（计算机应用技术专业论文）面向voip应用防火墙穿越的softhub的设计与实现.pdf

摘要 近年来，v o l p ( v o i e eo v e ri p ) 技术及其业务的迅速发展，对传统的电信业务造 成了巨大的冲击。v o l p 网络通过网关等设备，以p s t n 作为用户的接入设备，用 i p 网络代替昂贵的传统传输网络，从而大大的降低了通信成本，节省了通话费用。 由于i p 电话具备一定的技术优势与时代特征，一旦解决传输和语音质量问题，就 会对传统电话产生巨大冲击，具有很大的市场空间。 n a t 和防火墙设备的存在阻碍了很多应用和协议在i n t e m e t 上的部署和实施， 使得v 0 i p 应用在数据的传输过程中遇到了很大的困难。在局域网环境下，由于没 有n a t 和防火墙的限制，同一个局域网内的各种应用程序可以畅通无阻的通信。 本文设计实现的虚拟局域网利用t u n t a p 虚拟设各和t u n n e l 技术， 可以突破n a t 和大多数防火墙的限制，使受限的应用可以正常的通信。本文介绍 了i p 电话的发展及i p 电话的工作原理和相关的标准及协议，分析了现有的穿越 n a t f w 方法，并提出了一种新型的穿越方法，即在现有的网络中构建一个虚拟 局域网。 s o f t h u b 是虚拟局域网的服务器端程序，功能上类似于真实局域网环境下的集 线器( h u b ) ，负责对虚拟局域网中信令的处理和数据的转发，是虚拟局域网的核 心组成部分。本文主要解决的是s o f t h u b 的程序和私有协议的设计与实现，在穿越 n a t 方面借鉴了s t u n 、t u r n 和i c e 方案，对需要通过s o f l h u b 转发的数据采 用了t r e a p 树进行调度，提高了效率，另外由于对数据进行了加密，减弱了防火墙 对数据流的阻碍。在本文的第三部分详细介绍了虚拟局域网服务器端程序s o f t h u b 的数据结构和内部逻辑的设计与实现，其中用到了很多u n i x l i n u x 和网络编程的 高级技术和设计思想。 【关键字】s t u ns o f l h u b 随机查找树虚拟局域网 面向v o i p 应用防火墙穿越的s o f l h u b 的设计与实现 a b s t r a c t d e s i g na n di m p l e m e n t a t i o no ft h es o f t h u b u s e df o rn a t f wt r a v e r s a lo fv o l p a p p l i c a t i o n z h a n gl e ( c o m p u t e ra p p l i c a t i o nt e c h n o l o g y ) d i r e c t e db yp r o f e s s o rl i nh ua n dp r o f e s s o rl e iw e i m i n w i t ht h ed e v e l o p m e n to ft e c h n o l o g yo fv o l e , as t r o n gi m p a c tt ot h et r a d i t i o n a l c o m m u n i c a t i o ni sg i v e n i fi pt e l e p h o n ew a n t st oc o m p e t ew i t ht r a d i t i o n a lt e l e p h o n e ，i t m u s ti m p r o v ei t sv o i c eq u a l i t ya n dr e s o l v en a t f wt r a v e r s a l t h ed e v i c e so fn a t f wm a d et h ed e p l o y m e n ta n di m p l e m e n t a t i o no fm a n y a p p l i c a t i o n sa n dp r o t o c o l sd i f f i c u l t h o w e v e r , u n d e rt h ee n v i r o n m e n to fl a n ，t h e r ea r e n on a t f wd e v i c e s ，a l la p p l i c a t i o n sc a nc o m m u n i c a t ef r e e l y i nt h i sp a p e r , t h ev i r t u a l l a ni sd e s i g n e da n di m p l e m e n t e db ym a k i n gu s eo ft u n t a pd r i v e ra n dt u n n e lt o t r a v e r s en a t f w , m a k et h o s er e s t r i c t e da p p l i c a t i o n sc o m m u n i