首頁 >> 新聞

NAT助VoIP穿越防火墻

陳代壽 2003/04/23

  NAT構筑于企業(yè)防火墻,擔當著網絡“守護神”的作用,它是公司內部LAN與外部Internet連接的分界線。

  如今人們又將NAT引入一個新的應用領域,這就是VoIP安全應用。

  作為一類標準Internet技術,NAT能實現(xiàn)讓內部LAN通信運用一套IP地址,而外部通信采用另一套IP地址。這在現(xiàn)行IPv4協(xié)議環(huán)境下意義重大,因為受到標題域限制,該協(xié)議方式用于標識終端站點的全球IP相當有限。通過分離Internet(公共域)與LAN(專用域)地址,相對于單一的全球地址分配機制來說,很多地址可以節(jié)省下來。

  但如果某個終端用戶的專用地址不為LAN以外的其他用戶知曉,外部數(shù)據流如何才能傳送到目標呢?這就是NAT要解決的問題。運用NAT技術,IT主管只需要為整個LAN分配一個公用IP地址,這個地址配置于防火墻,用于接收所有外部通信。防火墻運用NAT對輸入通信的IP地址標題進行處理,公用地址隨后被LAN中預定進行通信的終端用戶專用地址所取代(如果輸入通信不符合防火墻配置策略,則將其阻塞)。采用這種方式,網絡主管能夠運用未注冊IP地址連接到Internet,并能與所需的終端用戶進行正常通信。

  NAT技術近年來一直被廣泛采納。一些開發(fā)商已引入稱為會話邊界控制的新技術,它專注于P2P IP應用,這類應用必須穿越防火墻,如VoIP、桌面視頻會議、協(xié)作計算、在線游戲以及Napster方式共享播放MP3音樂。NAT技術在其中扮演著十分重要的角色,如保證VoIP通信安全和增強QoS及任何VoIP網必備的可管理特性。

  實現(xiàn)安全VoIP通信

  很明顯,傳統(tǒng)的防火墻無法與VoIP協(xié)同工作。通常的防火墻配置只接收經內部網請求,或說防火墻信任的外部通信,而VoIP呼叫可以是來自任何未知或未經請求的一方。由于這類呼叫不屬于任何一類內部通信請求,因而會被阻塞于外。而且,即使輸入通信獲得通過,防火墻/NAT也無法確定與哪個終端(合適的IP地址)建立呼叫。


會話邊界控制器在服務提供商網絡中的工作流程

  這是因為語音通信中同時包含了數(shù)據流和信號流,語音呼叫信息組成了數(shù)據流,而信號流則進行呼叫建立和控制,依據的信號協(xié)議通常是H.323、會話初始協(xié)議(SIP)或媒體網關控制協(xié)議(MGCP)。信號信息很容易通過防火墻,因為一般可預留少量端口用于呼叫接入。而對于呼叫本身,由于是基于實時協(xié)議(RTP)和采用動態(tài)分配UDP端口方式,而不是通常情況下防火墻針對特定用戶或應用采用的靜態(tài)分配方式,因而讓VoIP呼叫接入通過意味著為所有通信打開了通道。

  同樣,NAT本身也不能識別輸入信號信息包類型。端點間VoIP會話攜帶有三組雙向數(shù)據流:信號信息,用于創(chuàng)建、修改和終止會話;包含語音或視頻通信的RTP媒體,依據端點動態(tài)分配通信端口傳輸;媒體統(tǒng)計信息,用于測定會話質量。這些信息包具有呼叫方LAN的專用地址,同時它們所攜帶的相應公用地址又無法為NAT設備所識別,因而也就無法通過。

  SBC擔當防火墻

  解決這類問題的原理,一是通過在內部為將輸出的信號信息包調整專用IP地址,二是為輸入信息包創(chuàng)建相關信息列表。簡言之,就是利用一類新型設備來更改對等(P2P)通信單元,將它們變換為類似客戶端/服務器的協(xié)議通信模式,以使網絡邊界設備能夠識別。

  為什么采用這類方法?這得從VoIP設計原理說起。VoIP自推出以來,已廣泛應用于服務提供商核心網,在一些企業(yè)LAN中也有一定程度應用(通過IP PBX實現(xiàn))。但這類IP信息包在整個網絡中并不是連續(xù)的,因為網絡邊緣的接入連接通常是采用電路交換TDM,因而VoIP信號在一定程度上是一類“孤立”信息包,它脫離不了傳統(tǒng)的PSTN架構。當呼叫信號以IP PBX方式發(fā)出時,必須轉換為TDM方式傳輸?shù)椒⻊仗峁┥蘄P核心網,隨后又被轉換為純IP信號方式。這種來回“倒換”需要媒體網關的參與,而且會增加時延,降低QoS,最終影響到客戶服務,增加服務提供商應用成本(有服務商稱,信號轉換使通信成本增加到差不多是純內部IP通信的五倍)。使IP流以內部信號方式遍歷整個分離IP網,而不需要在網絡邊緣將其轉換為TDM信號,這個處理過程稱為內部IP對等(P2P IP)操作。

