NGN网络业务NAT穿透技术探讨.doc_第1页
NGN网络业务NAT穿透技术探讨.doc_第2页
NGN网络业务NAT穿透技术探讨.doc_第3页
NGN网络业务NAT穿透技术探讨.doc_第4页
NGN网络业务NAT穿透技术探讨.doc_第5页
已阅读5页,还剩3页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

NGN网络业务NAT穿透技术探讨 严军摘要:本文主要参考IETF关于NGN网络中会话业务穿透NAT技术的各种草案,介绍了目前业务开展可以使用的几种NAT穿透技术和方案,并对几种技术方案结合网络的实际情况进行了对比和分析,最后给出了华为公司对NGN业务穿透NAT的解决方案建议。缩略语:NATNetwork Address Translation网络地址转换FWFire Wall防火墙ALG Application Layer Gateway应用层网关MIDCOMMiddlebox CommunicationSTUN Simple Traversal of UDP Through Network Address TranslatorsUDP对NAT的简单穿越TURN Traversal Using Relay NAT通过中继方式穿越NATFull Proxy信令代理+媒体中继SoftX软交换SIP Session Initiationl Protocol会话初始协议MGCPMedia Gateway Control Protocol网关控制协议H.248网关控制协议H.323IP网络的会话协议RTPRealTime Transfer Protocol实时传输协议RTCPRealTime Transfer Control Protocol实时传输控制协议1问题背景目前NGN网络逐步从试验走向商用,在应用过程中遇到了很多实际问题,特别是NGN用户的接入问题,由于NGN是一个基于分组网承载的网络,接入用户都是通过IP地址来寻址,当前的网络实际情况是,由于IP地址紧缺以及安全等各种原因,网上大量的企业网和驻地网基本上都采用了私有IP地址通过出口的NAT/FW接入公网,而目前NGN网络中在IP上承载语音和视频的协议,如H323,SIP,MGCP,H248等,本身具有的特点,在私网用户接入应用中,这些协议的控制通道/媒体通道难以穿越传统的NAT/FW设备与公网进行互通,或者说目前的NAT/FW大多支持HTTP的数据应用协议穿透,而无法支持这种会话业务的控制与媒体NAT/FW穿透。而NGN网络最大的好处就是能为用户提供丰富的业务,特别是为企业用户提供语音、数据、视频融合的IPCentrex业务,因此上面所提到问题的解决就更加的迫切,成为目前NGN网络业务开展最大的障碍。目前业界的解决方案有如下几种:(1)NAT/ALG方式(2)MIDCOM方式(3)STUN方式(4)TURN方式(5)FullProxy方式下面针对企业网、驻地网小区用户接入NGN网络解决方案,对上述几种方式进行简单介绍与分析。2技术方案2.1NAT/ALG方式普通NAT是通过修改UDP或TCP报文头部地址信息实现地址的转换,但部分承载于TCP/UDP的应用,例如多媒体会话、文件共享、游戏等“端到端”的应用,在TCP/UDP负载中也需带地址信息。一般的方法,应用程序在负载中填写的是其自身地址,此地址信息在通过NAT时被修改为NAT上对外的地址,即我们常说的ALG方式。ALG功能目前主要驻留在一些NAT/Firewall设备中,要求这些设备本身具备应用识别的智能.同时每增加一种新的应用都将需要对NAT/Firewall进行升级。对NGN业务应用,ALG需要支持IP语音和视频协议(H323、SIP、MGCP/H248)的识别和对NAT/Firewall的控制,以使NGN业务顺利穿越NAT/Firewall。图1为NAT/ALG方式的应用组网模型,其关键点为:企业网/驻地网内部终端设备能穿透NAT/ALG注册到公网SoftX上,通过SoftX进行协议解析和呼叫处理.公网SoftX和企业网终端通过SIP/H323/MGCP/H248协议互通,NAT/ALG需要识别SIP/H323/MGCP/H248协议信令并建立媒体流通道,以支持媒体流顺利穿越NAT/FW。对于ALG应用来说,在应用业务安全要求上需要作一些折衷,因为ALG不能识别加密后的报文内容,所以必须保证报文采用明文传送,这使得报文在公网中传送时有很大的安全隐患。