c a t i n gn o r m a l l y f i r s t l y , t h i sp a p e ri n t r o d u c e st h eb a s i ct h e o r ya n dp r o t o c o l so fi pt e l e p h o n e s e c o n d l y , m o s t p o p u l a rw a y so fn a t f wt r a v e r s a la r ea n a l y z e d f i n a l l y , t h i sp a p e rp r e s e n t san e ww a y o f n a t f w t r a v e r s a l ，n a m e l yc o n s t r u c t i n gav i r t u a ll a nb a s i n go ni n t e r n e t t h es o f l h u bi st h es e r v e rp r o g r a mo ft h ev i r t u a ll a na n di sr e s p o n s i b l ef o rt h e m a n a g e m e n to fm e s s a g ea n dt h ef o r w a r do ft h ed a t a , w h o s ef u n c t i o ni ss i m i l a rt ot h e h u bu n d e rt h ee n v i r o n m e n to fl a n i ti st h eh a r dc o r eo ft h ev i r t u a ll a n t h i sp a p e r p l a c e se m p h a s i so nt h ed e s i g na n di m p l e m e n t a t i o no ft h es e r v e rp r o g r a ma n dt h ep r i v a t e p r o t o c 0 1 o nt h ea s p e c to fn a t f wt r a v e r s a l ，t h i sp a p e rc o n s u l t ss t u n ，t u r na n d i c ea n ds c h e d u l e st h ed a t a , w h i c ha r es t o r e da n df o r w a r d e db yt h es e r v e r , u s i n gt h e t r e a pt r e e ，w h i c hi m p r o v e st h ee f f i c i e n c yo ft h es e r v e rp r o g r a m i na d d i t i o n , f i r e w a l l s c a p a b i l i t yo fb l o c k i n gv o p i sd e c r e a s e db yt h eu s eo fe n c r y p t i o n t h et h i r dc h a p t e r i n t r o d u c e st h ed e t a i l so ft h ed e s i g na n di m p l e m e n t a t i o no ft h ev i r t u a ll a n sd a t as t r u c t a n di n t e r n a ll o g i c ，w h i c hu s em a n ya d v a n c e dt e c h n o l o g i e sa n dd e s i g ni nt h e e n v i r o n m e n to fu n i x l i n u xa n dn e t w o r kp r o g r a m m i n g k e y w o r d s s t u n s o f l h u b t r e a p v i r t u a ll a n n 引言 引言 v o l p ( v o i c eo v e ri n t e m e tp r o t o c 0 1 ) ，即i p 电话，是在i p 网上开发的一种增值业 务，它因价格低廉而广受用户欢迎，并对传统的电路交换话音业务尤其是国际长 途业务提出了严峻的挑战。i p 电话把语音、压缩编码、打包分组、分配路由、存 储交换、解包解压等交换处理在i p 网或互联网上实现语音通信。它促进了网络资 源利用，降低了语音业务成本，在全球范围内得到了迅速的发展。 n a t 和防火墙设备的存在阻碍了很多应用和协议在i n t e m e t 上的部署和实施。 在局域网环境下，由于没有n a t 和防火墙的限制，同一个局域网内的各种应用程 序可以畅通无阻的通信。本文设计实现的虚拟局域网利用t u n t a p 虚拟设备和 t u n n e l 技术，可以突破n a t 和大多数防火墙的限制，使受限的应用可以正常的 通信。 