私网穿越技术在软交换体系中的应用
防火墙通过查询自己维护的连接列表,就可以把这条信令消息正确的发送给终端B了。呼叫接续流程的其它信令消息,转接方式与INVITE类似。 4. 用NAT/FW Proxy实现媒体流的代理连接 以图5中终端A呼叫终端C为例,当A发出INVITE消息并到达NAT/FW Proxy后,NAT/FW Proxy会为A分配两个RTP代理端口,一个是呼出代理端口,记为A1,另一个是呼入代理端口,记为A2。NAT/FW Proxy使用A2的端口信息替换原INVITE消息中SDP包中对RTP端口的描述,并发给软交换。当软交换发回终端C的SDP信息时,NAT/FW Proxy记录终端C的实际RTP端口,并用A1的端口信息进行替换,发给终端A。当呼叫建立后,终端A一旦开始发送RTP包,就会在私网设备上建立一个临时的RTP“窗口”,只要媒体流不断在发送(在没有话音时终端也应该发送舒适噪声的RTP包),这个“窗口”就一直打开。由于设备A得到的对端RTP端口实际是NAT/FW Proxy上的呼出代理端口A1,因此RTP包会发向NAT/FW Proxy,NAT/FW Proxy将RTP包再发给终端C真正的RTP端口。同样,终端C得到的A的RTP端口实际是NAT/FW Proxy上的代理端口A2,所以RTP包会发向A2,然后由NAT/FW Proxy通过私网设备上的临时RTP“窗口”将RTP包转发给终端A。 当两个设备分别在两个防火墙内,且都注册到一个NAT/FW Proxy上时,如图5中终端A呼叫终端B的情况,由于NAT/FW Proxy可以知道两个设备都是注册在自己上面的,因此并不需要为每个终端都分配两个代理端口,而只用分配一对端口。如A1和B1,其中A1既作为终端A的呼出端口,也做为终端B的呼入端口,而B1既做为终端B的呼出端口,也做为终端A的呼入端口。如果终端A和终端B还是处于同一个私网网关设备之下,NAT/FW Proxy完全可以不为它们分配任何代理端口,而是让它们在私网内部直接建立RTP流的连接。 5. 其它问题的考虑 以上对于使用NAT/FW Proxy来实现私网穿越的方法的描述,都是基于使用SIP协议的终端,但实际上这种方法并不仅限于SIP终端,当终端使用H.248,MGCP等协议时,只要有对应的NAT/FW Proxy支持,也同样可以实现私网穿越。 从构架上看,需要进行私网穿越代理的设备非常多,一台NAT/FW Proxy无法处理时,完全可以部署多个NAT/FW Proxy,并让这些设备注册到不同的NAT/FW Proxy上。如配置一台NAT/FW Proxy处理SIP终端的私网穿越,配置两台NAT/FW Proxy来处理MGCP终端的私网穿越等。 四、在软交换体系中的扩展应用 使用NAT/FW Proxy的构架,除了能够实现私网穿越的功能外,只要稍加扩展,还可以为软交换体系带来其他一些意外收获。 1.可以保护软交换设备免遭攻击 在正常的配置情况下,软交换设备的地址对于所有用户都是可见的,这时如果有人恶意的对软交换发起某些攻击,比如DoS攻击,是比较难以防范的。但是如果要求所有终端都注册到NAT/FW Proxy设备上,通过NAT/FW Proxy的代理与软交换发生联系,那么软交换地址对外就完全是不可见的了,并且由于NAT/FW Proxy设备的成本相对低廉,可以配置多个,即使遭到攻击,只要让终端上更换一个NAT/FW Proxy进行注册就可以了。 2.防止通信欺诈行为 一般情况下,一旦软交换为双方建立起呼叫,那么双方终端的地址、端口、媒体能力等就完全向对方透明化了,这时如果有人使用一些支持点对点连接的终端,绕过软交换而直接向对方发起连接,则软交换就无法进行计费,也就会出现通信欺诈行为了。如果按照1中所述,把所有终端都注册到NAT/FW Proxy上,那么终端只能通过NAT/FW Proxy上的代理端口进行交互,终端之间透明的只有对方的号码,这样可以在很大程度上避免欺诈行为的发生。 3.可以使媒体流授控 假设所有终端都注册在NAT/FW Proxy上,则终端之间的媒体流也都要经过NAT/FW Proxy进行转接,如果增强NAT/FW Proxy的功能,就完全有可能解决在软交换体 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |