端口发出的包才被允许通过NAT到达相应的内网主机。 2.4 ?Symmetric NAT ??? 前3种NAT的映射是与目的地址无关的。与前3种不同的是，Symmetric NAT是根据目的地址来进行映射的。也就是说，从同一地址和端口发往不同的目的地址的请求在NAT上所映射的公网地址或端口是不同的。同样，只有以前接收过内网主机的数据包的特定端口的主机发出的数据包才能穿越NAT到达内网主机。 3? 隧道穿透技术??? ??? 隧道穿透方案，实际上可以看成是使用了一种特殊的代理技术，它从逻辑上将代理设备划分为主代理（Server）和从代理（Client）。在通信过程中，Client 和 Server通过隧道协议建立一条隧道来实现信令和媒体流透，即在防火墙设备的内外架设专门的隧道来传送数据。通过把需要穿越的数据流封装在某种隧道中，从而绕过 NAT，这是隧道穿越技术的基本思想。可以考虑的隧道协议有 L2TP、IPSec、GRE以及L2F 等。 ??? 因为经过隧道封装的数据流在通过防火墙的时候，在通信双方之间都通过特定的隧道协议的端口，而不是原来数据流协议的端口。那么不论原来的应用协议是什么，只要隧道协议能够正常穿越过防火墙，就能完成任何应用协议的穿越。这样在很大程度上解决了对于不同应用协议需要开发不同穿越策略的办法。 4? GRE隧道穿透方案 ??? 前面已经说过