课题来源于中科院沈阳计算所网络通信实验室承担的辽宁省科技攻关项目 “s i p 技术研究”及s i p 具体应用，目的是在网络上实现基于s i p 协议的高接通率 和高质量语音通信。论文的主要工作内容包括：v o l p 的相关标准、基本原理， 现有的穿越n a t f w 技术，s s l 与隧道技术，s o f t h u b 的设计与实现。重点论述了 s o f t h u b 程序通信协议的设计、穿越n a t f w 的方法及转发数据时对客户连接的调 度，然后结合应用实例给出了简要的测试及数据。 第一章介绍了v o 口的相关知识原理、s i p 协议和n a t f w 穿越技术。重点论 述了s i p 协议的结构体系、编码、操作过程和重定位过程，n a t 和防火墙。详细 介绍了现有的各种n a t 防火墙穿越的解决方案，并探讨了各自的优点与不足。 第二章详细介绍了虚拟局域网的分析与设计。包括t u n t a p 虚拟驱动、s s l 和t r e a p 树技术。t u n t a p 虚拟驱动程序是s o f t h u b 实现的基础，运用于虚拟局 域网的客户端及服务器端6s s l 技术和o p e n s s l 开源库是s o f t h u b 加密的核心部 分，确保了数据在传输过程中的安全性，而且在穿越防火墙过程中起到了相当大 的作用。t u n n e l 技术提供了将以太网帧封装到u d p 包的方法，使虚拟局域网与 具体的网络应用无关。t r e a p 树是设计和实现s o f t h u b 程序转发数据功能的核心技 术，确保了高效公平的转发模块的实现。本章还包括了整体设计和s o f t h u b 的流程 图。 第三章详细介绍了s o f t h u b 的实现部分，包括虚拟局域网通信协议，穿越n a t 和防火墙的实现和t r e a p 在服务器端程序具体运用。 第四章结合s i p 具体应用，给出了s o f t h u b 的应用实例，并给出了实验环境、 测试结果和测试数据，根据封装数据包的载荷率分析了s o f t h u b 的性能。 面向v o l p 应用防火墙穿越的s o f l h u b 的设计与实现 最后的结论总结了全文，说明了在穿越n a t 和防火墙方面，本方案与其它的 方案的不同，并比较了优缺点。说明了本方案待改进的地方。 因特网的迅猛发展使得目前的i p v 4 的地址资源日益减少，造成了现在世界上 大量的用户都是使用私有i p 地址。如何使得使用私网p 的用户能够通过i n t e r n e t 互通成了许多i n t e m e t 应用首要解决的问题。而s i p 作为通过因特网传递语音信 息的协议，也不可避免要解决这个问题。针对n a t f w 穿越问题，提出了很多方案， 相对于其它解决方案，基于软件应用的虚拟局域网，不用更换设备，不用修改现 有应用，不依赖于某种特别的应用程序与协议，是一种廉价易用的方案，并在实 验室的具体应用中显示出了良好的效果。 2 第一章v o l p 技术及n a t f w 穿越 第一章v o l p 技术及n a t f w 穿越 1 1v o l p 简介 根据著作【1 】的论述，i p 电话的话音是利用基于路由器分组交换的i p ( i n t c m e t i n t r a n c t ) 数据网进行传输。由于i n t e r a c t 中采用“存储一转发”的方式 传递数据包，并不独占电路，并且对语音信号进行了很大的压缩处理，因此i p 电 话占用带宽仅为8 k b i t s - - l o k b i t s ，再加上分组交换的计费方式与距离的远近无关， 自然大大节省了长途通信费用。i n t e r n e t 是由众多各种不同的计算机网络互联组成 的，遍布世界各地。i n t e m e t 的出现和普及极大地改变了人们的交流和通信方式。 i n t e m e t 使用标准的t c p i p 协议来实现各计算机之间的相互通信和数据交换。 1 9 9 5 年2 月以色列v o c a l t e e 公司研制出可以通过i n t e r a c t 打长途电话的软件 产品“i n t e m e tp h o n e 。这项技术的突破引起全世界的瞩目，从而使p 电话技术 得到迅速发展。经过几年的发展，i p 电话成为一种新型电话业务在全世界开展， 并对传统电话业务造成越来越大的威胁。 在技术积累阶段，c t i 领域的专家提出语音传输的分组设想：所有的分组语 、音系统都遵循一种通用的模式，分组语音传输网络可以采用碑、帧中继或a t m 。 在这些网络的边缘设置称为“语音代理 的设备或部件，其任务是将语音信息从 传统的语音格式转换为适用于分组传输的格式，然后通过上述网络将分组数据发 送到目的地的语音代理设备上。 语音代理连接模式在分组语音网络传输系统中需要解决两个问题，才能使分 组语音服务满足用户的需要。首先是语音编码的转换，即如何将语音信息转换为 数字信号：另一个问题是信令转换，它主要是鉴别呼叫方所呼叫的对象，以及呼 叫方在网络中的位置。 