NGN：穿越NAT/FW等私網(wǎng)的解決方案

2007/01/22

1. 目前網(wǎng)上大量的NAT/FW設(shè)備因不具備ALG能力而需要更換或升級(jí)；



2. NGN業(yè)務(wù)的ALG生產(chǎn)廠商少，沒(méi)有一套產(chǎn)品特性需求基線；



3. NAT/FW設(shè)備廠商一般不是IP業(yè)務(wù)領(lǐng)域的專業(yè)廠商，難以支持業(yè)務(wù)的變化（如SIP的擴(kuò)展多種多樣）；



4. 用戶普遍希望運(yùn)營(yíng)商在不改變已有網(wǎng)絡(luò)設(shè)備（NAT）的情況下就可以提供新的IP業(yè)務(wù)，用戶不愿意重新購(gòu)買NAT/FW設(shè)備，更無(wú)法判斷各種ALG的可行性。

　　2.2 MidCom方案

　　MidCom（Middlebox Communications）方案是通過(guò)在第三方實(shí)體和FW/NAT之間建立中間盒來(lái)通信，使FW/NAT設(shè)備變?yōu)榭煽氐囊环N新的概念。MidCom包括MidCom Agent和Middlebox，Agent通過(guò)MidCom協(xié)議通知Middlebox建立相應(yīng)的NAT映射表項(xiàng)。

　　一般情況下，Middlebox集成在NAT或FW設(shè)備中，Agent可在軟交換、代理服務(wù)器或終端上實(shí)現(xiàn)。

　　由于應(yīng)用業(yè)務(wù)識(shí)別的智能從Middlebox移到外部的MidCom Agent上，因此，根據(jù)MidCom的架構(gòu)，在不需要更改Middlebox基本特性的基礎(chǔ)上，通過(guò)對(duì)MidCom Agent的升級(jí)就可以支持更多的新業(yè)務(wù)。這是相對(duì)于NAT/ALG方式的一個(gè)很大的優(yōu)勢(shì)。

　　從安全性考慮，MidCom方式支持控制報(bào)文和媒體流的加密，因此安全性比較高。

　　2.3 協(xié)議修改

　　由于目前的多媒體應(yīng)用協(xié)議無(wú)法穿越NAT/FW，因此可以考慮通過(guò)修改協(xié)議以適應(yīng)NAT/FW。

　　對(duì)于H.323，SIP，MGCP，H.248等協(xié)議，為支持NAT/FW穿越而做的修改尚未形成標(biāo)準(zhǔn)，還在起步研究階段，因此本文不做詳細(xì)探討。

　　2.4 STUN方案

　　STUN（Simple Traversal of UDP Through NATs）是由IETF研制的一種UDP流協(xié)議穿透NAT的協(xié)議。位于內(nèi)部網(wǎng)絡(luò)的STUN client（NAT內(nèi)）通過(guò)UDP發(fā)送請(qǐng)求STUN消息給外部網(wǎng)絡(luò)的STUN Server（NAT外），STUN Server收到請(qǐng)求消息后產(chǎn)生響應(yīng)消息（響應(yīng)消息中攜帶請(qǐng)求消息的源端口，即STUN Client在NAT上對(duì)應(yīng)的外部端口），響應(yīng)消息通過(guò)NAT發(fā)送給STUN Client，STUN Client通過(guò)響應(yīng)消息體中的內(nèi)容得知其在NAT上對(duì)應(yīng)的外部地址，然后將該地址填入以后的呼叫協(xié)議的UDP負(fù)載中，并且告知對(duì)端，本端的RTP接收地址和端口號(hào)為NAT外的地址和端口號(hào)。由于通過(guò)STUN協(xié)議已在NAT上預(yù)先建立媒體流的NAT映射表項(xiàng)，因此媒體流可順利穿越NAT。

　　需要注意的是，終端設(shè)備需要集成STUN Client功能，STUN Server可以集成在相應(yīng)的應(yīng)用所屬的部件上（如在NGN應(yīng)用中可以集成到SoftSwtich上）或者是由獨(dú)立的設(shè)備提供。

　　STUN協(xié)議最大的優(yōu)點(diǎn)是無(wú)需現(xiàn)有NAT/FW設(shè)備做任何改動(dòng)。目前，網(wǎng)絡(luò)中已有大量的NAT/FW，而且這些NAT/FW并不支持VoIP應(yīng)用。如果采用MidCom或NAT/ALG方式，則需要替換現(xiàn)有的NAT/FW，實(shí)施起來(lái)難度較大，且MidCom方式無(wú)法實(shí)現(xiàn)對(duì)多級(jí)NAT的有效控制。如果采用STUN方式，不但無(wú)需改動(dòng)NAT/FW，而且能夠很好地適應(yīng)多個(gè)NAT串聯(lián)的網(wǎng)絡(luò)環(huán)境。

　　但STUN也有以下幾個(gè)方面的局限性：

1. 需要應(yīng)用程序支持STUN Client的功能，即NGN的網(wǎng)絡(luò)終端需具備STUN Client功能；



2. STUN不支持TCP連接的穿越，也就表示不支持H.323協(xié)議；



3. STUN方案不支持NGN業(yè)務(wù)對(duì)FW的穿越，不能穿越對(duì)稱NAT（Symmetric NAT）類型（在安全性要求較高的企業(yè)網(wǎng)中，出口NAT通常就是采用這種類型）。

網(wǎng)絡(luò)通訊服務(wù)網(wǎng)