隨著IP網絡的普及,私有網絡(簡稱私網)的數量和規模也越來越大。由于IPv4地址緊張和網絡安全等問題,私網上普遍放置了NAT、防火墻設備,因此,H.323協議的NAT、防火墻穿越問題成為開展視訊業務首需解決的問題之一。其關鍵在于目前大部分NAT設備都不支持H.323協議的穿越,即使部分NAT設備支持H.323穿越,但又不能做到多個私網終端共用一個公網IP地址,從而失去了使用NAT的意義。如果NAT設備在進行NAT轉換的同時能支持H.323協議,就可以在節約公網IP地址的同時解決NAT、防火墻穿越問題。
現階段業界普遍采用以下幾種方式來解決私網穿越。
支持H.323的防火墻NAT設備
現在大量的用戶網絡采用的是動態NAT或者是NAPT方式,在這種組網情況下,對于普通NAT,在實際的視頻通信中由于動態NAT方式進行了地址和端口的轉換。無論是私網終端呼叫公網終端,還是公網終端呼叫私網終端,都存在如下兩個問題。
(1)當私網終端呼叫公網終端時,雖然私網終端可以從GK處獲取公網終端的IP地址,但在接收視音頻RTP碼流時,由于受H.323協議的限制,其各自的RTP接口和發送端口不同,如圖1所示。這樣,公網終端可以接收私網終端向公網終端(公網IP)發送的RTP碼流,但公網終端向私網終端(其NAT映射的公網地址)發送的RTP碼流,在經過NAT設備時,并不會進行IP地址的轉換,導致碼流不能通過NAT設備,出現單通的情況。
圖1 普通NAT設備的公、私網通信
(2)當公網終端呼叫私網終端時,由于呼叫的地址直接是私網終端映射的公網地址,NAT設備不支持H.323協議轉換,因此呼叫就不能建立。
根據上面的分析,可以得到這樣的結論:如果兩個終端分別在防火墻內外,而防火墻只作普通NAT,則私網呼叫公網能夠呼通,但是是單通,外部的碼流不能進入到內部;公網呼叫私網肯定不通。
針對上述情況,現在部分NAT設備開始支持H.323協議。這些設備工作在三層以上協議,對H.323協議的IP碼流直接進行協議轉換,使企業內部的終端可以無障礙地與外部終端互通。
對于已經有防火墻的客戶,可直接在防火墻內部掛接一個支持H.323協議的NAT設備,由該設備完成H.323 NAT的轉換后,轉發給防火墻,而非H.323應用的碼流直接通過防火墻實現NAT功能。這樣既可以使用戶原有安全策略、上網方式保持不變,又不用更改用戶原有私網,適合大中型企業和公司。該方案組網示意圖如圖2所示。
圖2 支持H.323協議的NAT設備組網示意圖
優點:(1)能最大限度節約公網IP地址,為用戶節省運行費用;對視訊用戶透明,使用方便。可以徹底解決所有私網互通的問題。(2)能夠兼容所有標準的H.323終端設備。(3)對原有的網絡結構的影響比較小。
缺點:需購買額外的網絡設備,在網絡出口增加支持H.323協議的NAT設備的多業務網關。
使用SNP協議(支持普通NAT下的私網與公網終端互通)
基本工作原理為:公、私網之間的終端先按協議要求正常通信,當私網內終端在呼叫建立后一段時間內沒有收到對端RTP碼流,則通過私有協議向網絡請求私有通信過程,由網絡設備進行處理,私網終端發送對應碼流端口及令牌信息給公網終端,并在防火墻上打通通道,從而建立公網到私網之間的媒體流通信過程。此方案主要是通過低成本的解決方案解決低價值私網內部用戶接入問題,其接入示意圖如圖3所示。
圖3 SNP方案示意圖
采用SNP方案可以用比較低的成本實現公、私網的穿越。但是不借助支持H.323協議的防火墻設備,不能解決兩個私網之間的互通。此方案適合個人和中小企業用戶。
優點:無需用戶購買額外的網絡設備,為用戶節省費用;無需改動網絡拓撲。
缺點:不能徹底實現私網和私網之間的互通。
匯接網關方案(支持普通NAT下私網之間的互通)
為了徹底解決公、私網穿越的問題,可以采用8520寬帶匯接平臺設備(華為公司產品)。這個設備在網絡位置上和MCU一致,一般放置在公網上,通過這個設備的橋接,實現私網之間、私網和公網之間的互通。采用此類設備后不再需要客戶端添加額外的設備。
8520可以認為是SNP協議的一個橋接設備。當一個私網終端A呼叫另一個私網終端B時,GK發現B為私網終端,將8520的IP地址返回給終端A,終端A通過SNP協議呼叫8520,同時8520接收到GK命令,向終端B發起呼叫,從而實現SNP協議的橋接。原理如圖4所示。
圖4 8520匯接設備示意圖
從圖4可以看到,僅需要在運營商網絡側增加8520設備,用戶側無需增加任何網絡設備,即可在原有網絡上實現公私網之間的多媒體通信。經過8520進行橋接,可直接實現不同私網終端的互通。
由于H.323協議需要占用多個端口,在穿越公、私網時,需要消耗防火墻(或其他NAT設備)的端口資源,因此,當使用8520匯接設備后,可以開啟非對稱隧道技術及端口收斂功能,可實現對H.323協議端口的收斂,達到節約端口的目的,收斂前后防火墻需要打開端口表。
同時,使用8520匯接平臺,可提供一種全新的防火墻穿越方案:受控的端口開放。在防火墻上為固定的端口開放到可信的IP地址,只需要開放幾個端口到可信任的GK、8520、MCU地址即可,有效保障了網絡的安全。此方案適合建設大規模的視訊運營網絡,面對復雜的網絡環境時采用。
優點:(1)無需用戶購買額外的網絡設備,為用戶節省費用;無需改動用戶網絡拓撲;(2)支持非對稱隧道技術和端口收斂,只需對要求端口收斂的私網防火墻設備進行隧道技術和端口收斂,打開有限端口。
缺點:需使用8520設備,同時要求每一個SwitchCentre必須至少配置一臺8520,以滿足全網所有用戶的私網互通需求;
以上討論了3種解決視訊業務中私網穿越問題的方案,這些方案是不矛盾的,在運營網組網中,可以采用3種方案混合使用,來有效地解決私網穿越問題。