人类的语言都是以模拟信号形式表示的，早期的电话模拟信号可以描述为平 滑的“正弦波 ，虽然模拟通信技术已相当发达，但是传输的效率不高，当传输 衰减导致模拟信号变弱时，要将复杂的模拟语音信息和传输噪声区分开来是很困 难的。 数字信号只有“1 和“0 ”两种状态，易于同噪声区分开，而且不易发生畸 变。因此，全球的通信系统已转换为数字传输格式，称为脉冲编码调制( p c m ) ， p c m 将模拟语音转换为数字格式。标准电话p c m 使用8 位代码和8 0 0 0 秒采样频 率，所以每一路电话占用6 4 k b s 信道带宽，另一种称为自适应微分p c m ( a d p c m ) 的电话语音标准将语音转换为4 位代码，因此仅占用3 2 k b s ，a d p c m 通常用于 长途线路。 3 面向v o l p 应用防火墙穿越的s o f t h u b 的设计与实现 正是基于这样的技术，人们研制成功了第一代i p 电话设备，利用计算机上的 声卡语音采集原理，将6 4 k b s 的模拟语音转换为a d p c m 数字信号，在i n t e m e t 上实现计算机到计算机的初级i p 电话功能。这种系统由于主要是利用计算机来完 成语音的压缩和控制，所以，一般只能实现一路话音的实时通信。例如，在p i l 2 3 3 的计算机系统上最多只能完成4 个话路的语音通信。在这些系统中，比较实用的 i p 电话系统有很多，如v o c a l t e c 的i p h o n e 、m i c r o s o f t 的n e t m e e t i n g 系统等。第一 代i p 系统的研制成功，激起了人们对电话系统的极大兴趣，从而推动了p 电 话技术的应用研究，人们希望像一般电话系统一样来使用i p 电话系统。 i p 电话的第二个发展阶段是在第一个阶段的基础上的飞跃，它不但可以实现 像p s t n 系统一样使用p 电话系统进行通信，而且也可以实现大话务量的呼叫。 利用目前的p s t n 交换系统，进行口电话的通信的阶段称为“实用阶段 。实用 阶段的m 电话主要是一个网络接入设备，它完成数据网络传输和p s t n 的转接功 能。一个实用的ip 电话接入终端系统( 可以称之为g a t e w a y ) ，一般包括五个部 分： 建立和控制电话的接续、通话和拆线工作； 语音压缩和数据编码处理； 数据网络传输和控制； 系统维护部分； 用户信息管理。 口网络电话之所以能赢得市场，是因为它具有以下许多独特的应用优势。 价格低廉，尤其是国际长途呼叫和传真有着明显的价格优势，这是i p 电话进 入市场的首要因素，其根本原因：一是i p 电话均采用压缩语音编码和分组统计复 用，带宽利用率高；二是i p 运营商都是采用租线方式进行，其成本核算和计费方 法与传统电信运营商不同。 价格优势是口网络电话进入市场的原始推动力，而增值业务才是i p 电话得以 发展的真正动力。典型的i p 电话增值业务有：根据主叫名、呼叫优先级等进行有 区别的呼叫通知：根据日程表、主叫名、当前呼叫号码等确定呼叫前转或震铃， 也可以弹出窗口由用户自行选择如何处理入呼叫；可以上网浏览和电话呼叫同时 进行；也可以方便的进行电话会议j 在会议中传递文件，协同工作等。有些运营 商还向用户提供面向对象的软件工具，供用户自行开发其语音处理应用。 i p 网络电话引入企业网后，可以将数据网和电话网合一，可以很容易的在已 有数据网的平台上加入语音信箱，交互式语音提示，自动话务员等功能，构筑计 算机电话集成( c 1 r i ) 系统，这些功能和系统无需另外添加设备，只需要加入相应 的软件应用程序即可。 4 第一章v o l p 技术及n a t f w 穿越 i n t e m e t 大力发展后，许多i n t e m e t 服务提供商( i s p ) 应运而生。i p 网络电话 推出后，i s p 可以很方便的将网络电话业务与接入服务结合起来，增加运营收入。 另外，引入i p 电话后，一些新成立的小型公司都可以很容易的进入电信经营领域， 既有利于电信市场的开放，也可以促进传统电信业的改造。 首先，i p 电话系统广泛采用了语音压缩编码技术，实用算法的压缩码率已达 p c m 编码的1 1 0 ，也就是说，长途传输干线无需投资新的设备，其传输能力即可 增加l o 倍。其次，目前正在大力开发的宽带接入技术，为i p 电话的推广开创了很 好的条件。这些宽带技术可以向网络终端，包括社区和家庭用户提供很宽的数据 通道。 1 1 18 ip 协议简介 参考文献【2 】中对s i p 协议的规定，并根据著作【2 】的介绍，s i p 是一个信令协 议，它的作用在于建立、修改、释放多媒体会话。当会话的一端向会话的另一端 发出建立多媒体会话的邀请时，必须在s i p 的邀请消息中给出描绘会话特征的消 息。对于s i p 而言，可以用任何传输协议来完成多媒体会话所指定的多媒体消息 流的传输，但在通常情况下，它用r t p 作为多媒体消息流的传输协议。在口网络 中，s i p 消息的传输路径和多媒体会话指定的多媒体消息流的传输路径是相互独立 的。这种独立性使得用于控制多媒体会话的s i p 消息可以经过一个或多个代理服 务器或重定向服务器进行转发，而多媒体消息流可以直接在会话的两个端点之间 进行传输。 