NAT/ALG是支持NGN应用一种最简单的方式,但由于网络实际情况是已部署了大量的不支持NGN业务应用的NAT/FW设备,因此我们不推荐使用这种方式,理由如下:网上大量NAT/FW因不具备ALG能力,需要更换或升级NGN业务的ALG生产厂家少,也没有一套产品特性需求基线NAT/FW厂家一般不是IP业务领域的专家,难以支持业务的变化(如SIP的扩展多种多样)用户不愿意重新购买NAT/FW设备,更无法判断各种ALG的可行性用户普遍要求运营商在不改变已有网络设备(NAT)的情况下就可以提供新的IP业务2.2MIDCOM方式与NAT/ALG不同的是,MIDCOM的框架结构是采用可信的第三方(MIDCOMAgent)对Middlebox(NAT/FW)进行控制的机制,应用业务识别的智能也由Middlebox转移到外部的MIDCOMAgent上,因此应用协议对Middlebox是透明的。由于应用业务识别的智能从Middlebox移到外部的MIDCOMAgent上,根据MIDCOM的架构,在不需要更改Middlebox基本特性的基础上,通过对MIDCOMAgent的升级就可以支持更多的新业务,这是相对NAT/ALG方式的一个很大的优势。在NGN业务实际应用中,Middlebox功能可驻留在NAT/Firewall,通过软交换设备(即MIDCOMAgent)对IP语音和视频协议(H323、SIP、MGCP/H248)的识别和对NAT/Firewall的控制,可以作为NGN业务穿越NAT/Firewall的一个解决方案。从安全性考虑MIDCOM方式可支持控制报文的加密,可支持媒体流的加密,因此安全性比较高。图2为MIDCOM方式的应用组网模型,其关键点为:公网SoftX通过MIDCOM协议对私网边缘的NAT/FW设备进行控制,SoftX识别主被叫侧的SIP/H323/MGCP/H248协议,如主被叫侧均为局内的私网用户,SoftX需要通过MIDCOM协议控制主被叫两侧的NAT/FW,在NAT/FW上创建了媒体流通道后,媒体流可顺利穿越NAT/FW。由于软交换设备上已实现了对SIP/H323/MGCP/H248协议的识别,只需在软交换和NAT/FW设备上增加MIDCOM协议即可,而且以后新的应用业务识别随着软交换的支持而支持,因此这种方案是一种比较有前途的解决方案,但现有的NAT/FW设备需升级支持MIDCOM协议。2.3STUN方式解决NGNNAT问题的另一思路是,私网接入用户通过某种机制预先得到其地址对应在出口NAT上的对外地址,然后在报文负载中所描述的地址信息就直接填写出口NAT上的对外地址,而不是私网内用户的私有IP地址,这样报文负载中的内容在经过NAT时就无需被修改了,只需按普通NAT流程转换报文头的IP地址即可,负载中的IP地址信息和报文头地址信息又是一致的。STUN协议就是基于此思路来解决应用层地址的转换问题。STUN的全称是SimpleTraversalofUDPThroughNetworkAddressTranslators,即UDP对NAT的简单穿越方式。应用程序(即STUNCLIENT)向NAT外的STUNSERVER通过UDP发送请求STUN消息,STUNSERVER收到请求消息,产生响应消息,响应消息中携带请求消息的源端口,即STUNCLIENT在NAT上对应的外部端口。然后响应消息通过NAT发送给STUNCLIENT,STUNCLIENT通过响应消息体中的内容得知其在NAT上对应的外部地址,并且将其填入以后呼叫协议的UDP负载中,告知对端,本端的RTP接收地址和端口号为NAT外的地址和端口号。由于通过STUN协议已在NAT上预先建立媒体流的NAT映射表项,故媒体流可顺利穿越NAT。STUN协议最大的优点是无需现有NAT/FW设备做任何改动。由于实际的网络环境中,已有大量的NAT/FW,并且这些NAT/FW并不支持VoIP的应用,如果用MIDCOM或NAT/ALG方式来解决此问题,需要替换现有的NAT/FW,这是不太容易的。而采用STUN方式无需改动NAT/FW,这是其最大优势,同时STUN方式可在多个NAT串联的网络环境中使用,但MIDCOM方式则无法实现对多级NAT的有效控制。STUN的局限性在于需要应用程序支持STUNCLIENT的功能,即NGN的网络终端需具备STUNClient功能。同时STUN并不适合支持TCP连接的穿越,因此不支持H323应用协议。另外STUN方式还不支持NGN业务对防火墙的穿越,同时STUN方式不支持对对称NAT(SymmetricNAT)类型(在安全性要求较高的企业网中,出口NAT通常就是这种类型)的穿越。STUN的应用模型如下:图3为STUN方式的应用组网模型,其关键点为:根据STUN原理,STUNServer必须放在公网中,可以内嵌在公网SoftX中,由于通过STUN协议已在NAT上预先建立媒体流的NAT映射表项,故媒体流可顺利穿越NAT。2.4TURN方式TURN方式的解决NAT问题的思路与STUN相似,也是基于私网接入用户通过某种机制预先得到其私有地址对应在公网的地址(STUN方式得到的地址为出口NAT上的地址,TURN方式得到地址为TURNServer上的地址),然后在报文负载中所描述的地址信息就直接填写该公网地址的方式,实际应用原理也是一样的。