  實現(xiàn)P2P IP操作的處理過程是相當復雜的,它必須使P2P通信流像客戶端/服務器通信流那樣暢行無阻,同時提高效率。在網絡邊緣實現(xiàn)TDM到IP轉換的功能部件稱為會話邊界控制器(SBC)。SBC可位于現(xiàn)行防火墻的前端,專注于處理大量VoIP作業(yè),以減輕防火墻負荷。它還可工作于服務提供商的本地接入網,用于管理IP業(yè)務,如IP Centrex。所有輸入通信流都經過SBC,SBC在內部LAN與Internet之間建立了一種仲裁機制,這是通過修改雙向信號和封裝包來實現(xiàn)的。目標防火墻接收經修正的控制信號和媒體流,然后轉發(fā)到預定的LAN地址,即使這個地址是專用的。這個處理過程又稱為遠端遍歷,因為輸出信息包得遍歷終端用戶防火墻。防火墻負責區(qū)分輸入呼叫是否帶惡意性質。

  可將SBC視為一類具備VoIP功能的防火墻,只是功能實現(xiàn)更為復雜。更進一步講,它能實現(xiàn)以每次會話為基礎的P2P IP操作,視需要通過修改IP包標題,使之能夠通過網絡邊界。SBC對等操作在第5和第7層實現(xiàn),它能處理第5層會話信號協(xié)議以維持一次會話的狀態(tài)信息,這在修改地址標題用于遠端遍歷時顯得至關重要。SBC中的“邊界”指LAN與Internet間的分界線。

  SBC為VoIP而設計

  SBC性能參數(shù)體現(xiàn)在以下四個方面:安全性、QoS及服務級別(SLA)保證、信號協(xié)議互聯(lián)及服務規(guī)則。

  其中安全性是SBC應解決的主要課題。SBC必須具備防火墻/NAT遍歷、在第5層(會話層)和第3層(網絡層)隱藏網絡拓撲以及網絡資源保護功能;必要時通過關閉信號及媒體會話端口,防止出現(xiàn)安全漏洞。另外,還需集成更多現(xiàn)行和將來可用到的安全特性,包括入侵檢測、帶寬控制策略、保護會話不被竊取、防止RTP流擁塞和呼叫干擾,以及源IP地址隱藏的識別。

  QoS及SLA保證對于客戶意義重大。SBC必須負責媒體流的生成和維護,解決相關QoS需求。服務提供商網的邊緣路由器支持大部分IP服務類別(CoS)、排隊和通信管理技術,但并不能保證基于會話層信號信息的QoS,因為這包括用于呼叫建立、終止以及路由控制的特定標識符和指令。因而,通過基于會話認可控制策略接受或拒絕呼叫,來管理實時通信命令是完全必要的。在跨國IP通信服務環(huán)境下,服務提供商必須構建合適的呼叫路由和QoS參數(shù),并能透過網絡邊界共享呼叫情況記錄。系統(tǒng)不具備這些功能,服務提供商就沒法對SLA實施監(jiān)控,也就無法保證IP對IP環(huán)境下的服務質量。簡言之,SBC必須能夠在出現(xiàn)過多終端用戶接入和傳輸鏈接的情況下,防止帶寬擁塞,保證良好QoS。

  信號協(xié)議互聯(lián)是實現(xiàn)IP對等操作的基礎,因為分離IP網可能用到的是不同的信號協(xié)議。如今占主導地位的信號協(xié)議是H.323,由于SIP相對簡單、可擴展性強且效率要高,將來極有可能取而代之。而且,很多新型VoIP方案將基于SIP來實現(xiàn),因為如今大多數(shù)軟交換機、IP電話和媒體網關都側重于采用SIP。另外,支持MGCP和H.248協(xié)議也相當重要。

  最后,需要一定的通信規(guī)章來約束這類新興通信運營(包括企業(yè)客戶)服務模式,其中重要一點就是保存呼叫識別和內容記錄。這點于普通客戶意義尤為重大,而開發(fā)商在實現(xiàn)方面還很難做到統(tǒng)一,這就需要一個明確規(guī)范。

  SBC技術的市場開發(fā)已初露端倪,其中包括Acme Packet、Kagoor Networks、Netrake、Jasomi Networks以及NexTone。Aravox自被Alcatel收購起,就在從事這方面的開發(fā)。防火墻市場的領軍人物Cisco、NetScreen和Check Point都聲稱已開發(fā)出低層專有VoIP解決方案,目前正向高層發(fā)展。

  Acme Packet的方案最為出名,它的Session Director可用于服務提供商網,也適用于大型企業(yè)客戶。Session Director支持主機NAT遍歷,信號會話能遍歷現(xiàn)行前端NAT/防火墻,而不需要作配置變更。

  從網絡拓撲角度來說,SBC比較適合于企業(yè)網。防火墻是企業(yè)網中必不可少的臨界作業(yè)網絡處理單元,SBC能與現(xiàn)行企業(yè)防火墻協(xié)同工作,因而大大減少了手工配置各類規(guī)則的工作量,也不需要針對LAN應用和VoIP接入更改網絡設置。

  SBC位于防火墻之前,大大降低了主防火墻處理VoIP通信作業(yè)的負荷,使網絡單元“各司其職”。相對單一的設備,降低了VoIP通信處理時延。由于位于防火墻前,SBC還能隱藏LAN拓撲,防止網絡拓撲通過可能的請求方法(嵌于IP標題中)泄漏出去,暴露專用地址。

賽迪網 中國信息化(industry.ccidnet.com)
分類信息:     文摘