1 1 1 1 编码 在p s t n 中，用于唯一标识电话机的标识符为电话号码；在s i p 网络中，用于 唯一标识终端用户的标识符为统一资源标识符( u ) 。u r _ i 由两部分组成：用户 名和主机名( 用户名 主机名) 。用户名通常用于指定某个特定的应用程序，而主 机名用于唯一地标识s i p 网络中的某个主机。因此，可以用i p 地址或完全限定域 名作为主机名。如果所有的主机名都可以直接用i p 地址或完全限定名给出，对于 s i p 操作来讲是一件好事。当某个终端希望和另一个终端建立多媒体通信会话时， 终端用户可以通过应用程序接口输入另一个终端的u r i ，该终端可以直接用u r i 给出的目的终端的i p 地址或者通过d n s 解析得到的目的终端的i p 地址构成用于 传输s i p 信令的i p 分组，并通过i p 网络将该i p 分组送达目的地。 在这里，u r i 中的主机名有着两重意思，一重意思是用于唯一地标识s i p 终端 ( 或客户) ，另一重意思是作为可以直接通过d n s 解析到i p 地址的完全限定域名。 5 面向v o l p 应用防火墙穿越的s o f l h u b 的设计与实现 作为完全限定域名，必须服从域名的分配原则；但作为s i p 终端标识符，用户希 望它有着便于记忆的、特定的编码规律。这两重意思有时是相互矛盾的。另一方 面，在一个用于语音通信的大型s i p 网络中，s i p 终端的数量是十分惊人的，对所 有终端分配完全限定域名，并由d n s 负责解析这些完全限定域名所对应得i p 地址， 将大大增加d n s 的处理负担，影响作为s i p 网络承载的i p 网络的运行效率。 在p s t n 中，电话号码的分配是非常有规律的。对每一个本地局内的电话机， 首先分配一个局号，所有属于同一本地局的电话机，它的局号都是相同的。再用 局内号码唯一标识本地局内的任何一台电话机，每台电话机的局内号码在指定本 地局内是唯一的，同一本地局内不可能有两台电话机分配相同的局内号码。因此， 可以用局号和局内号码唯一地标识某个电话机( 更大范围的p s t n 还需要加上区 号) ，而且局号和局内编号适合于记忆，便于用户使用。当某个用户( 主叫) 希 望和另一个用户( 被叫) 建立呼叫连接时，由主叫用户输入被叫用户的电话号码。 被叫用户的电话号码首先被传输到本地局，本地局通过检验局号确定是否是局内 号码。如果是局内号码，直接在局内建立交换电话连接；如果是其他本地局号码， 先建立和目的本地局( 号码所属本地局) 的电路连接，再将被叫号码送达目的本 地局。任何一台电话机一旦被分配了一个号码，就在本地局的用户设备中分配了 一条线路，该线路和电话机相连，局内建立交换电路只需在用户设备中的两对用 户线路之间完成跳接即可。当然，这种跳接由电路完成。如果将p s t n 的思想引 申到s i p 网络，就可将大型s i p 网络划分成若干控制区域，这些控制区域在p s t n 中被称为本地局，在s i p 网络中被称为域，由域名唯一地标识每个域。这里的域 名更像是p s t n 网络中的局号，而不是直接可以用于d n s 解析的完全限定域名。 至于域内的每一个用户，可以用用户名唯一地标识，这样，“用户名 域名 就成 了用于标识用户的u r i 。在本地局中，一旦电话机接入p s t n ，就在用户设备中将 连接电话机的用户线和分配给电话号码绑定在一起：但在s i p 网络中，用注册服 务器将“用户名 域名和真正在m 网络中标识主机地址和主机中应用程序的“用 户名 主机名 绑定在一起，就像每一个电话机必须由本地局分配电话号码和相应 的用户线路一样。每一个控制域必须有一台注册服务器来完成用于标识s i p 网络 终端的“用户名 域名和在m 网络中标识主机及应用程序的u r i 之间绑定，这 种绑定通过注册过程实现。 6 第一章v o l p 技术及n a t f w 穿越 1 1 1 2 代理服务器 就像每一个本地局都有一个本地交换机一样，每一个控制域都有一台代理服 务器。代理服务器的作用和本地交换机有一些类似，主要用于完成s i p 消息的路 由。每一个s i p 终端将请求消息发送给为它所在控制域服务的代理服务器，请求 消息中必须给出目的s i p 网络终端的“用户名 域名 。当代理服务器接收到该请 求消息后，通过比较目的s i p 网络终端的域名，确定是否是本控制域内呼叫请求。 如果是的话，通过查找注册服务器，获取目的s i p 网络终端的i p 地址，将请求消 息转发给目的s i p 网络终端；如果是域间呼叫，代理服务器必须找出为目的s i p 网络终端所在控制域服务的代理服务器，将请求消息转发给该代理服务器。根据 目的s i p 终端的“用户名 域名，确定下一跳代理服务器的方法有多种，一是用 户通过静态配置转发路由表，给出不同目的域的下一跳代理服务器；二是通过定 位服务获取为目的控制域服务的代理服务器。由于域名只给出标识控制域的消息， 并不是一个完全限定域名，不能简单地通过d n s 完成定位服务。 s i p 是一种客户机服务器协议，启动后会话过程的一方为客户，响应会话请 求的一方为服务器。在s i p 中，客户称为用户代理客户( u a c ) ，服务器称为用 户代理服务器( u a s ) 。