TURN的全称为TraversalUsingRelayNAT,即通过Relay方式穿越NAT,它的应用模型如下图:图4 TURN应用模型TURN应用模型通过分配TURNServer的地址和端口作为客户端对外的接受地址和端口,即私网用户发出的报文都要经过TURNServer进行Relay转发,这种方式应用模型除了具有STUN方式的优点外,还解决了STUN应用无法穿透对称NAT(SymmetricNAT)以及类似的Firewall设备的缺陷,即无论企业网/驻地网出口为哪种类型的NAT/FW,都可以实现NAT的穿透,同时TURN支持基于TCP的应用,如H323协议。此外TURNServer控制分配地址和端口,能分配RTP/RTCP地址对(RTCP端口号为RTP端口号加1)作为本端客户的接受地址,避免了STUN应用模型下出口NAT对RTP/RTCP地址端口号的任意分配,使得客户端无法收到对端发过来得RTCP报文(对端发RTCP报文时,目的端口号缺省按RTP端口号加1发送)。TURN的局限性在于需要终端支持TURNClient,这一点同STUN一样对网络终端有要求。此外,所有报文都必须经过TURNServer转发,增大了包的延迟和丢包的可能性。2.5FullProxy方式FullProxy是另外一种解决NAT问题的思路,通过对私网内用户呼叫的信令和媒体同时做Relay来实现出口NAT/FW的穿越,与TURN方式的Relay相比,区别如下:TURN方式是在TURNServer与终端通过TURN/STUN协议交互时分配地址和端口,报文内部的地址信息由终端生成,TURNServer对后续的报文根据分配的地址和端口信息做地址变换后Relay转发;FullProxy方式是通过对报文进行Relay的设备对呼叫协议解析与处理,改写其中携带的RTP/RTCP地址信息后转发信令报文,同时根据改写的RTP/RTCP地址信息对媒体报文做地址变换后Relay转发。其原理在于当私网终端呼叫信令到达FullProxy时,FullProxy将对呼叫信令协议进行解析,对协议中携带的RTP/RTCP信息进行解析与处理,在记录下用户私网内RTP/RTCP地址和端口号同时,修改RTP/RTCP私网地址信息为FullProxy本身对外的公网IP地址,同时修改媒体流端口为FullProxy上分配的外部端口,然后将呼叫信令发送到软交换或对端。这样呼叫信令以及媒体流就可以通过FullProxy在主被叫之间进行中转。由于FullProxy可以配置多个IP地址,如一个私网IP地址和一个公网IP地址,因此通过FullProxy进行Relay,NGN业务可顺利通过NAT/FW.在FullProxy方式下,无需现有NAT做任何改动,可采用普通的设备,同时私网内的终端无需支持STUN和TURN协议,即可开展NGN业务,这是其较大的一个优势。局限性同TURN一样,增加了包的延时和丢包的可能性。图5 Full Proxy应用模型图5为FullProxy方式的应用组网模型,关键点是同时完成对终端呼叫信令的代理转发和媒体Relay。同时FullProxy还可借鉴TURN的应用模型,拓展应用范围,除了可放在企业网/驻地网出口处外,还可以类似TURNServer放在城域网汇聚层接入多个小企业,实现在不改动企业网出口NAT/FW的情况下,实现多个企业出口NAT/FW的穿透。由于FullProxy方式会对呼叫协议进行解析,因此除了可以处理NAT问题外,可完成对每次呼叫带宽等QoS信息的解析与处理,从接入层保证QoS的安全问题,此外,通过对呼叫状态的把握,可实现对媒体流的动态防火墙,保证网络安全和防止带宽盗用等。因此FullProxy模型可以成为NGN终端接入层的NAT、QoS和安全的统一处理平台。在应用领域,由于FullProxy的配置很灵活,组网应用也很灵活,除了实现私网地址向公网地址的转换外,同时可实现公网地址向私网地址的转换,或其它不同地址域之间的变换,满足NGN不同场合下的组网应用。3方案比较ALGMIDCOM STUN TURN Full PROXY性能NAT设备需要对所有包进行动态监控和解析,将极大增加NAT设备的负担NAT设备不需要对包进行动态监控,只需要接收从MIDCOM Agent来的指令。基本不会增加NAT设备的负担NAT设备不需要解析报文,不会增加NAT设备的负担,性能较好NAT设备不需要解析报文,不会增加NAT设备的负担,性能较好Full PROXY对所有呼叫报文和媒体流进行定向转发,效率要求较高,但只对会话类报文进行处理,不处理数据类业务可扩展性每增加一种协议,需要升级NAT设备,可扩展性差MIDCOM Agent上进行协议开发只支持UDP承载的协议,新的基于UDP承载的协议不要求对NAT设备升级可扩展性最好PROXY上进行新协议的扩展组网应用小区/企业网,规模不能太大小区/企业网/互通网关,视NAT设备效率而定小区/企业网小区/企业网组网最灵活,

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论