就像本地交换机一样，在会话建立过程中，代理服务器 也需要对用户代理客户发送来的请求作出临时响应，而且对于下一跳代理服务器 而言，代理服务器本身也是一个用户代理客户。因此，代理服务器通常同时具有 u a c 和u a s 功能。 在s i p 中，将一次请求一响应过程称之为事务，因此，u a c 和u a s 都是指某 个特定的事务而言的。某个s i p 终端在某个事务中可以作为u a c ，在另一个事务 中又可变成u a s 。 1 1 1 3s l p 操作过程 当某个s i p 网络终端希望和另一个s i p 网络终端建立多媒体通信会话时，多媒 体应用程序通过用户接口获取目的s i p 网络终端的“用户名 域名 ，并以此构成 s i p 请求消息。在s i p 请求消息中，还必须给出会话描述消息。s i p 网络终端构建 完s i p 请求消息后，将s i p 请求消息发送给它所在的控制域服务的代理服务器，代 理服务器的p 地址通常在配置s i p 网络终端时给出。代理服务器在接收到源s i p 网络终端发送来的s i p 请求消息后，通过检测目的s i p 网络终端的域名，确定是域 内转发还是域间转发。如果是域内转发，代理服务器必须查询注册服务器，在获 得目的s i p 网络终端的i p 地址信息后，将s i p 请求消息转发给它；如果是域间转 发，通过对定位服务器请求定位服务，获取为目的s i p 终端所在控制域服务的代 7 面向v o i p 应用防火墙穿越的s o f t h u b 的设计与实现 理服务器的i p 地址，将s i p 请求消息转发给下一跳代理服务器，再由下一跳代理 服务器将s i p 请求消息转发给目的s i p 网络终端。两个不同的转发过程分别如图 1 1 ( a ) 、( b ) 所示。 请求： c a l t , d w o r k t o m ，_ _ 响应 c a l l e r w o r k c o r n p c i w o r k c o m 1 1 1 4s ip 重定位操作 代理服务器 c a l l e d 、v o r k c , o m p c 2 w o r k c o m ( a ) 域内转发 定位服务器 定位服务器 ( b ) 域内与域间转发过程 图1 1 域内和域间转发过程 在s i p 网络中，除了前面介绍的注册服务器、代理服务器和定位服务器外， 可能还有重定位服务器。重定位服务器的功能只是根据目的s i p 网络终端的“用 户名 域名 ，确定i p 网络用于标识该目的s i p 网络终端的地址信息( i p 地址或 完全限定域名) 在完成映射后，不是转发该s i p 请求消息，而是通过响应消息 将目的s i p 网络终端的i p 网络地址信息回送给源s i p 网络终端。源s i p 网络终端 8 册 0 燃梦一 蕊啦 = 移 重 唧 一 一 | ! 茎鲫 ：j 耋| 移移 砖 毓帔 器删卜 僦多一拶 第一章v o i p 技术及n a t f w 穿越 可以给目的s i p 网络终端的i p 地址信息构成s i p 请求消息，直接将s i p 请求消息 发送给目的s i p 网络终端，如图1 2 所示。 图1 2 重定位操作 c a l l e d w o r k t o m p c 2 w o r k c o m 在实际的s i p 网络中，注册服务器、代理服务器、定位服务器及重定向服务 器可以安装在同一个物理服务器上，而且实际应用中，代理服务器可以直接访问 注册服务器中有关标识s i p 网络终端的“用户名 域名”和该d 网络中的地址信 息( m 地址或完全限定域名) 的绑定，同时，代理服务器也可通过访问用户配置 的静态转发路由表来确定下一跳代理服务器。当然，待理服务器也可通过用其他 协议访问定位信息库( 如d n s ) 来获取下一跳代理服务器。 建立多媒体通信会话的操作过程为源s i p 网络终端发送给目的s i p 网络终端的 i n v i t e 消息为请求消息，请求和目的s i p 网络终端建立多媒体通信会话。在通常 情况下，i n v i t e 消息中需要包含会话描述信息，用于指出该会话所指定的多媒体 信息流的编码格式及所需带宽。当目的s i p 网络终端愿意和源s i p 网络终端建立多 媒体通信会话时，就回送一个o k 响应。但为了避免源s i p 网络终端重发定时器溢 出，通常情况下，目的s i p 网络终端在接收到i n v i t e 消息后，立即回送一个临时 响应消息。源s i p 网络终端在接收到目的s i p 网络终端发送给它的响应消息o k 响应消息后，获知目的s i p 网络终端发送的o k 响应消息，多媒体通信会话建立。 在多媒体会话建立后，源和目的s i p 网络终端可以开始相互传输多媒体信息流。 在完成多媒体信息流传输后，任何一方可以发送b y e 消息给对方，表示结束当前 多媒体通信会话。对方接收到b y e 消息后，回送o k 响应消息作为对b y e 消息 的确认应答，多媒体通信会话结束。 面向v o i p 应用防火墙穿越的s o f t h u b 的设计与实现 1 1 2h 3 2 3 协议简介 通过著作 3 中的论述，可以知道h 3 2 3 是i t u 多媒体通信系列标准h 3 2 x 的一 部份，该系列标准使得在现有通信网络上进行视频会议成为可能，其中，h 3 2 0 是 在n i s d n 上进行多媒体通信的标准：h 3 2 1 是在b - i s d n 上进行多媒体通信的标准： h 3 2 2 是在有服务质量保证的l a n 上进行多媒体通信的标准：h 3 2 4 是在g s t n 和无线 网络上进行多媒体通信的标准。h 3 2 3 为现有的分组网络p b n ( 如i p 网络) 提供多 媒体通信标准。若和其它的i p 技术如i e t f 的资源预留协议r s v p 相结合，就可以实 现i p 网络的多媒体通信。基于i p 的l a n 正变得越来越强大，如i po v e rs d h s o n e t 、 i po v e ra t m 技术正在快速发展以及l a n 宽带正在不断的提高。由于能提供设备与 设备、应用与应用、供应商与供应商之间的互操作能力，因此，h 3 2 3 能够保证所 有h 3 2 3 兼容设备的互操作性。更高速率的处理器、日益增强的图形器件和强大的 多媒体加速芯片使提p c 成为一个越来越强大的多媒体平台。h 3 2 3 可提供p b n 与别 的网络之间进行多媒体通信的互连互通标准。许多计算机、网络通信公司，如 i n t e r 、m i c r o s o f t 和n e t s c a p e 都支持h 3 2 3 标准。h 3 2 3 标准包括在无q o s 保证的分 组网络中进行多媒体通信所需的技术要求。这些分组网络包括l a n 、w a n 、i n t e r n e t 因特网以及使用p p p 等分组协议通过g s t n 或i s d n 的拨号连接或点对点连接。 从整体上来说，h 3 2 3 是一个框架性建设，它涉及到终端设备、视频、音频和 数据传输、通信控制、网络接口方面的内容，还包括了组成多点会议的多点控制 单元( m c u ) 、多点控制器( m c ) 、多点处理器( m p ) 、网关以及关守等设备。它的 基本组成单元是”域”，在h 3 2 3 系统中，所谓域是指一个由关守管理的网关、多点 控制单元( m c u ) 、多点控制器( m c ) 、多点处理器( m p ) 和所有终端组成的集合。 一个域最少包含一个终端，而且必须有且只有一个关守。h 3 2 3 系统中各个逻辑组 成部份称为h 3 2 3 的实体，其种类有：终端、网关、多点控制单元( m c u ) 、多点控 制器( m c ) 、多点处理器( m p ) 。其中终端、网关、多点控制单元( m c u ) 是h 3 2 3 中的终端设备，是网络中的逻辑单元。终端设备是可呼叫的和被呼叫的，而有些 实体是不通被呼叫的，如关守。h 3 2 3 包括了h 3 2 3 终端与其它终端之间的、通过 不同网络的、端到端的连接。 h 3 2 3 为基于网络的通信系统定义了四个主要的组件：( t e r m i n a l ) 、网关 ( g a g e w a y ) 、关守( g a g e k e e p e r ) 、多点控制单元( m c u ) 。终端是分组网络中能提 供实时、双向通信的节点设备，也是一种终端用户设备，可以和网关、多点接入 控制单元通信。所有终端都必须支持语音通信，视频和数据通信可选。h 3 2 3 规定 了不同的音频、视频或数据终端协同工作所需的操作模式。它将是下一代因特网 电话、音频会议终端和视频会议技术的主要标准。 i o 第一章v o l p 技术及n a l 许w 穿越 1 2n a t 技术 n a t 英文全称是 n e t w o r ka d d r e s st r a n s l a t i o n ”，中文意思是“网络地址转换”， 它是一个i e t f ( i n t e m e te n g i n e e r i n gt a s kf o r c e ，i n t e m e t 工程任务组) 标准，允许一个 整体机构以一个公用i p ( i n t e m e tp r o t o c 0 1 ) 地址出现在i n t e m e t 上。顾名思义，它 是一种把内部私有网络地址( i p 地址) 翻译成合法网络p 地址的技术。如图1 3 所示： 图1 3n a t 示意图 简单的说，n a t 就是在局域网内部网络中使用内部地址，而当内部节点要与 外部网络进行通讯时，在网关处将内部地址替换成公用地址，从而在外部的公网 上正常使用，n a t 可以使多台计算机共享i n t e r a c t 连接，这一功能很好地解决了公 共p 地址紧缺的问题。通过这种方法，您可以只申请一个合法m 地址，就把整个 局域网中的计算机接入i n t e m e t 中。这时，n a t 屏蔽了内部网络，所有内部网计算 机对于外部网络来说是不可见的，而内部网计算机用户通常不会意识到n a t 的存 在。这里提到的内部地址，是指在内部网络中分配给节点的私有i p 地址，这个地 址只能在内部网络中使用，不能被路由。虽然内部地址可以随机挑选，但是通常 使用的是下面的地址： l0 0 o 0 10 2 5 5 2 5 5 2 5 5 。 17 2 16 0 o 一17 2 16 2 5 s 2 5 5 ， 19 2 16 8 0 0 - - 19 2 16 8 2 5 5 2 5 5 。 n a t 将这些无法在互联网上使用的保留i p 地址翻译成可以在互联网上使用的 合法i p 地址。而全局地址，是指合法的i p 地址，它是由n i c ( 网络信息中心) 或 者i s p ( 网络服务提供商) 分配的地址，对外代表一个或多个内部局部地址，是全 球统一的可寻址的地址。 n a t 功能通常被集成到路由器、防火墙、i s d n 路由器或者单独的n a t 设备 中。比如c i s c o 路由器中有这样的功能，网络管理员只需在路由器的l o s 中设置 n a t 功能，就可以实现对内部网络的屏蔽。再比如防火墙将w e bs e r v e r 的内部地 址1 9 2 1 6 8 1 1 映射为外部地址2 0 2 9 6 2 3 1l ，外部访问2 0 2 9 6 2 3 11 地址实际上就 面向v o l p 应用防火墙穿越的s o f t h u b 的设计与实现 是访问访问1 9 2 1 6 8 1 1 。另外资金有限的小型企业来说，现在通过软件也可以实 现这一功能。r e d h a tl i n u x 、w i n d o w s9 8s e 、w i n d o w s2 0 0 0 都包含了这一功能。 1 3n a t 给v o l p 带来的困难 n a t 提供了解决i p 紧缺和隐藏内网拓扑的一个手段，但也给v o l p 应用带来麻 烦。v o l p 协议一般是i p 包的特定区段中内嵌i p 地址和端口号，而不是放在i p 包头， 这样如果仅仅使用n a t ，协议里的i p 地址和端口号不能指向正确的地方。虽然可 以利用应用层网关( a l g ) 等类似的技术寻求解决方案，但是如果针对h 3 2 3 这种采 用a s n 1p e r 编码格式的协议来说，需要付出昂贵的代价。 v o l p 通信系统中，n a t 后的终端可以向位于相同局域网上的任何别的终端发 起呼叫，因为在局域网内的这些i p 地址是可路由的，然而它们的i p 地址是私有的， 对局域网外来说是不可路由的，因i i t n a t 后的终端不能接收局域网外终端的呼叫。 即使n a t 内的终端a 可以向n a t # b 的终端b 发起呼叫，这仍然存在问题。现以s i p 呼叫为例。当进行呼叫时，发起呼叫的终端a 的i p 地址会包含在i n v i t e 消息中，根 据s i p 协议，被呼叫的终端b 收到来自终端a 的i n v i t e 消息后，会从该消息中获取终 端a 的i p 地址，并开始向终端a 发送音频和视频数据。由于终端a 的i p 地址是私有的， i n t e r n e t 路由器将直接丢弃发往终端a 的数据包，因此n a t 后的终端a 将永远不会收 到外部终端b 的音频和视频。 1 4 防火墙技术 根据著作【4 】的论述，防火墙能增强机构内部网络的安全性，决定了哪些内部 服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以 被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能 够免于渗透。 一般来说，防火墙具有以下几种功能： 允许网络管理员定义一个中心点来防止非法用户进入内部网络。 可以很方便地监视网络的安全性，并报警。 可以作为部署n a t ( n e t w o r ka d d r e s st r a n s l a t i o n ，网络地址变换) 的地点， 利用n a t 技术，将有限的口地址动态或静态地与内部的p 地址对应起来，用来 缓解地址空间短缺的问题。 审计和记录i n t e r n e t 使用费用。网络管理员可以在此向管理部门提供i n t e m e t 连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供 部门级的计费。 可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署 w w w 服务器和f 1 甲服务器，将其作为向外部发布内部信息的地点。从技术角度 1 2 第一章v o l p 技术及n a l 许w 穿越 来讲，就是所谓的停火区( d m z ) 。 尽管防火墙的发展经过了上述的几代，但是按照防火墙对内外来往数据的处 理方法，大致可以将防火墙分为两大体系：包过滤防火墙和代理防火墙( 应用层 网关防火墙) 。前者以以色列的c h e c k p o i n t 防火墙和c i s c o 公司的p i x 防火墙为 代表，后者以美国n a i 公司的g a u n t l e t 防火墙为代表。 1 4 1 包过滤防火墙 第一代：静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否 与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息 中包括i p 源地址、i p 目标地址、传输协议( t c p 、u d p 、i c m p 等等) 、t c p u